Zapobieganie Infekcjom Ransomware
Spis treści
Minęło 10 lat od rozpoczęcia ataków ransomware. Od tamtej pory stały się jednym, jeśli nie głównym narzędziem malware do celów wymuszenia pieniędzy od swoich ofiar. W ciągu 10 lat stały się one coraz bardziej złożone i zaawansowane, a z pewnością są znacznie bardziej uciążliwe. Ataki ransomware znacznie wzrosły od czasu ich powstania i są obecnie częścią naszego nowoczesnego leksykonu. Ostatnie kampanie ataków typu ransomware, takich jak WannaCry, pojawiły się w nagłówkach międzynarodowych tytułów, które to często dotyczyły kosztów i niedogodności. Niewiele uwagi poświęcono jednak temu, czym jest ransomware oraz jak jest dystrybuowane, a być może najważniejsze, jak zapobiec staniu się ofiarą takiego ataku. Zamierzeniem tego artykułu jest bardziej szczegółowe omówienie ignorowanych kwestii w nowych, krótkich odcinkach.
Czym jest ransomware?
Aby przedstawić podstawową definicję ransomware ważne jest, aby zwrócić uwagę na to, co złośliwy program chce osiągnąć oraz jaki cel mają cyberprzestępcy dystrybuujący go. Złośliwy program szyfruje dane użytkownika, tak aby nie mógł on uzyskać dostępu do swoich plików. Często zaszyfrowane typy plików obejmują ważne informacje biznesowe lub dane osobowe, które mogą zniszczyć reputację lub zagrozić przestrzeganiu przepisów. Gdy pliki są zaszyfrowane, użytkownikowi udostępniane są instrukcje zapłaty, które mówią, jak należy dokonać płatności, aby odszyfrować swoje dane. Podsumowując, dane użytkownika są skutecznie od niego zabierane, dopóki nie zostanie zapłacony okup. Najczęściej płatność jest wymagana do uiszczenia w Bitcoin lub innej kryptowalucie. Są one wykorzystywane, ponieważ zapewniają pewien stopień anonimowości dla żądań ransomware.
Historycznie ransomware wywodzi się z dwóch różnych rodzajów. Jeden z pierwszych wydanych rodzajów ransomware blokował ekran użytkownika, w wyniku czego użytkownik nie mógł uzyskać ponownego dostępu do swojego komputera w ogóle. Często było to nazywane ransomware locker. Popularność tego typu ransomware wydaje się zmniejszać. Drugim typem, najczęściej używanym, są warianty ransomware, które szyfrują określone pliki, co generalnie umożliwia użytkownikom ograniczony dostęp do swojego komputera. Ten ograniczony dostęp ma umożliwić użytkownikowi łatwiejsze i szybsze dokonanie płatności. Jest on nazywany krypto-ransomware. Z biegiem lat powstało wiele terminów, za pomocą których opisywano ransomware, tworząc tym samym dodatkowe nieporozumienia. Określenia takie jak krypto-ransomware, kryptowirusy i kryptolokery były używane do opisywania ransomware. Aby nie dodawać żadnych dalszych mylących terminów, używany w tym artykule termin "ransomware" jest używany w celu opisania złośliwego programu, który szyfruje lub ogranicza korzystanie z komputera przez użytkownika w celu wymuszenia okupu.
Zrzuty ekranu z 4 najbardziej rozpowszechnionymi ransomware Cerber, Locky, CryptXXX i Jaff:
Podsumowanie ataku:
Podczas gdy liczba ataków ransomware zwiększa się, dane z 2016 roku wskazują, że takie ataki wzrosły trzykrotnie w tym roku. Trzeba wiedzieć, w jaki sposób taki atak jest przeprowadzany. Należy wiedzieć, w jaki sposób złośliwy program jest dostarczany, wdrożony oraz jak wymuszony zostaje zakup. Sposób, w jaki ransomware jest dostarczane do systemu jest szczegółowo przeanalizowane później, ale w tej sekcji zostanie krótko omówione. Powodem, dla którego dystrybucja jest rozpatrywana bardziej szczegółowo, jest to, że jeśli możesz powstrzymać dostawę ransomware, możesz również powstrzymać dalsze powodowane przez nie zniszczenia. Poniższe informacje można traktować jako podsumowanie ataku:
- Dystrybucja: ransomware jest dostarczane do systemu ofiar na jeden z dwóch sposobów. Odbywa się to albo poprzez e-mail lub przez zestaw eksploitów dołączony do zainfekowanej strony internetowej (zostanie to szczegółowo omówione poniżej).
- Wykonywanie i szyfrowanie: często twórcy programu podejmują liczne środki, aby uniknąć wykrycia przez programy antywirusowe. Coraz popularniejszą metodą jest wprowadzenie kodu, który wprowadza kod do autentycznych usług używanych przez system operacyjny. Po pomyślnym ominięciu wirusów i zapory ransomware rozpoczyna wyszukiwanie plików, do których zaszyfrowania zostało zaprojektowane. Często celem mogą być pliki .docx .xlx lub niektóre typy plików graficznych. Bardziej zaawansowane warianty ransomware mogą rozprzestrzeniać się na dyski sieciowe w celu zainfekowania innych komputerów i systemów połączonych z pierwotnym celem. Po znalezieniu plików program rozpoczyna proces szyfrowania. Może to potrwać kilka minut lub sekund. Wariant Chimera z powodzeniem zaszyfrował pliki w ciągu 18 sekund. Często wykorzystywane są 128-bitowe protokoły szyfrowania, co czyni proces odszyfrowywania wyjątkowo trudnym i praktycznie niemożliwym dla kogoś bez wymaganej wiedzy.
- Okup: Po zakończeniu szyfrowania zostanie wyświetlona informacja o okupie lub ekran blokady, informujący użytkownika, że jego pliki zostały zaszyfrowane i ma określony czas na dokonanie płatności. W przeciwnym razie pliki pozostaną zaszyfrowane na stałe. Teoretycznie po otrzymaniu płatności cyberprzestępca wyśle kod do odszyfrowania. Zdarzyły się jednak przypadki, w których po dokonaniu płatności nie otrzymano żadnego kodu do odszyfrowania plików. Ważne jest, aby pamiętać, że jeśli jesteś gotów zapłacić, często wspierasz osoby prowadzące działalność przestępczą, a nie osoby o zasadach moralnych. Jak zawsze nie ma gwarancji, że po dokonaniu płatności otrzymasz kod do odszyfrowania. Na marginesie, istnieją firmy, które opracowują przewodniki po usuwaniu i odszyfrowywaniu, takie jak nasza strona internetowa. Mogą ci one pomóc w przypadku infekcji.
Pomimo, że powyższe podsumowanie jest uproszczeniem tego, jak atak odbywa się w praktyce, zapewnia ono unikatowy wgląd w to, jak ransomware jest dostarczany, wdrażane oraz w jaki sposób wymuszany jest od ofiar okup w kryptowalucie. W dalszej części przedyskutujemy to, jak te złośliwe programy są dostarczane lub rozpowszechniane, a następnie, w jaki sposób można zapobiec ich atakom.
Jak dostarczane jest ransomware
Jak wspomniano powyżej, ransomware jest dostarczane za pomocą dwóch głównych metod. Są to e-maile lub eksploity. Jeśli użytkownicy zdają sobie sprawę z tego, jak te złośliwe programy są dostarczane, uniemożliwi im to łatwiejszą perspektywę. Każda metoda będzie kolejno przedstawiona:
- E-mail: E-mail stał się ulubioną metodą dystrybuowania ransomware i malware. Jednym z powodów, dla których jest ona ulubiona jest to, że można na niej polegać, a także jest ona łatwą metodą dystrybucji. Ta metoda korzystania z e-maili jest często nazywana wyłudzaniem informacji. E-mail, który wygląda jak legalny e-mail, który wydaje się pochodzić z legalnej firmy, jest wysyłany z załącznikami zawierającymi ransomware, a często także innymi rodzajami malware. Po otwarciu tych załączników ransomware zostanie automatycznie zainstalowane w systemie użytkowników. Twórcy ransomware mogą również łączyć ze sobą zainfekowane strony internetowe zamiast używać zainfekowanych załączników. Phishing okazał się skuteczny. Verizon oszacował, że w 2016 roku zostało otwarte 30% e-maili wyłudzających informacje. Zatem wskaźnik trafienia to prawie jedna trzecia wszystkich e-maili. Metoda ta została przyjęta przez programistów ransomware jako główny sposób dystrybucji z tego właśnie powodu.
- Zestawy eksploitów: Zasadniczo zestaw eksploitów umożliwia producentowi ransomware przesłanie złośliwego kodu na dowolną stronę, do której ma dostęp. Kod został zaprojektowany do wykorzystania luk w zabezpieczeniach oprogramowania, które mogło zostać uruchomione przez użytkownika. W przeszłości program Adobe Flash Player był wykorzystany do dostarczania ransomware i różnych innych form malware. Niestety, nie jest to ograniczone do skromnych stron internetowych. W celu zwiększenia szybkości infekcji programiści będą używać legalnych i popularnych stron internetowych do dystrybuowania ransomware. Chociaż jest to niepokojące, nie ma powodów, aby użytkownicy nie korzystali z wielu korzyści, jakie oferuje Internet. Najlepszą ochroną przed takimi atakami jest po prostu bieżące aktualizowanie oprogramowania. Twórcy oprogramowania często używają aktualizacji w celu usunięcia luk w oprogramowaniu, ograniczając tym samym lukę w zabezpieczeniach użytkowników. Jak zobaczymy, aktualizacja oprogramowania jest jednym z głównych sposobów zapobiegania infekcji.
Zrzuty ekranu wiadomości e-mail, które są używane przez cyberprzestępców do dystrybuowania ransomware:
Zrzuty ekranu zainfekowanych załączników e-mail – złośliwe dokumenty, które zawierają makra, które po włączeniu instalują na komputerze ofiary ransomware:
Chociaż wszystko, co zostało napisane, może wydawać się bardzo zniechęcające, istnieją sposoby zapobiegania infekcjom. Jak mówi stare powiedzenie, „lepiej zapobiegać niż leczyć". To samo dotyczy ransomware, a wiele sposobów zapobiegania atakowi jest niezwykle prostych w obsłudze. Często wymagają one trochę dyscypliny i rozpoczęcia procesu. Kiedy ktoś rozważy, że cena za odszyfrowanie plików często kosztuje średnio 500 USD, zapobieganie jest czymś, co doceni jego portfel.
Jak zapobiegać infekcji
Poniżej można zobaczyć, jak zwiększyć swoją postawę bezpieczeństwa we wszystkich aspektach bezpieczeństwa cybernetycznego. Są łatwe do wdrożenia kroki i często nie wymagają nakładów inwestycyjnych. Polegają raczej na zdawaniu sobie sprawy z zagrożeń, z jakimi borykamy się codziennie po prostu używając z komputera podłączonego do internetu. Oto cztery metody wspomagania zapobiegania infekcji ransomware:
- Zapewnienie regularnego aktualizowania oprogramowania: twórcy oprogramowania nieustannie aktualizują oprogramowanie, co ma na celu zmniejszenie ilości luk w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców. Większość programów poinformuje użytkownika o konieczności aktualizacji lub będzie automatycznie je aktualizować, jeśli funkcja ta nie zostanie wyłączona. Może to być postrzegane jako ból ciągłego aktualizowania systemu i oprogramowania, ale jeśli wziąć pod uwagę, co może się stać, drobne niedogodności są zawsze korzystniejsze niż jedna większa. W niedawnym incydencie ataku WannaCry jedną z głównych przyczyn jego szerokiej dystrybucji było to, że ludzie nie pobrali i nie zainstalowali istotnych aktualizacji zabezpieczeń. W wielu przypadkach ludzie obwiniali Microsoft, a nie samych cyberprzestępców. Microsoft zrealizował już uaktualnienia, które zapobiegłyby wykorzystaniu luk w zabezpieczeniach, które wykorzystano podczas korzystania z DoublePulsar.
