Ransomware е вид злонамерен софтуер, който блокира потребителите от техните компютърни системи и криптира техните файлове, като дава на нападателите контрол над всяка лична информация, съхранявана на устройствата на жертвите. След това киберпрестъпниците заплашват да задържат чувствителните данни на жертвите, докато не бъде платен откуп – оттук и „откупът“ в името на софтуера.
Как работи Ransomware?
Определящата характеристика на рансъмуера е, че той се използва като инструмент за изнудване и има различни начини киберпрестъпниците да експлоатират този вид зловреден софтуер, за да получат достъп до устройствата на жертвите. Едно от най -често срещаните средства за ransomware е фишинг имейл кампания – на жертвите се изпращат имейли, съдържащи злонамерени прикачени файлове от на пръв поглед надежден източник, които заразяват компютъра им, след като бъдат отворени.
След като успешно поемат контрола върху компютъра на жертвата, нападателите продължават да шифроват някои или всички файлове на потребителя, като документи на Word, PDF файлове, изображения, бази данни и т.н. Рансъмуерът може също да експлоатира цели мрежови уязвимости, които могат да се разпространят в други свързани системи и дори в цели организации.
В края на процеса нападателят изпраща на жертвата съобщение, обясняващо, че файловете им вече са компрометирани и могат да бъдат декриптирани само ако е платен откуп. Откупът най -често се иска под формата на непроследимо биткойн плащане, което да бъде платено на нападателя.
Кой е мишена за Ransomware?
Целите на рансъмуера могат да бъдат индивидуални потребители, малък и среден бизнес или по-големи корпоративни организации. Как престъпниците избират целите си обикновено се свежда до въпрос на възможност. Например, те могат да преследват групи с по -малки екипи за сигурност като университети поради по -слабата им защита и високите нива на споделяне на файлове.
Друга често срещана цел са организациите, които са по -склонни да плащат своевременно откуп. Правителствените агенции, банките, адвокатските кантори и медицинските заведения попадат в тази категория, тъй като те вероятно ще се нуждаят от незабавен достъп до чувствителни клиентски файлове и биха били по -склонни да платят откуп, ако това означава да се премълчава новината за нарушение на организационната сигурност.
И накрая, обичайно е престъпниците да се насочват към големи корпоративни предприятия с надеждата да получат по -голямо изплащане. Атаките в тази категория обикновено са насочени към предприятия в Обединеното кралство, САЩ и Канада поради по -голямото богатство и големия обем на използване на персонални компютри.
Видове Ransomware
Въпреки че има безброй щамове от ransomware, повечето атаки попадат в две основни категории: crypto ransomware и locker ransomware.
Крипто -рансъмуерът работи, като криптира чувствителните компютърни файлове на жертвите и изисква откуп, преди файловете да могат да бъдат възстановени.
Locker ransomware не криптира файлове. Вместо това той компрометира основните компютърни функции и заключва жертвата изцяло от устройството й, докато не бъде платен откуп.
Тежестта на заплахата, произтичаща от атака с ransomware, ще зависи от използвания вариант на ransomware, а методите за разрешаване ще се различават в зависимост от вида на злонамерен софтуер в действие.
Примери за рансъмуер
Въпреки че ransomware съществува само от няколко десетилетия, през последните пет години той се развива бързо, благодарение на нарастващата наличност на непроследими начини на плащане като Bitcoin. Ето някои от най -тежките нарушители до момента.
- CryptoLocker
CryptoLocker беше една от първите широко разпространени атаки с ransomware, използващи криптиране на публичен ключ. Тази атака от 2013г. постави началото на съвременната епоха на рансъмуера и компрометира до 500 000 машини между 2013 и 2014г. Плащане се изискваше под формата на биткойн или предплатен ваучер и по това време експертите смятаха, че използваният зловреден софтуер е непроницаем.
До 2014 г. охранителна фирма най -накрая получи достъп до сървър, участващ в атаката, и успешно възстанови задържаните ключове за криптиране, но нападателите все пак успяха да спечелят близо 3 милиона долара, преди да бъдат затворени.
- WannaCry
WannaCry е атака от 2017г., която се разпространи в над 150 държави, насочена към уязвимости в сигурността в софтуера на Windows. Атаката заразява 230 000 устройства по целия свят, блокирайки компютрите на потребителите, докато не бъде платен откуп в биткойн.
Атаката WannaCry функционира чрез използване на уязвимост на операционната система, за която е установено, че е съществувала много преди атаката, и събитието в крайна сметка хвърли светлина върху проблема с остарелите системи за сигурност. В световен мащаб WannaCry причини средно 4 милиарда долара финансови загуби.
- NotPetya
NotPetya беше глобална атака през 2017г., насочена предимно към Украйна. Първоначално се смяташе, че е нов щам на ransomware Petya – форма на зловреден софтуер, който заразява целевия компютър, криптира данните му и изисква биткойн откуп за възстановяване на файловете. Но по -късно се оказа,че NotPetya е изцяло нов вид рансъмуер, известен като чистачка, чиято единствена цел е да унищожи компрометираните данни, вместо да ги връща срещу откуп.
