Propaganda
Ransomware é um incômodo regular. Uma infecção por ransomware leva o computador como refém e exige pagamento pela liberação. Em alguns casos, um pagamento não protege seus arquivos. Fotos pessoais, músicas, filmes, trabalhos e muito mais são destruídos. A taxa de infecção por ransomware continua aumentando - infelizmente, ainda não atingimos o pico O ransomware como serviço trará caos a todosO ransomware está mudando de suas raízes como ferramenta de criminosos e malfeitores para um setor de serviços preocupante, no qual qualquer um pode se inscrever em um serviço de ransomware e atingir usuários como você e eu. consulte Mais informação - e sua complexidade está aumentando.
Houve exceções notáveis a esta regra. Em alguns casos, a segurança pesquisadores decifraram a criptografia de ransomware Bata os golpistas com essas ferramentas de descriptografia de RansomwareSe você foi infectado por ransomware, essas ferramentas de descriptografia gratuitas ajudarão você a desbloquear e recuperar seus arquivos perdidos. Não espere mais um minuto! consulte Mais informação
, permitindo que eles criar uma ferramenta de descriptografia cobiçada 5 sites e aplicativos para vencer o Ransomware e se protegerVocê já enfrentou um ataque de ransomware até agora, onde alguns de seus arquivos não estão mais acessíveis? Aqui estão algumas das ferramentas que você pode usar para evitar ou resolver esses problemas. consulte Mais informação . Esses eventos são raros, geralmente chegando quando uma botnet maliciosa é desativada. No entanto, nem todo ransomware é tão complexo quanto pensamos.A anatomia de um ataque
Ao contrário de algumas variantes comuns de malware, o ransomware tenta permanecer oculto pelo maior tempo possível. Isso é para dar tempo para criptografar seus arquivos pessoais. O ransomware foi projetado para manter a quantidade máxima de recursos do sistema disponível para o usuário, para não disparar o alarme. Consequentemente, para muitos usuários, a primeira indicação de uma infecção por ransomware é uma mensagem de pós-criptografia que explica o que aconteceu.
Comparado com outro malware Vírus, Spyware, Malware, etc. Explicado: Compreendendo as ameaças onlineQuando você começa a pensar em todas as coisas que poderiam dar errado ao navegar na Internet, a web começa a parecer um lugar bastante assustador. consulte Mais informação , o processo de infecção do ransomware é bastante previsível. O usuário fará o download de um arquivo infectado: contém a carga útil do ransomware. Quando o arquivo infectado é executado, nada parece acontecer imediatamente (dependendo do tipo de infecção). O usuário permanece inconsciente de que o ransomware começa a criptografar seus arquivos pessoais.
Além disso, um ataque de ransomware tem vários outros padrões comportamentais distintos:
- Nota distinta sobre o ransomware.
- Transmissão de dados em segundo plano entre os hosts e os servidores de controle.
- A entropia dos arquivos é alterada.
Entropia de arquivo
A entropia de arquivo pode ser usada para identificar arquivos criptografados com ransomware. Escrevendo para o Internet Storm Center, Rob VandenBrink esboça brevemente entropia de arquivo e ransomware:
No setor de TI, a entropia de um arquivo refere-se a uma medida específica de aleatoriedade chamada "Entropia de Shannon", denominada Claude Shannon. Esse valor é essencialmente uma medida da previsibilidade de qualquer caractere específico no arquivo, com base nos caracteres anteriores (detalhes completos e matemática aqui). Em outras palavras, é uma medida da "aleatoriedade" dos dados em um arquivo - medida em uma escala de 1 a 8, onde arquivos de texto típicos terão um valor baixo e arquivos criptografados ou compactados terão um alto a medida.
Eu sugeriria a leitura do artigo original, pois é muito interessante.
Você não pode resolver o ransomware com um algoritmo de entropia sofisticado encontrado no Google ;-) O problema é um pouco mais complexo que isso.
- O monstro mach (@osxreverser) 20 de abril de 2016
É diferente do malware "comum"?
Ransomware e malware compartilham um objetivo comum: permanecer ocultos. O usuário mantém a chance de combater a infecção se ela for detectada em pouco tempo. A palavra mágica é "criptografia". O ransomware ocupa seu lugar na infâmia pelo uso de criptografia, enquanto a criptografia é usada em malware há muito tempo.
A criptografia ajuda o malware a passar sob o radar dos programas antivírus, confundindo a detecção de assinatura. Em vez de ver uma série de caracteres reconhecíveis que alertariam uma barreira de defesa, a infecção passa despercebida. Embora os pacotes de antivírus estejam se tornando mais hábeis em perceber essas cadeias - geralmente conhecidas como hashes - é trivial para muitos desenvolvedores de malware contornar.
Métodos comuns de ofuscação
Aqui estão alguns métodos mais comuns de ofuscação:
- Detecção - Muitas variantes de malware podem detectar se estão sendo usadas em um ambiente virtualizado. Isso permite que o malware evite a atenção dos pesquisadores de segurança, simplesmente se recusando a executar ou descompactar. Por sua vez, isso interrompe a criação de uma assinatura de segurança atualizada.
- Cronometragem - Os melhores pacotes de antivírus estão constantemente alertas, procurando uma nova ameaça. Infelizmente, os programas antivírus gerais não podem proteger todos os aspectos do seu sistema o tempo todo. Por exemplo, alguns malwares serão implantados somente após a reinicialização do sistema, escapando (e provavelmente desativando no processo) das operações do antivírus.
