Содержание
Ransomware немного похож на песок. Это происходит везде, и делает ваши бутерброды хрустящими. Хорошо, возможно, не последний. Но вымогатель инвазивен и может зашифровать больше, чем вы думаете. Уничтожение ваших личных файлов достаточно болезненно, и вымогатели не будут атаковать ваши резервные копии.
Существует несколько вариантов вымогателей, которые атакуют не только ваш основной жесткий диск, но и любой другой системный диск. Облачные диски также не удалены с линии огня. Время пришло — вам нужно подумать, как именно вы создаете резервную копию своих файлов, а также где хранятся эти резервные копии.
Вымогателей хиты везде
Мы знаем, что атака вымогателей может иметь разрушительные последствия. Ransomware представляет собой особую неприятность из-за файлов, на которые он нацелен: фотографии, музыка, фильмы и документы всех типов, и это лишь некоторые из них. Ваш жесткий диск, заполненный личными, рабочими и бизнес-файлами, является основной целью шифрования. Зашифровавшись, вы получите уведомление о выкупе с требованием оплаты — как правило, в практически не отслеживаемом биткойне
— для безопасного выпуска ваших файлов.
И даже в этом случае нет никакой гарантии, что вы получите ключ шифрования или инструмент дешифрования.
CryptoLocker
CryptoLocker Ransomware является одним из таких вариантов
это шифрует не только ваш локальный жесткий диск. Впервые он появился в 2013 году, распространяясь через зараженные вложения электронной почты. После установки CryptoLocker в системе он сканирует локальный жесткий диск на предмет определенного списка расширений файлов. Кроме того, он сканирует любые подключенные диски, будь то USB или сетевой диск.
Сетевой диск с доступом для чтения / записи будет зашифрован так же, как и локальный жесткий диск. Это представляет проблему для предприятий, где сотрудники получают доступ к общим сетевым папкам.
К счастью, исследователи безопасности выпустили копию
базы данных жертвы CryptLocker, в комплекте с каждым ключом шифрования. Они создали портал Decrypt CryptoLocker, чтобы помочь жертвам расшифровать свои файлы
,
Но, по их собственному признанию, им «в основном повезло», считывая базу данных жертв во время глобального уничтожения огромного ботнета Gameover Zeus
,
Эволюция: CryptoFortress
CryptoLocker появился и унес более 500 000 жертв. По словам Кейта Джарвиса из Dell SecureWorks, CryptoLocker, возможно, вымогал до 30 миллионов долларов за первые 100 дней работы (150 миллионов долларов, если все 500 000 жертв заплатили выкуп в 300 долларов). Тем не менее, CryptoLocker не был началом конца для вымогателей для сопоставления сетевых драйверов.
Шифрование CRYPTOFORTRESS использует 2048-битное шифрование RSA-AES. Этот тип шифрования займет расшифровку компьютера 6,4 квадриллиона лет.
— CyberShiftTech (@CyberShiftTech) 25 мая 2016 г.
CryptoFortress был обнаружен в 2015 году уважаемым исследователем безопасности Kafeine. Это имеет внешний вид и подход TorrentLocker
Но есть одно важное новшество: он может зашифровывать неподключенные сетевые диски.
Обычно вымогатель получает список подключенных сетевых дисков, например, C :, D :, E: и так далее. Затем он сканирует диски, сравнивая расширения файлов, а затем шифрует те, которые соответствуют. Кроме того, CryptoFortress перечисляет все открытые сетевые общие ресурсы блока сообщений сервера (SMB) и шифрует все найденные.
А потом пришел Локи
Локи является еще одним вариантом вымогателей
, печально известный изменением каждого расширения файла на .locky, а также таргетингом на wallet.dat — биткойн-кошельки. Локки также предназначается для локальных файлов и файлов на несопоставленных сетевых ресурсах, полностью зашифровывая имена файлов в процессе. Эта борьба делает процесс восстановления более сложным предложением.
На данный момент у Локи нет расшифровщика.
