Ransomware es realmente tan aterrador como usted piensa?
Ransomware es una molestia regular. Una infección ransomware toma de rehenes de su ordenador, y exige el pago por la liberación. En algunos casos, el pago no asegura sus archivos. Las fotos personales, música, películas, de trabajo, y más se destruyen. La tasa de infección ransomware sigue aumentando - por desgracia, todavía no hemos llegado a la cima - y su complejidad va en aumento.Ransomware-as-a-Service traerá caos a todo el mundoRansomware-as-a-Service traerá caos a todo el mundoRansomware se está moviendo desde sus raíces como la herramienta de criminales y malhechores en una industria de servicios preocupante, en el que cualquiera puede suscribirse a un servicio ransomware y dirigirse a usuarios como tú y yo.Lee mas
Ha habido notables excepciones a esta regla. En algunos casos, la seguridad los investigadores han descifrado el cifrado ransomware, lo que les permite crear una herramienta de descifrado codiciado. Estos eventos son raros, que llega generalmente cuando un botnet malicioso es bajado. Sin embargo, no todos ransomware es tan complejo como lo que pensamos.
La Anatomía de un Ataque
A diferencia de algunas variantes de malware comunes, ransomware intentos de permanecer oculto durante tanto tiempo como sea posible. Esto es para dar tiempo a cifrar sus archivos personales. Ransomware está diseñado para mantener la máxima cantidad de recursos del sistema disponibles para el usuario, como para no dar la alarma. En consecuencia, para muchos usuarios, el primer indicio de una infección ransomware es un mensaje cifrado posterior a explicar lo que ha sucedido.
En comparación con otros tipos de malware, proceso de infección de ransomware es bastante predecible. El usuario descarga un archivo infectado: contiene la carga útil ransomware. Cuando se ejecuta el archivo infectado, no aparecerá nada a suceder de inmediato (dependiendo del tipo de infección). El usuario no es consciente de que ransomware comienza a cifrar sus archivos personales.Los virus, spyware, malware, etc. explicó: Descripción de las amenazas en líneaLos virus, spyware, malware, etc. explicó: Descripción de las amenazas en líneaCuando se empieza a pensar en todas las cosas que podrían salir mal cuando se navega por Internet, la web empieza a parecerse a un lugar bastante miedo.Lee mas
Además de esto, un ataque ransomware tiene varios otros patrones de comportamiento distintos:
- ransomware nota distinta.
- la transmisión de datos de fondo entre los servidores de acogida y de control.
- La entropía de archivos de cambios.
La entropía del archivo
entropía archivo se puede utilizar para identificar los archivos cifrados con ransomware. Escribir para la Internet Storm Center, Rob VandenBrink describe brevemente la entropía archivo y ransomware:
En la industria de TI, la entropía de un archivo se refiere a una medida específica de la aleatoriedad llamado “La entropía de Shannon,” llamado así por Claude Shannon. Este valor es esencialmente una medida de la previsibilidad de cualquier carácter específico en el archivo, basado en precedentes caracteres (detalles y matemáticas aquí). En otras palabras, es una medida de la “aleatoriedad” de los datos en un archivo - medido en una escala de 1 a 8, donde los archivos de texto normales tendrán un valor bajo, y los archivos cifrados o comprimidos tendrán una medida alta.
Yo sugeriría leer el artículo original, ya que es muy interesante.
¿Es diferente de malware “normal”?
Ransomware y compartir el malware de un objetivo común: permanecer oculto. El usuario mantiene una posibilidad de combatir la infección si se detecta después de poco tiempo. La palabra mágica es “cifrado”. Ransomware toma su lugar en la infamia por su uso de cifrado, mientras que el cifrado se ha utilizado en los programas maliciosos para un tiempo muy largo.
El cifrado ayuda de malware pase por debajo del radar de antivirus programas de confundir la detección de firmas. En lugar de ver una cadena de caracteres reconocibles que alertar a una barrera de defensa, la infección se desliza por, desapercibido. Aunque antivirus suites son cada vez más adeptos a darse cuenta de estas cadenas - comúnmente conocido como hashes - es trivial para muchos desarrolladores de malware para trabajar alrededor.
Los métodos comunes de ofuscación
Aquí están algunos métodos más comunes de la ofuscación:
Vídeo: El gasolinazo 2017 Desmintiendo el discurso de peña nieto
- Detección - Muchas variantes de malware pueden detectar si se están utilizando en un entorno virtualizado. Esto permite que el malware para evadir la atención de los investigadores de seguridad simplemente se niega a ejecutar o desempaquetar. A su vez, esto detiene la creación de una firma de seguridad actualizada.
- Sincronización - Las mejores suites de antivirus están en constante alerta, la comprobación de una nueva amenaza. Desafortunadamente, los programas antivirus generales no pueden proteger todos los aspectos de su sistema en todo momento. Por ejemplo, algunos programas maliciosos sólo se desplegará después de un reinicio del sistema, escapando (y probablemente la desactivación en el proceso) operaciones antivirus.
