Ransomware kan kryptera molndata

Ransomware är litet som ett sandkorn, det finns överallt. Och de kan kryptera mer än du tror. Att få dina personliga filer förstörda är en stor förlust, men när Ransomware attackerar dina kopior ökar denna smärta ännu mer.

Det finns flera varianter av ransomware som attackerar inte bara hårddiskar utan även andra systemenheter, och molnenheter är inte heller ur sikte. Så det är dags för dig att granska exakt vilka säkerhetskopior av filer är samt var kopiorna förvaras.

Ransomware-attacker överallt

Vi vet att en ransomware-attack kan vara förödande. Ransomware är ett särskilt hinder eftersom dess målfiler är bilder, musik, filmer och dokument av alla slag. Din hårddisk innehåller personliga, arbets- och affärsfiler som är främsta mål för kryptering. När du väl är krypterad kommer du att se ett lösenmeddelande som kräver betalning - vanligtvis i svårspårbara Bitcoin - för säker frigivning av dina filer.

Och inte ens då finns det ingen garanti för att du får krypteringslösenordet eller dekrypteringsverktyget.

CryptoLocker

CryptoLocker är en variant av kryptering ransomware som kan kryptera flera av dina hårddiskar. Det dök upp första gången 2013 och spred sig genom infekterade e-postbilagor. När CryptoLocker är installerat på en dator kan den skanna hårddisken efter en specifik lista med filtillägg. Dessutom skannar den alla enheter som är anslutna till maskinen, oavsett om det är USB eller nätverk.

En nätverksenhet med läs-/skrivåtkomst kommer att krypteras precis som en hårddisk. Det är en utmaning för företag där anställda får tillgång till delade nätverksmappar.

Lyckligtvis har säkerhetsforskare släppt en kopia av CryptoLockers offerdatabas och matchat varje kryptering. De skapade Decrypt CryptoLocker-portalen för att hjälpa offer att dekryptera sina filer.

Evolution: CryptoFortress

CryptoLocker dök upp och påstod sig ha 500 000 offer. Enligt Keith Jarvis från Dell SecureWorks kan CryptoLocker ha fått 30 miljoner dollar under de första 100 dagarna från utpressningsoperationen (det skulle gå upp till 150 miljoner dollar om varje offer betalade 300 dollar i lösen). Att ta bort CryptoLocker är dock inte början på att förhindra nätverksdrivrutinsmappning av ransomware.

CryptoFortress upptäcktes 2015 av säkerhetsforskaren Kafein. Den har utseendet och tillvägagångssättet som TorrentLocker men en av de viktigaste framstegen; den kan kryptera omappade nätverksdrivrutiner.

Vanligtvis hämtar ransomware en lista över mappade nätverksenheter till exempel C:, D:, E:, etc. Den skannar sedan enheterna, jämför filtillägg och krypterar dem. Kryptera motsvarande filer. Dessutom räknar CryptoFortress upp alla öppna Server Message Block (SMB) nätverksresurser och krypterar alla de hittar.

Locky

Locky är en annan variant av ransomware, känd för att ändra enskilda filer till .locky, samt wallet.dat – Bitcoins plånbok. Locky riktar sig också mot filer på datorer eller filer på omappade nätverksresurser och ändrar filer i processen. Detta kaos gör återhämtningsprocessen svårare.

Locky har dessutom ingen dekoder.

Ransomware på molnet

Ransomware kringgår nätverkets och datorns fysiska minne och överskrider även molndata. Detta är en viktig fråga. Molnlagring framhålls ofta som ett av de säkraste säkerhetskopieringsalternativen, vilket håller dina data säkerhetskopierade borta från interna nätverksresurser, vilket skapar isolering från omgivande faror. Men tyvärr har ransomware-varianter kringgått denna säkerhet.

Enligt RightScales State of the Cloud-rapport använder 82 % av företagen en strategi för flera moln. Och en ytterligare studie (Slideshare ebook) av Intuit visar att år 2020 kommer 78 % av småföretagen att använda molnfunktioner. Denna radikala förändring av stora och små företag gör molntjänster till ett främsta mål för leverantörer av ransomware.

Ransom_Cerber.cad

Försäljare av skadlig programvara kommer att hitta ett sätt att lösa detta problem. Social ingenjörskonst och nätfiske via e-post är nyckelverktyg, och de kan användas för att kringgå robusta säkerhetskontroller. Trend Micros säkerhetsforskare hittade en speciell ransomware-variant som heter RANSOM_CERBER.CAD. Den är avsedd att rikta sig till hem- och företagsanvändare av Microsoft 365, cloud computing och produktivitetsplattformar.

Cerber-varianten kan kryptera 442 filtyper med en kombination av AES-265 och RSA, ändra Internet Explorer-zoninställningar på datorn, ta bort skuggkopior, inaktivera Windows Startup Repair och avsluta Outlook-program, The bat!, Thunderbird och Microsoft Word.

Dessutom, och detta är beteende som presenteras av andra ransomware-varianter, frågar Cerber den geografiska platsen för det drabbade systemet. Om värdsystemet är medlem i Samväldet av oberoende stater (fd Sovjetunionens länder som Ryssland, Moldavien och Vitryssland), kommer ransomware att avslutas automatiskt.

Molnet som ett verktyg för förorening

Ransomware Petya dök upp först 2016. Några anmärkningsvärda saker om denna variant är först, Petya kan kryptera hela Master Boot Record (MBR) för en persondator, vilket får systemet att krascha. Detta gör hela systemet oanvändbart. Sedan, vid omstart, visades Petya-lösennotan istället, med en bild på en dödskalle och en begäran om betalning i Bitcoin.

För det andra spred sig Petya till flera system genom en infekterad fil lagrad på Dropbox, som maskerade sig som en sammanfattning. Länken är förklädd som applikationsdetaljer när den faktiskt länkar till en självextraherande körbar fil för att installera ransomware.

Lyckligtvis hittade en anonym programmerare ett sätt att knäcka Petyas kryptering. Denna metod kan upptäcka den krypteringsnyckel som behövs för att låsa upp MBR och släppa infångade filer.

Att använda molntjänster för att sprida ransomware är förståeligt. Användare har uppmuntrats att använda molnlagringslösningar för att säkerhetskopiera data eftersom det ger ett extra lager av säkerhet. Säkerhet är nyckeln till framgången för molntjänster. Ändå kan användarnas förtroende för molnsäkerhet utnyttjas för dåliga syften.

Kortfattat

Molnlagring, mappade eller omappade nätverksdrivrutiner och systemfiler förblir sårbara för ransomware. Det här är inte längre något nytt. Men distributörer av skadlig programvara riktar sig aktivt mot säkerhetskopior, vilket ökar användarnas oro. Tvärtom måste ytterligare försiktighetsåtgärder vidtas.

Hem- och företagsanvändare bör säkerhetskopiera viktiga filer till flyttbara hårddiskar. Att vidta åtgärder nu är den åtgärd som hjälper dig att återställa ditt system efter en oönskad ransomware-infektion från en otillförlitlig källa.