- Comunicação - O malware ligará para o servidor de comando e controle (C&C) para obter instruções. Isso não é verdade para todos os malwares. No entanto, quando o fazem, um programa antivírus pode detectar endereços IP específicos conhecidos por hospedar servidores C&C e tentar impedir a comunicação. Nesse caso, os desenvolvedores de malware simplesmente alternam o endereço do servidor C&C, evitando a detecção.
- Operação falsa - Um programa falso habilmente criado é talvez uma das notificações mais comuns de uma infecção por malware. Usuários inconscientes assumem que essa é uma parte regular do sistema operacional (geralmente Windows) e seguem alegremente as instruções na tela. Isso é particularmente perigoso para usuários de PC não qualificados e, embora atue como um front-end amigável, pode permitir que várias entidades mal-intencionadas acessem um sistema.
Esta lista não é exaustiva. No entanto, ele cobre alguns dos métodos mais comuns que o malware usa para permanecer oculto no seu PC.
O Ransomware é simples?
Simples é talvez a palavra errada. O ransomware é diferente. Uma variante de ransomware usa criptografia mais extensivamente do que suas contrapartes, bem como de uma maneira diferente. o ações de uma infecção por ransomware é o que a torna notável, além de criar uma aura: ransomware é algo a temer.
Quando #ransomware vai escalar e bater #IoT e #Bitcoin, será tarde demais para fragmentar TODOS os seus dados de TI. Por favor faça agora. #Hack
- Maxime Kozminski (@MaxKozminski) 20 de fevereiro de 2017
O ransomware usa recursos um tanto novos, como:
- Criptografando grandes quantidades de arquivos.
- Excluir cópias de sombra que normalmente permitiriam aos usuários restaurar a partir do backup.
- Criando e armazenando chaves de criptografia em servidores C&C remotos.
- Exigir um resgate, geralmente em Bitcoin não rastreável.
Enquanto o malware tradicional “apenas” rouba suas credenciais e senhas de usuário, o ransomware afeta diretamente você, perturbando o ambiente imediato da computação. Além disso, suas consequências são muito visuais.
Táticas de ransomware: tabela de arquivos mestre
"Uau!" Do Ransomware certamente vem do uso de criptografia. Mas a sofisticação é tudo o que parece? Engin Kirda, co-fundador e arquiteto-chefe da Lastline Labs, acha que não. Ele e sua equipe (usando a pesquisa realizada por Amin Kharraz, um dos estudantes de doutorado de Kirda) concluiu um enorme estudo de ransomware, analisando 1359 amostras de 15 famílias de ransomware. Sua análise explorou os mecanismos de exclusão e encontrou alguns resultados interessantes.
Quais são os mecanismos de exclusão? Cerca de 36% das cinco famílias de ransomware mais comuns do conjunto de dados estavam excluindo arquivos. Se você não pagou, os arquivos estavam realmente sendo excluídos. A maior parte da exclusão, de fato, foi bastante direta.
Como uma pessoa profissional faria isso? Eles realmente pretendem limpar o disco para que seja difícil recuperar os dados. Você escreveria sobre o disco, limparia esse arquivo do disco. Mas a maioria deles era, obviamente, preguiçosa, e eles estavam trabalhando diretamente nas entradas da Tabela de Arquivos Mestres e marcando as coisas como excluídas, mas os dados ainda estavam no disco.
Posteriormente, esses dados excluídos podem ser recuperados e, em muitos casos, totalmente recuperados.
Táticas de Ransomware: Ambiente de Trabalho
Outro comportamento clássico do ransomware está bloqueando a área de trabalho. Esse tipo de ataque está presente em variantes mais básicas. Em vez de realmente continuar com os arquivos criptografados e excluídos, o ransomware bloqueia a área de trabalho, forçando o usuário a partir da máquina. A maioria dos usuários entende isso como significando que seus arquivos foram removidos (criptografados ou completamente excluídos) e simplesmente não podem ser recuperados.
Táticas de Ransomware: Mensagens Forçadas
As infecções por ransomware notoriamente exibem sua nota de resgate. Geralmente, exige pagamento do usuário pela devolução segura de seus arquivos. Além disso, os desenvolvedores de ransomware enviam usuários para páginas específicas da web enquanto desabilitam certos recursos do sistema - para que não possam se livrar da página / imagem. Isso é semelhante a um ambiente de área de trabalho bloqueado. Isso não significa automaticamente que os arquivos do usuário foram criptografados ou excluídos.
Pense antes de pagar
Uma infecção por ransomware pode ser devastadora. Isso é inquestionável. No entanto, ser atingido com ransomware não significa automaticamente que seus dados se foram para sempre. Os desenvolvedores de ransomware não são todos programadores incríveis. Se houver uma rota fácil para ganhos financeiros imediatos, ela será adotada. Isso, no conhecimento seguro de que alguns usuários pagarão 5 razões pelas quais você não deve pagar golpistas de RansomwareO ransomware é assustador e você não quer ser atingido por ele - mas mesmo se o fizer, existem razões convincentes para você NÃO pagar o referido resgate! consulte Mais informação por causa da ameaça imediata e direta. É completamente compreensível.
Os melhores métodos de mitigação de ransomware permanecem: faça backup de seus arquivos regularmente em uma unidade sem rede, mantenha seu antivírus navegadores de suíte e de internet atualizados, atente para e-mails de phishing e seja sensato sobre o download de arquivos do Internet.
Crédito de imagem: andras_csontos via Shutterstock.com
Gavin é escritor sênior do MUO. Ele também é o editor e o gerente de SEO do site irmão da MakeUseOf, Blocks Decoded. Ele tem uma redação contemporânea BA (Hons) com práticas de arte digital saqueadas nas montanhas de Devon, além de mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá.