Και τι είναι Ransomware αυτό;
Εάν είστε αρκετά τυχεροί για να μην έχετε συναντήσει Ransomware , να γνωρίζετε ότι είναι ένας τύπος κακόβουλου λογισμικού που κρυπτογραφεί αρχεία και ουσιαστικά τα παίρνει για ομηρία απαιτώντας μια πληρωμή για την αποκρυπτογράφηση τους. Κρυπτογραφεί όλα τα προσωπικά αρχεία, τα οποία στη συνέχεια καθίστανται μη αναγνωρίσιμα, εκτός αν εκτελούνται μέσω ενός ειδικού προγράμματος αποκρυπτογράφησης. Ωστόσο, οι μόνοι άνθρωποι με αποκρυπτογραφητή είναι συχνά οι εγκληματίες του κυβερνοχώρου που χειρίζονται το Ransomware . Εάν οι χρήστες αρνούνται να πληρώσουν τα λύτρα, δεν είναι ασυνήθιστο τα αρχεία να παραμένουν χαμένα για τα καλά. Εκτός, φυσικά, αν τα θύματα έχουν ενισχύσεις.
Τα τελευταία πέντε χρόνια, Ransomware έχει γίνει μία από τις μεγαλύτερες απειλές για την ασφάλεια στον κυβερνοχώρο όχι μόνο για μεμονωμένους χρήστες αλλά και για επιχειρήσεις και οργανισμούς. Κάθε χρόνο, Ransomware προκαλεί ζημιές δισεκατομμυρίων δολαρίων, και το ποσό αυξάνεται σημαντικά. Μόνο το 2020, Ransomware προκάλεσε ζημιές αξίας 20 δισεκατομμυρίων δολαρίων. Σε μόλις δύο χρόνια, οι ζημιές που προκλήθηκαν από τον Ransomware διπλασιασμό.
Με την πάροδο των ετών, οι στόχοι έχουν μετατοπιστεί από μεμονωμένους χρήστες σε μικρές επιχειρήσεις και επιχειρήσεις, καθώς και σε κυβερνητικές εγκαταστάσεις. Ακόμη και ο τομέας της υγειονομικής περίθαλψης βρίσκεται στο στόχαστρο. Σε αντίθεση με μεμονωμένους χρήστες, οι μεγαλύτεροι στόχοι μπορούν να πληρώσουν εκατοντάδες χιλιάδες δολάρια σε λύτρα, γι “αυτό είναι ένας τόσο ευνοημένος στόχος για εγκληματίες του κυβερνοχώρου, Ransomware ειδικά συμμορίες.
Αν θέλετε να εξοικειωθείτε με Ransomware , πώς εξαπλώνεται, τον τρόπο που λειτουργεί και πώς να προστατευτείτε, συνεχίστε να διαβάζετε καθώς θα εξηγήσουμε λεπτομερέστερα.
Πώς Ransomware λειτουργεί
- Μόλυνση
Το πρώτο βήμα μιας Ransomware επίθεσης είναι να μπεις στο σύστημα-στόχο. Στην περίπτωση μεμονωμένων Ransomware χρηστών, συνήθως μπαίνει όταν οι χρήστες ανοίγουν κακόβουλα αρχεία, τα οποία λαμβάνουν από μηνύματα ηλεκτρονικού ταχυδρομείου malspam, ιστότοπους torrent κ.λπ. Μόλις ανοίξει το κακόβουλο αρχείο, Ransomware ξεκινήστε τη διαδικασία κρυπτογράφησης.
Για να μολύνουν μεγαλύτερους στόχους, όπως εταιρείες και κυβερνητικές υπηρεσίες, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διαφορετικές τακτικές, όπως η κατάχρηση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας, το οποίο ουσιαστικά τους επιτρέπει να μπουν στο σύστημα-στόχο και να ξεκινήσουν Ransomware οι ίδιοι.
- Κρυπτογράφηση αρχείων
Όταν οι χρήστες ξεκινούν Ransomware το , θα αρχίσει να κρυπτογραφεί αρχεία. Όλα Ransomware στοχεύουν κυρίως προσωπικά αρχεία, συμπεριλαμβανομένων φωτογραφιών, εγγράφων και βίντεο. Η λίστα των στοχευμένων τύπων αρχείων είναι συνήθως πολύ εκτεταμένη, αλλά εξαρτάται από τα Ransomware αρχεία που στοχεύει ακριβώς. Αλλά συνολικά, η πλειοψηφία των προσωπικών αρχείων θα κρυπτογραφηθεί.
