Ransomware – No More Ransom
Nu este un secret faptul că ransomware-ul, care criptează datele despre sistemele utilizatorilor și apoi cere o răscumpărare, a devenit o problemă enormă pentru securitatea cibernetică în ultimii ani. A devenit atât de răspândită încât poate fi ușor numită o epidemie. Numărul de utilizatori atacați cu ransomware crește, cu 718.000 de utilizatori afectați între aprilie 2015 și martie 2016: o creștere de 5,5 ori față de aceeași perioadă din 2014-2015.
Poliția nu poate lupta împotriva criminalității cibernetice, în special a răscumpărării, singură. Și cercetătorii în domeniul securității nu pot face acest lucru fără sprijinul agențiilor de aplicare a legii. Responsabilitatea pentru lupta împotriva ransomware-ului este împărțită între poliție, departamentul de justiție, Europol și companiile de securitate IT și necesită un efort comun. Împreună vom face tot ce ne stă în putință pentru a perturba schemele de bani ale criminalilor și pentru a returna dosarele proprietarilor lor de drept, fără ca aceștia din urmă să plătească o sumă de bani.
[expand title=”Istoria ransomware”] [/expand] [expand title=”Tipuri de ransomware”]- Encryption Ransomware
Se criptează fișierele și folderele personale (documente, foi de calcul, imagini și videoclipuri).
Fișierele afectate sunt șterse odată ce au fost criptate și utilizatorii întâlnesc în general un fișier text cu instrucțiuni de plată în același director ca și fișierele inaccesibile.
S-ar putea să descoperiți problema numai atunci când încercați să deschideți unul dintre aceste fișiere.
Unele, dar nu toate tipurile de programe de criptare arată un “ecran de blocare”:
- Lock Screen Ransomware — WinLocker
Se blochează ecranul computerului și se solicită plata.
Acesta prezintă o imagine pe ecran complet care blochează toate celelalte ferestre.
Nu sunt criptate fișierele personale.
- Master Boot Record (MBR) Ransomware
Master Boot Record (MBR) este partea din hard disk-ul computerului care permite sistemului de operare să pornească.
MBR ransomware modifică MBR-ul calculatorului, astfel încât procesul normal de încărcare să fie întrerupt.
În schimb, pe ecran este afișată o cerere de răscumpărare.
- Ransomware de criptare a serverelor web
Acesta vizează serverele web și criptează un număr de fișiere de pe el.
Vulnerabilitățile cunoscute în sistemele de gestionare a conținutului sunt adesea folosite pentru a implementa ransomware pe serviciile web.
- Mobile device ransomware (Android)
Dispozitivele mobile (mai ales Android) pot fi infectate prin “descărcări prin intermediul dispozitivului”.
De asemenea, aceștia se pot infecta prin aplicații false care se mulează ca servicii populare, cum ar fi Adobe Flash sau un produs antivirus.
[/expand] [expand title=”Dacă aș fi atacat, ar trebui să plătesc răscumpărarea?”]Plata răscumpărării nu este niciodată recomandată, în principal pentru că nu garantează o rezolvare a problemei. Există, de asemenea, o serie de probleme care pot merge prost din greșeală. De exemplu, ar putea exista erori în malware-ul care face ca datele criptate să nu poată fi recuperate chiar și cu cheia corectă.
În plus, în cazul în care răscumpărarea este plătită, se dovedește pentru infractorii cibernetici faptul că ransomware-ul este eficient. În consecință, infractorii cibernetici își vor continua activitatea și vor căuta noi modalități de a exploata sistemele care au ca rezultat mai multe infecții și mai mulți bani în conturile lor.[/expand] [expand title=”Cum funcționează un atac de tip ransomware?”]
Un atac ransomware este de obicei livrat printr-un atașament de e-mail care ar putea fi un fișier executabil, o arhivă sau o imagine. Odată ce atașamentul este deschis, malware-ul este lansat în sistemul utilizatorului. Cybercriminalii pot, de asemenea, să instaleze malware-ul pe site-uri web. Când un utilizator vizitează site-ul fără să știe, malware-ul este lansat în sistem.
La început, infecția nu este vizibilă pentru utilizator. Malware-ul funcționează silențios în fundal până când se instalează mecanismul de blocare a sistemului sau a datelor. Apoi apare o casetă de dialog care spune utilizatorului că datele au fost blocate și cere o răscumpărare pentru a o debloca din nou. Până atunci, este prea târziu să salvați datele prin orice măsuri de securitate.
Pentru mai multe informații, vizualizați videoclipul de mai jos:
[/expand] [expand title=”Cine sunt victimele ransomware?”]Orice consumator și orice afacere poate fi o victimă a ransomware. Criminalii cibernetici nu sunt selectivi și încearcă adesea să lovească cât mai mulți utilizatori pentru a obține cel mai mare profit.[/expand] [expand title=”Sunt atacurile de tip ransomware împotriva companiilor în creștere?”]
Da, deoarece infractorii cibernetici știu că organizațiile sunt mai predispuși să plătească, dat fiind faptul că datele deținute sunt de obicei sensibile și vitale pentru continuitatea afacerii. În plus, uneori poate fi mai costisitor să restabilească copii de siguranță decât să plătească o răscumpărare.[/expand] [expand title=”De ce este atât de greu să găsești o soluție împotriva ransomware?”]