- Instalacja oprogramowania antywirusowego: Zapobiega to nie tylko atakom ransomware, ale również licznym atakom typu malware. Istnieje wiele produktów dostępnych na rynku i wymaga to pewnych badań rynkowych po twojej stronie, aby potwierdzić, które firmy są renomowane. To samo dotyczy innych programów, ponieważ musisz aktualizować oprogramowanie antywirusowe. Dzieje się tak, aby oprogramowanie mogło zablokować najnowsze warianty malware. Ta metoda zapobiegania wymaga wydawania ciężko zarobionych pieniędzy, ale w dłuższej perspektywie może zaoszczędzić ci ataku oraz wydania pieniędzy na finansowanie zorganizowanej cybeprzestępczości zamiast firmy mającej za zadanie ochronę twojego komputera.
- Zadbaj o otwieranie e-maili i bądź podejrzliwy wobec pop-upów: Ddostępne są na rynku doskonałe produkty filtrowania poczty e-mail dla zwiększenia bezpieczeństwa i zaleca się zakup jednego z nich. Dzięki temu można zapobiec wielu odmianom ransomware poprzez przyjęcie własnego procesu filtrowania. Po pierwsze, gdy otwierasz e-maile, sprawdź, czy zostały wysłane przez legalne źródło. Można to łatwo zobaczyć patrząc na adres nadawcy. Jeśli wygląda podejrzanie, nie otwieraj żadnych załączników. W treści wiadomości e-mail szybko poszukaj błędów w pisowni i gramatyce. Jest mało prawdopodobne, aby firmy wysyłały komunikaty e-mailowe zawierające oczywiste błędy, które źle wpływają na firmę. Należy również pamiętać, że banki i inne instytucje finansowe nigdy nie zwracają się do ciebie o podanie wrażliwych informacji, takich jak hasła dostępu do bankowości internetowej za pośrednictwem poczty elektronicznej. Niektóre warianty ransomware wymagają kliknięcia pop-up w celu uruchomienia ransomware. Nie klikaj na pop-up, raczej zamknij je, aby zapobiec infekcji.
- Przyzwyczaj się do tworzenia kopii zapasowych: nie dotyczy to zapobiegania, ale jeśli system jest zainfekowany, umożliwią one użytkownikowi usunięcie i przywrócenie wszystkich danych utworzonych z poprzedniej daty. Poprzez tworzenie regularnych kopii zapasowych można złagodzić potencjalne katastrofalne skutki infekcji ransomware. Tworzenie kopii zapasowych jest zalecane nie tylko do zwalczania zagrożeń cybernetycznych, ale również w przypadku awarii komputera. Jako dodatkowe zabezpieczenie, kopie zapasowe można przechowywać na wymiennym dysku twardym, który może być odłączony od komputera i przechowywany w bezpiecznym miejscu.
Można się z powodzeniem bronić lub zapobiec atakom ransomware za pomocą tych prostych środków. Większe firmy i duże korporacje mogą ustanowić surowsze polityki bezpieczeństwa, które ograniczają uprzywilejowany dostęp tylko do osób wykształconych w zakresie zagrożeń stojących przed organizacją. Polityki takie jak kontakt z działem IT, jeśli pracownik otrzyma podejrzany e-mail, mogą zaoszczędzić firmie dosłownie miliony dolarów w przypadku incydentu malware lub naruszenia danych.
Wniosek
Jednym z kluczowych elementów w zwalczaniu cyberzagrożeń zawsze była edukacja. W tym zakresie mamy nadzieję, że niniejszy artykuł podkreślił to, czym jest ransomware, jak jest dystrybuowane, a co najważniejsze, jak bronić się przed atakiem lub lepiej, jak zapobiegać atakowi. Korzystając z powyższych metod, z pewnością zwiększysz swoją pozycję w zabezpieczeniach i zdecydowanie podejmiesz duże wysiłki w celu zapobiegania atakowi. Wystarczy, na przykład, tworzyć kopie zapasowe, na przykład w razie wypadku, gdy masz ograniczone szkody spowodowane atakiem ransomware. Mamy nadzieję, że artykuł ten jest pouczający i kładzie światło na temat zagrożeń stwarzanych przez życie w erze cyfrowej.