Τα αρχεία θα γίνουν μη αναγνωρίσιμα μόλις κρυπτογραφηθούν. Τα θύματα μπορούν να προσδιορίσουν ποια αρχεία έχουν κρυπτογραφηθεί από την επέκταση που προστέθηκε σε κρυπτογραφημένα αρχεία. Διαφορετικά Ransomware προσθέστε διαφορετικές επεκτάσεις, που είναι συνήθως ο τρόπος με τον οποίο τα θύματα μπορούν να καθορίσουν με ποιο έχουν να κάνουν εάν το όνομα δεν αναφέρεται στο σημείωμα λύτρων.
- Τα λύτρα
Μόλις τα αρχεία τελειώσουν να κρυπτογραφούνται, Ransomware θα πέσει ένα σημείωμα λύτρας. Γενικά, Ransomware οι οικογένειες χρησιμοποιούν τις ίδιες σημειώσεις ξανά και ξανά, απαιτώντας το ίδιο ποσό. Για παράδειγμα, η διαβόητη οικογένεια Djvu Ransomware χρησιμοποιεί πάντα το ίδιο πανομοιότυπο σημείωμα λύτρων κάθε φορά. Οι σημειώσεις συνήθως εξηγούν ότι τα αρχεία έχουν κρυπτογραφηθεί και προσφέρουν έναν αποκρυπτογραφητή στην τιμή. Το ποσό των λύτρων είναι διαφορετικό, ανάλογα με το ποιος Ransomware είναι υπεύθυνος.
Για μεμονωμένους χρήστες, το ποσό λύτρων κυμαίνεται συνήθως από $ 100 έως $ 2000. Ωστόσο, για τις επιχειρήσεις και τους οργανισμούς, το ποσό που ζητείται μπορεί να κυμαίνεται σε εκατοντάδες χιλιάδες, ή ακόμη και εκατομμύρια δολάρια.
Το θέμα με την πληρωμή των λύτρων είναι ότι δεν εγγυάται πάντα αποκρυπτογράφηση αρχείων. Ενώ οι εγκληματίες του κυβερνοχώρου υπόσχονται να παρέχουν έναν λειτουργικό αποκρυπτογραφητή, δεν εκπληρώνουν πάντα αυτές τις υποσχέσεις, επιλέγοντας αντ “αυτού να πάρουν τα χρήματα και να μην στείλουν τίποτα σε αντάλλαγμα. Ακόμη και οι αρχές ενθαρρύνουν τα θύματα να μην πληρώνουν τα λύτρα. Ωστόσο, στο τέλος, το αν οι χρήστες πληρώνουν τα λύτρα είναι απόφαση κάθε θύματος.
- εκβιασμός
Αυτή είναι μια σχετικά νέα πρακτική και συνήθως χρησιμοποιείται ενάντια σε μεγαλύτερους στόχους, όπως εταιρείες ή οργανισμούς. Πολλές εταιρείες που γίνονται θύματα Ransomware επιθέσεων έχουν αντίγραφα ασφαλείας και θα είναι σε θέση να αποκαταστήσουν δεδομένα και τακτικές λειτουργίες αρκετά γρήγορα, πράγμα που σημαίνει ότι δεν θα χρειαζόταν να πληρώσουν τα λύτρα. Ωστόσο, για να προσπαθήσουν να αναγκάσουν τους στόχους να πληρώσουν τα λύτρα, οι εγκληματίες του κυβερνοχώρου έχουν αρχίσει ουσιαστικά να τους εκβιάζουν απειλώντας να δημοσιοποιήσουν δεδομένα που έχουν κλέψει. Το πόσο αποτελεσματική μπορεί να είναι αυτή η νέα τακτική είναι δύσκολο να πει κανείς, διότι δεν αναφέρουν όλα τα θύματα τις επιθέσεις. Και η πλειοψηφία αυτών που το κάνουν, δεν πληρώνουν τα λύτρα.
Ransomware Ωστόσο, οι συμμορίες εκπληρώνουν την υπόσχεσή τους να δημοσιοποιήσουν τα δεδομένα. Ένα παράδειγμα είναι η Ransomware επίθεση κατά του CD Projekt, προγραμματιστή δημοφιλών βιντεοπαιχνιδών Witcher 3 και Cyberpunk 2077. Η εταιρεία έγινε στόχος μιας Ransomware συμμορίας που έκλεψε τους κωδικούς προέλευσης για τα εν λόγω παιχνίδια. Το ποσό των ζητούμενων λύτρων δεν έχει αποκαλυφθεί, αλλά η CD Projekt αρνήθηκε να το πληρώσει. Πολλοί αναλυτές ασφαλείας ανέφεραν αργότερα ότι ο πηγαίος κώδικας δημοπρατούνταν στο σκοτεινό διαδίκτυο σε τιμή που ξεκινούσε από 1 εκατομμύριο δολάρια. Ο κώδικας κοινοποιήθηκε αργότερα στα μέσα κοινωνικής δικτύωσης και το CD Projekt άρχισε να χρησιμοποιεί ειδοποιήσεις κατάργησης DMCA για να τον αφαιρέσει.
