Ataki typu ransomware i jak sobie z nimi radzić

W dzisiejszych czasach dużo mówi się o oprogramowaniu ransomware. Zaskakujące jest to, jak niewiele osób wie, co to znaczy i co się stanie, jeśli zostaniesz przez nie zaatakowany.

Poniżej znajduje się lista środków zapobiegawczych, które możesz podjąć, aby chronić siebie i także to, co należy zrobić, gdy już stanie się najgorsze.

Co to jest Ransomware?

Ransomware to kategoria złośliwego oprogramowania wykorzystywana do wyłudzania pieniędzy od swoich ofiar – inaczej mówiąc wymuszania okupu. Większość programów zaprojektowano tak, aby cicho pracowały w Twoim systemie i powoli szyfrowało Twoje pliki. Dopiero po zakończeniu szyfrowania wyświetlają ci one groźne powiadomienie – albo zapłać albo stracisz pliki na zawsze.

Żaden system zabezpieczający nie jest nieomylny. Złośliwe oprogramowanie jest zawsze o krok przed konkurencją. Jeśli wpadniesz w jego sidła, oto kilka przydatnych wskazówek, które pomogą Ci się z nim uporać:

Krok 1: zminimalizuj straty

Po pierwsze, wyizoluj system, który został zainfekowany, zwłaszcza jeśli jest podłączony do sieci, aby zapobiec infekcjom innych systemów.

Jeśli jesteś administratorem IT i Twoje serwery zostały zainfekowane przez ransomware, odłącz wszystkie kable Ethernet.

Nie wykonuj próby utworzenia kopii zapasowej przez skopiowanie plików na dysk zewnętrzny. Może się wydawać, że dobrym pomysłem jest zapisywanie plików, które nie zostały jeszcze zaszyfrowane, ale mogą one rozprzestrzeniać złośliwe oprogramowanie. Po włożeniu dysku / USB do zainfekowanego komputera złośliwe oprogramowanie może skopiować się ponownie na nowo włożony napęd.

Kiedy ten napęd / USB zostanie przełożony do innego komputera, szkodliwe oprogramowanie może również zainfekować ten system. A najgorsze może być ponowne zainfekowanie własnego systemu po dołożeniu wszelkich starań, aby go wyczyścić. Najlepiej po prostu poddać kwarantannie cały komputer, którego dotyczy problem.

Krok 2: Zidentyfikuj typ oprogramowania ransomware

Istnieją różne rodzaje oprogramowania typu „ransomware”, niektóre są bardziej niebezpieczne i trudniejsze do pokonania niż inne. Możesz użyć różnych strategii, aby się ich pozbyć w zależności od rodzaju i charakterystyki ataku. Najczęstsze rodzaje należą do następujących kategorii:

  1. Scareware / Fake antywirus
    Scareware, znane również jako fałszywy program antywirusowy, to kategoria złośliwego oprogramowania, która oszukuje użytkowników twierdząc, że coś jest nie tak z ich systemem. Następnie nakłania ono ich do kupna innego oprogramowania, aby wyczyścić komputer z problemu. Oczywiście nie ma nic złego w samym systemie, a często w takim przypadku użytkownik kupuje dodatkowe, zalecane oprogramowanie, które samo w sobie powoduje prawdziwą infekcję.
    W większości przypadków oprogramowanie takie działa wyświetlając komunikat wyskakujący na ekranie i informujący o problemach, takich jak znaleziony wirus, spowolnienie systemu lub problemy z rejestrem, które należy rozwiązać, w postaci pogrubionego tekstu pośrodku ekranu. Może również zawierać tekst nakłaniający do kliknięcia, które następnie przekierowuje użytkownika do witryny szkodliwego oprogramowania nawet po zamknięciu okna popup. Oto zrzut ekranu jednego z nich:
    Scareware to prawdopodobnie najłatwiejszy do usunięcia ze wszystkich szkodliwych programów. Po prostu zamknij kartę przeglądarki, a okienko zniknie. Jeśli masz ciągle wyskakujące ekrany w systemie operacyjnym, może być konieczne zidentyfikowanie pliku wykonywalnego winowajcy za pomocą Menedżera zadań lub zaawansowanego Eksploratora procesów. Następnie po prostu usuń lub odinstaluj ten program. Jeśli nadal masz problemy, zeskanuj swój system za pomocą programu antywirusowego lub narzędzia anty-malware.
  2. Ransomware z blokadą ekranu
    Ta kategoria oprogramowania ransomware nie pozwala na uruchomienie komputera, dopóki nie zapłacisz okupu. W większości przypadków wyświetlane jest pełnoekranowy komunikat z ostrzeżeniem. Może twierdzić, że jego autorem jest FBI w związku z pobieraniem nielegalnych treści z Internetu. W innych przypadkach jako tapeta ustawiane jest zdjęcie pornograficzne, którego nie można zmienić. Polega on na zawstydzeniu ofiary za pieniądze. Bardziej zaawansowane programy śledzą aktywność użytkowników przez kilka dni i wyświetlają spersonalizowane powiadomienia, dzięki czemu są bardziej wiarygodne i zastraszające. Oto przykład: <
    Jeśli jesteś zainfekowany przez jeden z tych programów, spróbuj zidentyfikować w pierwszej kolejności plik wykonywalny, który to spowodował. W większości przypadków naciśnięcie klawiszy CTRL + ALT + DEL spowoduje przejście do Menedżera zadań, a sam program można zamknąć.
    Nawet po usunięciu pliku wykonywalnego dobrze jest uruchomić pełne skanowanie antywirusowe, aby usunąć wszelkie pozostałe ślady ransomware. Jeśli te rozwiązania nie działają, może być konieczne przywrócenie systemu Windows lub odzyskanie z kopii zapasowej do stanu, w którym nie było złośliwego oprogramowania lub było ono uśpione aby mieć nietknięte dane.
  3. Ransomware szyfrujące pliki
    Ostatnią i najniebezpieczniejszą kategorią są programy , które szyfrują wszystkie Twoje pliki i czynią je bezużytecznymi, chyba że zapłacisz okup szantażystom . Zazwyczaj przenikają do systemu ofiary i po cichu rozpoczynają szyfrowanie wszystkich plików, przez co stają się one całkowicie bezużyteczne.
    Po zakończeniu programy takie zażądają zapłaty, aby odszyfrować Twoje dane. W dzisiejszych czasach kryptowaluty takie jak bitcoin i anonimowość, które zapewniają, są świetnym sposobem na uzyskanie płatności przez atakujących. Oto obraz, który widzi użytkownik zaatakowany przez Wannacry:
    Warto również zrozumieć, jak działa szyfrowanie. Może to pomóc w uzyskaniu wskazówek, jak odszyfrować pliki.
    Większość programów używa kombinacji szyfrowania symetrycznego i asymetrycznego (kliknij tutaj, aby uzyskać więcej informacji o typach szyfrowania). Szyfrowanie symetryczne jest przydatne, ponieważ pozwala intruzowi szyfrować pliki szybciej niż asymetryczne. Jednak szyfrowanie asymetryczne oznacza, że ​atakujący muszą chronić tylko jeden klucz prywatny. W przeciwnym razie będą musieli utrzymywać i chronić klucze symetryczne dla wszystkich ofiar.

Serwery sterujące i kontrolne (oznaczane jako C&C) są z reguły używane do komunikacji z programem. W ten sposób ransomware szyfrujące pliki używa zarówno symetrycznego, jak i asymetrycznego szyfrowania do wykonania ataku :

  • Klucz publiczny jest generowany na komputerze atakującego za pomocą dowolnego z wielu dostępnych asymetrycznych algorytmów szyfrowania, takich jak RSA-256.
  • Klucze prywatne są chronione przez atakującego, podczas gdy klucze publiczne są osadzone w programie ransomware.
  • System nowej ofiar infekowany jest przez oprogramowanie ransomware. Wysyła ono informacje wraz z unikalnym identyfikatorem systemu lub ID ofiary do serwera C&C.
  • Korzystając z jednego z symetrycznych algorytmów szyfrowania (np. AES), serwer generuje i wysyła klucz symetryczny specjalnie dla systemu ofiary. Klucz symetryczny jest następnie szyfrowany przy użyciu prywatnego.
  • Program ransomware używa osadzonego klucza publicznego do odszyfrowania klucza symetrycznego – rozpoczyna wtedy szyfrowanie wszystkich plików.

Teraz, gdy już wiesz, jak dokładnie działa oprogramowanie ransomware, spójrzmy na dostępne opcje, gdy Twój system jest już zainfekowany

Krok 3: zdecyduj o wyborze strategii

Omówiliśmy stosunkowo proste metody usuwania dwóch pierwszych kategorii oprogramowania ransomware.

Programy do szyfrowania plików są trudniejsze do wykluczenia. Najpierw musisz zidentyfikować typ złośliwego oprogramowania, z którym masz do czynienia. Informacje mogą być niezbyt dostępne w przypadku nowszych programów, ponieważ codziennie powstają nowe. Ale w większości przypadków powinieneś być w stanie zidentyfikować swoje ransomware za pomocą małego śledztwa

Spróbuj wykonać zrzut ekranu z komunikatem na temat okupu, a następnie użyj wyszukiwania obrazem, aby zidentyfikować dokładny typ oprogramowania ransomware. Możesz także wyszukiwać wyrażenia użyte w treści komunikatu.

Zdecyduj, czy chcesz zapłacić okup, czy nie. Chociaż nie zaleca się płacenia atakującym, ponieważ to tylko ich zachęca do działania, czasami dane są zbyt cenne lub ważne, aby je stracić. Dokonaj ich oceny i nie płać, chyba że jest to absolutnie konieczne.