- Comunicación - El malware será llamar a casa a su comando y control (C&) Del servidor C para obtener instrucciones. Esto no es cierto de todo el malware. Sin embargo, cuando lo hacen, un programa antivirus puede detectar direcciones IP específicas conocidas para acoger C&servidores C, y tratar de evitar la comunicación. En este caso, los desarrolladores de malware simplemente girar la C&dirección del servidor C, evadir la detección.
- Operación falsa - Un falso programa inteligentemente elaborado es quizás una de las notificaciones más comunes de una infección de malware. usuarios involuntarios asumen esta es una parte regular de su sistema operativo (normalmente Windows) y alegremente siguen las instrucciones de la pantalla. Estos son particularmente peligrosos para los usuarios de PC no cualificados y, mientras actúa como un front-end de usar, puede permitir una gran cantidad de entidades maliciosas acceso a un sistema.
Esta lista no es exhaustiva. Sin embargo, sí cubre algunos de los métodos más comunes de malware utiliza para permanecer oculto en su PC.
Es simple ransomware?
Simple es quizás la palabra equivocada. ransomware es diferente. Una variante ransomware utiliza el cifrado más ampliamente que sus homólogos, así como de una manera diferente. los comportamiento de una infección ransomware son las que hacen notables, así como la creación de un aura: ransomware es algo que temer.
Ransomware utiliza algo características novedosas, tales como:
- Cifrar grandes cantidades de archivos.
- La eliminación de las instantáneas que normalmente permitan a los usuarios restaurar la copia de seguridad.
- Crear y almacenar claves de cifrado en C remota&servidores C.
- Exigiendo un rescate, por lo general en ilocalizable Bitcoin.
Vídeo: Let's Own a Feminist's Arguments #ProblematicTitles
Mientras que el malware tradicional “meramente” roba las credenciales de usuario y contraseñas, que afecta directamente ransomware, molestar a su entorno de computación inmediatos. Además, sus secuelas es muy visual.
Tácticas ransomware: tabla maestra de archivos
“Wow!” Factor de ransomware sin duda se debe a su uso de la encriptación. Pero es la sofisticación todo lo que parece? Engin Kirda, Co-Fundador y Jefe de Arquitectura en lastline Labs, cree que no. Él y su equipo (uso de la investigación llevada a cabo por Amin Kharraz, uno de los estudiantes de doctorado de KInfrarrojos) completó un enorme estudio de ransomware, el análisis de 1359 muestras de 15 familias ransomware. Su análisis explora los mecanismos de eliminación, y encontró algunos resultados interesantes.
¿Cuáles son los mecanismos de eliminación? Alrededor del 36 por ciento de las cinco familias ransomware más comunes en el conjunto de datos fueron la eliminación de archivos. Si no pagar, en realidad se están eliminando los archivos. La mayor parte de la eliminación, de hecho, fue bastante sencillo.
¿Cómo una persona profesional de hacer esto? Ellos en realidad el objetivo de limpiar el disco, de modo que es difícil de recuperar los datos. Se podría escribir sobre el disco, que le limpie ese archivo desde el disco. Pero la mayoría de ellos eran, por supuesto, perezoso, y que estaban trabajando directamente en las entradas de tabla maestra de archivos y marcar cosas como eliminado, pero los datos aún permanecía en el disco.
Posteriormente, que eliminan los datos podría ser recuperada, y en muchos casos, completamente recuperado.
Tácticas ransomware: Desktop Environment
Otro comportamiento clásico ransomware está bloqueando el escritorio. Este tipo de ataque está presente en más variantes básicas. En lugar de realmente seguir adelante con el cifrado y borrado de archivos, el ransomware bloquea el escritorio, lo que obliga al usuario de la máquina. La mayoría de los usuarios tomar esto como que significa que sus archivos se han ido (ya sea encriptada o completamente suprimido) y simplemente no se puede recuperar.
Tácticas ransomware: Mensajes forzados
infecciones ransomware muestran notoriamente su nota de rescate. Por lo general, exige el pago por parte del usuario para el retorno seguro de sus archivos. Además de esto, los desarrolladores ransomware a los usuarios a páginas web específicas, mientras que deshabilitar ciertas funciones del sistema - por lo que no puede deshacerse de la página / imagen. Esto es similar a un entorno de escritorio bloqueado. Esto no significa automáticamente que los archivos del usuario han sido cifrados o eliminado.
Piense antes de pagar
Una infección ransomware puede ser devastador. Esto es indudable. Sin embargo, ser golpeado con ransomware no significa automáticamente sus datos se ha ido para siempre. desarrolladores ransomware no son todos los programadores sorprendentes. Si hay una ruta fácil para el beneficio económico inmediato, se tendrá. Esto, en el conocimiento seguro de que algunos usuarios tendrán que pagar hasta debido a la amenaza inmediata y directa. Es totalmente comprensible.5 razones por las que no debe pagar Los estafadores ransomware5 razones por las que no debe pagar Los estafadores ransomwareRansomware es de miedo y no quieren ser golpeado por ella - pero incluso si lo hace, hay razones de peso por las que no debe pagar dichos rescate!Lee mas
Los mejores métodos de mitigación ransomware permanecen: copia de seguridad de sus archivos regularmente a una unidad sin conexión a red, mantienen su antivirus privado e internet navegadores actualizados, cuidado con correos electrónicos de phishing, y ser sensato sobre la descarga de archivos de Internet.