Οι πιο Ransomware κοινές μέθοδοι διανομής
- Συνημμένα ηλεκτρονικού ταχυδρομείου
Οι καμπάνιες Malspam είναι πολύ αποτελεσματικές όταν πρόκειται για τη μόλυνση των χρηστών, ειδικά των μεμονωμένων. Οι κακόβουλοι παράγοντες αγοράζουν χιλιάδες διευθύνσεις ηλεκτρονικού ταχυδρομείου από φόρουμ χάκερ και ξεκινούν κακόβουλες καμπάνιες ανεπιθύμητης αλληλογραφίας χρησιμοποιώντας τα. Δεν είναι ασυνήθιστο τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να μοιάζουν με επίσημη αλληλογραφία από κάποια εταιρεία ή κυβερνητική υπηρεσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου συνήθως έχουν ένα μικρό ποσό κειμένου που λέει ότι το άνοιγμα του συνημμένου αρχείου είναι πολύ σημαντικό. Εάν οι χρήστες ανοίξουν τα συνημμένα αρχεία, ουσιαστικά επιτρέπουν την Ransomware εκκίνηση.
- Torrents και άλλες πλατφόρμες πειρατείας
Τα φόρουμ και οι ιστότοποι torrent συχνά ρυθμίζονται άσχημα, γεγονός που επιτρέπει στους κακόβουλους παράγοντες να ανεβάζουν κακόβουλο περιεχόμενο χωρίς μεγάλη δυσκολία. Αυτό είναι ιδιαίτερα συνηθισμένο σε ιστότοπους torrent και φόρουμ που έχουν ρωγμές λογισμικού. Οι χρήστες θα κατέβαζαν κατά λάθος Ransomware και άλλο κακόβουλο λογισμικό, πιστεύοντας ότι το torrent θα περιείχε ταινία, τηλεοπτική εκπομπή, βιντεοπαιχνίδι ή λογισμικό.
- Κιτ εκμετάλλευσης
Είναι αρκετά συνηθισμένο για Ransomware τις συμμορίες να χρησιμοποιούν κιτ εκμετάλλευσης για να μπουν στα συστήματα των χρηστών. Τα κιτ εκμετάλλευσης είναι εργαλεία που ουσιαστικά αναζητούν ευπάθειες σε ένα σύστημα που θα μπορούσαν να χρησιμοποιήσουν για να παραδώσουν ένα exploit και download Ransomware και άλλο κακόβουλο λογισμικό. Τα κιτ εκμετάλλευσης μπορούν να βρεθούν σε κακόβουλες διαφημίσεις (malvertising) και σε παραβιαζόμενους / κακόβουλους ιστότοπους. Ο τρόπος με τον οποίο λειτουργεί αυτό είναι ότι οι χρήστες εξαπατώνται για να επισκεφθούν έναν κακόβουλο ή συμβιβασμένο ιστότοπο που διαθέτει κιτ εκμετάλλευσης, το οποίο στη συνέχεια ελέγχει για ευπάθειες σε λογισμικό που είναι εγκατεστημένο στη συσκευή. Στη συνέχεια, εκμεταλλεύεται αυτήν την ευπάθεια για να ρίξει ένα κακόβουλο ωφέλιμο φορτίο, aka κακόβουλο λογισμικό.
- Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP)
Το RDP (Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας) είναι ένα εργαλείο που επιτρέπει στους χρήστες να συνδεθούν σε άλλον υπολογιστή/διακομιστή χρησιμοποιώντας μια σύνδεση δικτύου. Λόγω του τρόπου λειτουργίας του, δημιούργησε μια ευκαιρία για τους εγκληματίες του κυβερνοχώρου να το χρησιμοποιήσουν για να διανείμουν το Ransomware . Έχει γίνει μία από τις πιο χρησιμοποιούμενες μεθόδους διείσδυσης κακόβουλου λογισμικού, ιδίως όταν στοχεύει μεγάλες εταιρείες και οργανισμούς. Η οικογένεια Dharma Ransomware είναι ένα παράδειγμα οικογένειας κακόβουλου λογισμικού που χρησιμοποιεί αυτήν τη μέθοδο.