- BadRabbit
BadRabbit е софтуер за откуп, който зарази медийни компании в Русия и Източна Европа през 2019г. Атаката беше извършена чрез разпространението на фалшива актуализация на Adobe Flash, която зарази устройствата на жертвите при изтегляне, насочвайки ги към страница за плащане на биткойн откуп. За разлика от атаката NotPetya, атаката BadRabbit позволява декриптиране, ако е получено плащане.
Как да се предпазим от зараза с рансъмуер
Както при всяка заплаха за киберсигурността, методите за превенция са почти винаги по -добри от намирането на лек, когато е твърде късно. Следвайте най -добрите практики за превенция по -долу, за да намалите шансовете за атака.
- -Архивирайте данните си: Най -добрият начин да избегнете завинаги блокиране на вашите чувствителни файлове е да внимавате за периодичното архивиране на вашите данни. Най -добре е да направите това в облака или с външен твърд диск. Ако все пак усетите атака, можете просто да изтриете устройството си и да преинсталирате файловете си с архива си.
- -Защитете имейла си: имейл кампаниите за фишинг са едно от най -разпространените средства за разпространение на ransomware, така че защитата на имейла ви е от решаващо значение. На организационно ниво оборудването на работната ви сила за разпознаване на подозрителни имейли може да спре атаката, преди тя да причини някаква вреда.
- -Поддържайте системите актуализирани: Редовното актуализиране на вашия софтуер е един от най -простите начини за предотвратяване на всякакви кибератаки. Всяка налична актуализация на софтуера смекчава новооткритите уязвимости в сигурността, което затруднява нападателите да експлоатират остарял софтуер.
- -Никога не щракнете върху подозрителни връзки: Независимо дали е прикачен файл към имейл или линк, намерен онлайн, никога не кликвайте върху връзки в спам съобщения или неизвестни уебсайтове. Простото щракване върху злонамерена връзка може да инициира автоматично изтегляне, което заразява компютъра ви незабавно.
- -Не разкривайте лична информация: Никога не отговаряйте на имейли или текстови съобщения от неизвестен източник, изискващи лична информация, дори ако те твърдят, че са на някой, на когото имате доверие.
- -Използвайте софтуер за сигурност: Инсталирането на надежден софтуер за сигурност е един от най -лесните начини да защитите данните си. За да подобрите защитата, изберете такава, която предлага не само антивирусни функции-някои имат възможности за откриване на заплахи между платформи, които могат да пазят всичките ви устройства в безопасност.
Как да отговорите на атака с Ransomware
Ако сте претърпели атака, времето е от съществено значение и е важно да действате възможно най -бързо. Има няколко стъпки, които можете да предприемете, за да сведете до минимум щетите и да се надяваме бързо да се възстановите от атаката.
- -Изолирайте заразеното устройство: За да се гарантира безопасността на вашата мрежа, споделени устройства и други устройства, от решаващо значение е да изключите засегнатото устройство от мрежата възможно най -скоро. Това може да предотврати заразяване на други свързани устройства.
- -Оценете всички други свързани устройства: Изолирането на заразеното устройство не винаги гарантира, че ransomware не съществува другаде във вашата мрежа. За да спрете разпространението му, оценете всички други свързани устройства и изключете всички, които се държат подозрително.
- -Докладвайте на властите: Ransomware е престъпление като всяко друго, което трябва да бъде докладвано на правоприлагащите органи. Федералните власти също могат да имат достъп до инструменти, които могат да помогнат за извличането на откраднати данни и локализирането на нападателите.
Може ли рансъмуер да бъде премахнат?
Премахването на Ransomware зависи от вида, с който имате работа, и ще трябва да имате инсталиран софтуер за сигурност преди атаката – но в някои случаи е възможно премахването. Ето какво можете да направите:
- -Изключете заразеното устройство от интернет възможно най -скоро, за да предотвратите разпространението на ransomware.
- -Сканирайте за злонамерени файлове и ги премахнете с помощта на софтуер за сигурност. Ако сте жертва на софтуер с блокиране на екрана, това може да не е възможно.
- -Възстановете достъпа до вашите данни чрез инструмент за декриптиране, свързан към вашия софтуер за сигурност. Тази стъпка ще зависи от софтуера за сигурност, който имате.
- -Възстановете изгубените си файлове, ако имате резервно копие на външни носители.
Ако не можете да изпълните горните стъпки, единствената оставаща опция е да върнете компютъра към фабричните настройки. За допълнителна помощ най -добре е да се свържете с техническата поддръжка на производителя на вашето устройство.
Ransomware представлява значителна заплаха както за потребителите, така и за компаниите, а нападателите извършват все по – сложни атаки с напредването на технологиите. Що се отнася до защитата, превенцията е почти винаги по-добра от лечението след атака-това означава, че образованието ви за ransomware и как да използвате вашите устройства безопасно е от съществено значение за предотвратяване на атака. За по -голяма сигурност не забравяйте да инсталирате антивирусен софтуер на всичките си устройства, за да намалите вероятността от инфекция.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
AntivirusBG – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08