W najgorszym przypadku należy oczywiście wziąć pod uwagę, że nie ma żadnej gwarancji, że odzyskasz swoje dane nawet po dokonaniu zapłaty.

Krok 4: podejmij czynności naprawcze

Jeśli potrafisz zidentyfikować szczegóły oprogramowania ransomware, które zainfekowało Twój komputer, poszukaj sposobów jego usunięcia przy użyciu wyszukiwarki internetowej. Kod złośliwego oprogramowania jest zawsze nieefektywny. Programista mógł zapomnieć o usunięciu klucza szyfrującego z programu, który go pobiera i deszyfruje pliki.

Jeśli oprogramowanie ransomware jest wystarczająco znane i istnieją znane luki w jego zabezpieczeniach, powinieneś być w stanie znaleźć rady i przewodniki online, pozwalające usunąć je, np. na stronach takich jak nomoreransom.org.

Ponieważ wiele programów ransomware po prostu usuwa oryginalne pliki po zaszyfrowaniu ich kopii, możliwe jest odzyskanie ich za pomocą oprogramowania do odzyskiwania danych. Po usunięciu pliku nie jest on fizycznie usuwany z dysku, chyba że zostanie nadpisany przez inny. Dlatego powinno być możliwe odzyskanie ważnych danych za pomocą bezpłatnego oprogramowania do odzyskiwania danych.

Jeśli żaden z powyższych kroków nie zakończył się sukcesem, należy podjąć ważną decyzję. Zapłać okup lub stracisz dane. Nawet jeśli zapłacisz, oczywiście odzyskanie danych nie jest zagwarantowane. Jest to całkowicie strzał w ciemno, w którym polegasz tylko na dobrej chęci atakujących.

Możesz także spróbować negocjować z atakującymi za pomocą adresu e-mail podanego w komunikacie dotyczącym okupu. Byłbyś zaskoczony wiedząc, jak często to działa.

Jeśli zdecydujesz się nie płacić okupu, następnym krokiem będzie wyczyszczenie komputera, ale utracisz swoje dane na zawsze. Jeśli masz kopię zapasową danych lub systemu na dysku zewnętrznym, NIE podłączaj go do swojego komputera, zanim całkowicie go sformatujesz.

Najlepszym sposobem na wyczyszczenie oprogramowania ransomware jest całkowicie sformatowanie dysku i systemu operacyjnego. Jeśli nie chcesz zrobić tak drastycznego kroku, upewnij się, że oprogramowanie ransomware nie infekuje sektora rozruchowego. Informacje na ten temat znajdziesz w Internecie.

Następnie zaktualizuj swój program antywirusowy i wykonaj pełne skanowanie systemu. Dobrym pomysłem jest również użycie dodatkowego programu antywirusowego w celu upewnienia się, że nic nie zostało przeoczone i w celu dodatkowej ochrony przed szkodliwym oprogramowaniem. To powinno usunąć oprogramowanie ransomware na dobre.

Krok 5: podsumowanie

Teraz, gdy pozbyłeś się już swojego oprogramowania ransomware, czas w pierwszej kolejności spojrzeć na to, dlaczego zostałeś zaatakowany. Jak mądry człowiek powiedział kiedyś: „Lepiej zapobiegać niż leczyć” i dotyczy to bezpieczeństwa online bardziej niż czegokolwiek innego. Obrona jest tak skuteczna jak sam użytkownik i przy odpowiednich zabezpieczeniach jest trudna do przełamania dla każdego złośliwego oprogramowania.

Zachowaj czujność i pamiętaj o następujących punktach:

  1. Zawsze aktualizuj swój program antywirusowy
  2. Zawsze sprawdzaj adres URL odwiedzanej witryny.
  3. Nie uruchamiaj niezaufanych programów w swoim systemie. Rzeczy, takie jak cracki, seriale, patche itp. są najczęstszymi źródłami złośliwego oprogramowania.
  4. Nie zezwalaj niezaufanym stronom na uruchamianie plików wykonywalnych w Twojej przeglądarce.
  5. System operacyjny powinien być zawsze aktualny. Złośliwe oprogramowanie, w tym oprogramowanie ransomware, często rozprzestrzenia się poprzez niezałatane luki zabezpieczeń w starszych systemach operacyjnych. Hacker na przykład może wykorzystać błąd w oprogramowaniu RDP Windows, aby uzyskać dostęp do systemu podłączonego publicznie do Internetu i uruchomić na nim złośliwe oprogramowanie.
Czy było to dla Ciebie pomocne? Udostępnij to!
Udostępnij na Facebooku
0
Tweetuj
0
Udostępnij jeśli uważasz, że Google nie wie wszystkiego o Tobie
0