Όταν μια θύρα RDP είναι ανοιχτή στο Internet, οποιοσδήποτε μπορεί να προσπαθήσει να συνδεθεί σε αυτήν. Και οι εγκληματίες του κυβερνοχώρου έχουν εργαλεία που σαρώνουν για αυτές τις ανοιχτές θύρες. Εάν βρουν ένα, προσπαθούν να συνδεθούν σε αυτό χρησιμοποιώντας είτε κλεμμένα διαπιστευτήρια σύνδεσης είτε μαντεύοντας τα. Εάν ο κωδικός πρόσβασης είναι αδύναμος, μπορεί να είναι απίστευτα εύκολο να μαντέψετε. Μόλις συνδεθεί με επιτυχία ένας εισβολέας, μπορεί να αποκτήσει πρόσβαση στο διακομιστή / υπολογιστή και να κάνει οτιδήποτε σε αυτό, συμπεριλαμβανομένης της έναρξης Ransomware .
Τρόποι για να προστατευτείτε από Ransomware την απώλεια /data
Δημιουργείτε τακτικά αντίγραφα 2000
Ο καλύτερος τρόπος για να αποτρέψετε σοβαρές συνέπειες από μια Ransomware μόλυνση είναι να δημιουργείτε τακτικά αντίγραφα του αρχείου, τουλάχιστον αυτά που δεν θέλετε να χάσετε. Υπάρχουν διάφοροι τρόποι δημιουργίας αντίγραφων στοιχείων και όλοι οι χρήστες θα μπορούν να βρουν την πιο βολική μέθοδο για αυτούς.
Εγκατάσταση λογισμικού προστασίας από ιούς
Δεν θα αποτελέσει έκπληξη το γεγονός ότι το αξιόπιστο λογισμικό προστασίας από ιούς με Ransomware προστασία είναι η πρώτη γραμμή άμυνας όσον αφορά το κακόβουλο λογισμικό. Για να προσαρμοστείτε στην αυξανόμενη απειλή , πολλά προγράμματα προστασίας από Ransomware ιούς προσφέρουν τώρα κάποιο είδος προστασίας από Ransomware . Εάν έχετε εγκαταστήσει λογισμικό προστασίας από ιούς, ελέγξτε αν έχει μια τέτοια δυνατότητα. Εάν δεν έχετε ένα πρόγραμμα ασφαλείας, αλλά σχεδιάζετε να πάρετε ένα, ερευνήστε αυτά που προσφέρουν την καλύτερη προστασία από Ransomware .
Τακτικά εγκατάσταση ενημερώσεων
Έχουμε ήδη αναφέρει ότι το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει ευπάθειες στη συσκευή σας για να μπει. Κάθε φορά που εντοπίζονται ευπάθειες, ειδικά αν είναι σοβαρές, θα κυκλοφορήσει μια ενημερωμένη έκδοση για την ενημέρωση κώδικα. Η μη εγκατάσταση αυτών των ενημερώσεων αφήνει το σύστημα ευάλωτο. Συνιστάται η ενεργοποίηση αυτόματων ενημερώσεων.
Το WannaCry Ransomware είναι ένα εξαιρετικό παράδειγμα που αναδεικνύεται τη σημασία της τακτικής εγκατάστασης ενημερώσεων. Η Ransomware εκμετάλλευση μιας γνωστής ευπάθειας EternalBlue, η οποία επιδιορθώθηκε από το Microsoft 2 μήνες πριν από την επίθεση σε μια σειρά ενημερώσεων για όλες τις εκδόσεις των Windows που υποστηρίζονταν εκείνη τη στιγμή, ξεκινώντας από τα Windows Vista. Περισσότεροι από 300.000 υπολογιστές που είτε δεν είχαν εγκατεστημένη την ενημερωμένη έκδοση κώδικα είτε εκτελούσαν μη υποστηριζόμενες εκδόσεις των Windows (π.χ. Windows XP) μολύνθηκαν σε όλο τον κόσμο. Το WannaCry Ransomware απαίτησε λύτρα 300-600 δολαρίων για να πληρωθεί σε Bitcoin. Η πλειοψηφία των θυμάτων ήταν εταιρείες και οργανισμοί που δεν είχαν επαρκείς πρακτικές ασφαλείας.
Ανάπτυξη καλών συνηθειών περιήγησης
Για τους τακτικούς χρήστες, η αποφυγή Ransomware συχνά σημαίνει ανάπτυξη καλύτερων συνηθειών περιήγησης. Αυτό σημαίνει κυρίως να μην ανοίγετε αυτόκλητα συνημμένα email, να μην κάνετε κλικ σε διαφημίσεις όταν περιηγείστε σε ιστότοπους υψηλού κινδύνου και να αποφεύγετε την πειρατεία (ειδικά μέσω torrents).