Ransomware в облаке
Ransomware превзошел наше локальное и сетевое физическое хранилище, превратившись в облако. Это представляет значительную проблему. Облачное хранилище регулярно рекламируется как один из самых безопасных вариантов резервного копирования. Резервное копирование данных вдали от локальных и ближайших общих сетевых ресурсов должно обеспечивать изоляцию. К сожалению, некоторые варианты вымогателей убрали эту безопасность.
Отчет RightScale State of Cloud показал, что 82 процента предприятий используют мультиоблачные стратегии. Дальнейшее исследование (электронная книга Slideshare) от Intuit показало, что к 2020 году 78% малых предприятий будут полностью в облаке. Резкая миграция крупных и малых предприятий делает облачный сервис созданием четко определенной цели для поставщиков вымогателей.
Ransom_Cerber.cad
Злоумышленники найдут выход. Социальная инженерия и фишинговые электронные письма являются основными инструментами, и их можно использовать для обхода надежных мер безопасности. Исследователи безопасности Trend Micro нашли конкретный вариант вымогателей под названием RANSOM_CERBER.CAD. Он предназначен для домашних и бизнес-пользователей Microsoft 365, облачной платформы и платформы для повышения производительности.
Вариант Cerber способен «шифровать 442 типа файлов с использованием комбинации AES-265 и RSA, изменять настройки зоны Internet Explorer на машине, удалять теневые копии, отключать восстановление при загрузке Windows и завершать процессы», включая Outlook, The Bat !, Thunderbird, и Microsoft Word.
Кроме того, и это поведение, демонстрируемое другими вариантами вымогателей, Cerber запрашивает геолокацию уязвимой системы. Если принимающая система является членом Содружества Независимых Государств (стран бывшего Советского Союза, таких как Россия, Молдова и Беларусь), вымогатель завершит свою работу.
Облако как инструмент заражения
Петя Ransomware впервые появился в 2016 году. Он был отмечен несколькими вещами. Во-первых, Петя может зашифровать всю основную загрузочную запись ПК (MBR), в результате чего система вылетает на синий экран. Это делает всю систему практически непригодной для использования. При перезагрузке вместо этого отображается записка о выкупе Пети с черепом и требованием оплаты в биткойнах.
Во-вторых, Петя был распространен на некоторые системы через зараженный файл, размещенный на Dropbox, выдавая себя за резюме. Ссылка замаскирована под детали заявителя, тогда как на самом деле она ссылается на самораспаковывающийся исполняемый файл, который устанавливает вымогателей.
В результате удачи неизвестному программисту удалось взломать Petya Ransomware.
шифрование. Взломщик способен выявить ключ шифрования, необходимый для разблокировки MBR и освобождения файлов.
Использование облачного сервиса для распространения вымогателей понятно. Пользователям рекомендуется использовать облачные решения для резервного копирования данных, поскольку это обеспечивает дополнительный уровень безопасности. Безопасность является основой успеха облачных сервисов. Эту веру теперь можно жестоко эксплуатировать, когда народы верят в безопасность облака, обращенную против них.
Ransomware получает везде
Облачное хранилище, подключенные и неподключенные сетевые диски и локальные файлы остаются уязвимыми для вымогателей. Это не ново. Тем не менее, злоумышленники, активно нацеленные на резервные копии файлов, повышают уровень беспокойства. В свою очередь, это означает, что необходимо принять дополнительные меры предосторожности.
Хранение отдельной автономной резервной копии
важных файлов теперь жизненно важен как для домашних, так и для деловых пользователей. Сделайте это сейчас — это может быть действие, которое поможет вам восстановить жизненно важные органы после неожиданной инфекции вымогателей, из столь же неожиданного источника.
Были ли у вас облачные хранилища проникли вымогателей? Что ты сделал? Какое ваше любимое решение для резервного копирования? Поделитесь своими советами по безопасности облачного хранилища с нашими читателями ниже!
Авторы изображений: iJeab / Shutterstock