Ransomware este în creștere – acum există mai mult de 50 de familii ale acestui malware în circulație – și se dezvoltă repede. Cu fiecare varianta noua vine o criptare mai buna si noi caracteristici. Acesta nu este ceva ce puteți ignora!
Unul dintre motivele pentru care este atât de dificil să găsești o singură soluție se datorează faptului că criptarea în sine nu este periculoasă. Este de fapt o dezvoltare bună și multe programe benigne o folosesc.
Primul cripto-malware a folosit un algoritm simetric-cheie, cu aceeași cheie pentru criptare și decriptare. Informațiile corupte ar putea fi descifrate cu succes, cu ajutorul companiilor de securitate. De-a lungul timpului, infractorii cibernetici au început să implementeze algoritmi de criptografie asimetrică care utilizează două chei separate – una publică pentru criptarea fișierelor și una privată, care este necesară pentru decriptare.
Troianul CryptoLocker este una dintre cele mai faimoase piese de răscumpărare. De asemenea, utilizează un algoritm cu cheie publică. Pe măsură ce fiecare computer este infectat, se conectează la serverul de comandă și control pentru a descărca cheia publică. Cheia privată este accesibilă numai infractorilor care au scris software-ul CryptoLocker. De obicei, victima nu are mai mult de 72 de ore să plătească răscumpărarea înainte de ștergerea definitivă a cheii private și este imposibil de decriptat orice fișiere fără această cheie.
Deci, mai întâi trebuie să te gândești la prevenire. Majoritatea software-urilor antivirus includ deja o componentă care ajută la identificarea unei amenințări de răscumpărare în stadiile incipiente ale infecției, fără a surveni pierderea oricăror date sensibile. Este important ca utilizatorii să se asigure că această funcționalitate este activată în soluția lor antivirus.[/expand] [expand title=”Care sunt șansele să puteți ajuta victimele ransomware să preia accesul la fișierele lor?”]
Proiectul “No More Ransom” tocmai a început, dar colaborăm în mod continuu cu alte companii de securitate și cu agențiile de aplicare a legii pentru a identifica cât mai multe chei, pentru cât mai multe variante posibil. Dacă aveți anumite informații despre care credeți că vă pot ajuta, vă rugăm să le partajați.[/expand] [expand title=”Cum poți preveni un atac de tip ransomware?”]
- Back-up! Back-up! Back-up! Să aveți un sistem de recuperare (back-up), astfel încât o infecție de tip ransomware nu poate distruge datele dvs. personale pentru totdeauna. Cel mai bine este să creați două copii de rezervă: una care va fi stocată în cloud (nu uitați să utilizați un serviciu care face o copie de rezervă automată a fișierelor) și una pentru stocare fizică (hard disk portabillaptop suplimentar etc. ). Deconectați-le de la computer când ați terminat. Copiile dvs. de rezervă vor veni de asemenea la îndemână în cazul în care ștergeți accidental un fișier critic sau întâmpinați un eșec de hard disk.
- Utilizați un software antivirus puternic pentru a vă proteja sistemul de ransomware. Nu opriți “funcțiile euristice”, deoarece acestea ajută soluția să prindă probe de răscumpărare care nu au fost încă detectate oficial.
- Țineți la curent toate programele software de pe computer. Când sistemul de operare (OS) sau aplicațiile eliberează o versiune nouă, instalați-o. Și dacă software-ul oferă opțiunea de actualizare automată, luați-o.
- Nu credeți pe nimeni. Literalmente. Orice cont poate fi compromis, iar link-urile rău intenționate pot fi trimise de la conturile prietenilor pe social media, colegi sau un partener de jocuri online. Nu deschideți atașamente în e-mailuri de la cineva pe care nu îl cunoașteți. Criminalii cibernetici distribuie adesea mesaje false de e-mail care arată foarte mult ca notificările prin e-mail de la un magazin online, o bancă, poliție, o instanță sau o agenție de colectare a taxelor, atrăgând destinatarii să facă clic pe un link rău intenționat și să elibereze malware-ul în sistemul lor. Aceasta se numește “phishing”. Când sistemul de operare (OS) sau aplicațiile eliberează o versiune nouă, instalați-o. Și dacă software-ul oferă opțiunea de actualizare automată, luați-o.
- Activați opțiunea „Afișați extensiile de fișiere” din setările Windows de pe computer. Acest lucru va face mult mai ușor pentru a detecta fișierele potențial dăunătoare. Stați departe de extensiile de fișiere precum “.exe”, “.vbs” și “.scr”. Cyber-criminalii pot folosi mai multe extensii pentru a ascunde un fișier rău intenționat sub forma unui videoclip, a unei fotografii sau a unui document (cum ar fi hot-chics.avi.exe sau doc.scr).
- Dacă descoperiți un proces ciudat sau necunoscut pe dispozitivul dumneavoastră, deconectați-l imediat de la internet sau de la alte conexiuni de rețea (cum ar fi Wi-Fi acasă) – acest lucru va împiedica răspândirea infecției.[/expand]