- Συνημμένα ηλεκτρονικού ταχυδρομείου
Όλα τα συνημμένα ηλεκτρονικού ταχυδρομείου θα πρέπει να σαρώνονται με λογισμικό προστασίας από ιούς ή VirusTotal πριν ανοίξουν. Η σάρωση με το VirusTotal μπορεί ακόμη και να είναι καλύτερη, καθώς θα έδειχνε αν κάποιο από τα προγράμματα προστασίας από ιούς που συνεργάζονται με αυτό ανιχνεύει το αρχείο ως δυνητικά κακόβουλο. Σε γενικές γραμμές, θα πρέπει να αποφύγετε το άνοιγμα συνημμένων ηλεκτρονικού ταχυδρομείου που προέρχονται από άγνωστους αποστάτες.
Τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που μεταφέρουν κακόβουλο λογισμικό είναι συνήθως αρκετά γενικά, πράγμα που σημαίνει ότι θα πρέπει να μπορείτε να τα αναγνωρίσετε, αρκεί να γνωρίζετε τι να αναζητήσετε. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα είναι συχνά ένα μεγάλο δώρο, για παράδειγμα. Εάν ο αποστολέας έχει μια τυχαία διεύθυνση ηλεκτρονικού ταχυδρομείου που αποτελείται από τυχαία γράμματα και αριθμούς ή απλά γενικά δεν φαίνεται επαγγελματικό, θα πρέπει να είστε πολύ προσεκτικοί για το άνοιγμα του συνημμένου ηλεκτρονικού ταχυδρομείου.
Ένα άλλο εύκολο στην ειδοποίηση σημάδι ενός δυνητικά κακόβουλου μηνύματος ηλεκτρονικού ταχυδρομείου είναι ο τρόπος με τον οποίο απευθύνεστε στο μήνυμα ηλεκτρονικού ταχυδρομείου. Για παράδειγμα, εάν μια εταιρεία της οποίας τις υπηρεσίες χρησιμοποιείτε σας στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου (ειδικά αν είναι γενικό), θα αντιμετωπιστεί με το όνομά σας. Για παράδειγμα, εάν η τράπεζευά σας επρόκειτο να σας στείλει επίσημη αλληλογραφία, θα σας απευθύνονται πάντα με κάποια μορφή του ονόματός σας, συνήθως το επώνυμό σας. Η εισαγωγή του ονόματος γίνεται αυτόματα, οπότε δεν υπάρχει περίπτωση να σας αντιμετωπίσει κάτι τόσο γενικό όπως «Πελάτης», «Μέλος», «Χρήστης», κλπ. Έτσι, εάν λάβετε ποτέ ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι πρέπει να ανοίξετε επειγόντως το συνημμένο, αλλά σας απευθύνονται με γενικούς όρους, λάβετε επιπλέον προφυλάξεις εάν αποφασίσετε να ανοίξετε το συνημμένο αρχείο.
Άλλα σημάδια ενός κακόβουλου μηνύματος ηλεκτρονικού ταχυδρομείου περιλαμβάνουν γραμματικά και ορθογραφικά λάθη και αδέξια διατύπωση που φαίνεται να είναι άφραγκνη.
- Πειρατεία
Εάν είστε κάποιος που προτιμά να πάρει δωρεάν περιεχόμενο επί πληρωμή μέσω πειρατείας, βρίσκεστε σε αυξημένο παγοδρόμιο για να πάρετε μια Ransomware λοίμωξη. Μην ανησυχείτε τα ηθικά ζητήματα της ουσιαστικά κλοπής της σκληρής δουλειάς κάποιου, η πειρατεία αποθαρρύνεται ιδιαίτερα λόγω του πόσο εύκολο είναι να συναντήσετε κακόβουλο λογισμικό. Αυτό ισχύει ιδιαίτερα για τους χειμάρρους. Πολλές πλατφόρμες torrent είναι πολύ άσχημα ρυθμισμένες, από τις οποίες οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται πλήρως ανεβάζοντας κακόβουλο λογισμικό μεταμφιεσμένο σε torrents. Το κακόβουλο λογισμικό είναι ιδιαίτερα συνηθισμένο σε torrents για δημοφιλείς ταινίες, τηλεοπτικές σειρές, βιντεοπαιχνίδια και λογισμικό. Όταν πολύ δημοφιλείς εκπομπές όπως το Game of Thrones αέρα, η πλειοψηφία των torrents επεισοδίων (ειδικά νέα επεισόδια) θα περιέχουν κακόβουλο λογισμικό.