Atacurile Ransomware și Cum Să Vă Ocupați de Ele

Există multe discuții despre ransomware la știri în aceste zile. Este surprinzător cât de puțini oameni știu ce înseamnă și ce se întâmplă dacă sunteți atacat.

Iată o descriere a măsurilor pe care le puteți lua pentru a vă proteja și ce să faceți dacă se întâmplă cel mai rău lucru.

Ce este Ransomware?

Ransomware este o categorie de malware folosit pentru a încerca să extragă bani de pe urma victimele sale – cerându-le răscumpărare. Majoritatea programelor sunt proiectate să stea silențioase în sistem și să cripteze lent fișierele. Doar după ce termină criptarea, vor prezenta un anunț terifiant – fie veți plăti sau veți pierde fișierele pentru totdeauna.

Niciun sistem de securitate nu este infailibil. Malware-ul este cu un pas înaintea jocului. Dacă și când vă prinde, iată câteva sfaturi utile care vă pot ajuta:

Pasul 1: Minimizarea pagubelor

În primul rând, izolați sistemul care a fost afectat, mai ales dacă este conectat la rețeaua dvs., astfel încât să împiedicați infectarea altor sisteme.

Dacă sunteți administrator IT și serverele dvs. sunt infectate, deconectați toate cablurile Ethernet.

Nu încercați să faceți back-up de siguranță prin copierea fișierelor pe un disc extern. S-ar putea să credeți că este o idee bună să salvați fișierele care nu sunt încă criptate, dar acest lucru poate răspândi malware-ul. Când introduceți un disc/USB pe computerul infectat, malware-ul se poate copia din nou când introduceți unitatea.

Când acea unitate/USB este introdusă pe un alt computer, malware-ul ar putea să infecteze sistemul respectiv. Sau cel mai rău, ați putea să îl reintroduceți în propriul sistem după ce ați făcut toate eforturile de curățare. Deci, este mai bine să puneți în carantină numai calculatorul afectat.

Pasul 2: Identificați tipul de ransomware

Există diferite tipuri de ransomware, unele mai periculoase și mai greu de abordat decât altele. Puteți utiliza strategii diferite pentru a scăpa de acestea, în funcție de tipul și caracteristica atacului său. Cele mai frecvente tipuri se încadrează în aceste categorii:

  1. Scareware/Antivirus fals
    Scareware-ul, cunoscut și sub numele de antivirus fals, este o categorie de malware care îi înșală pe utilizatori să creadă că există ceva în neregulă cu sistemul lor.
    Apoi trebuie să cumpărați un alt software pentru a-l curăța. Desigur, nu este nimic în neregulă cu calculatorul și, de cele mai multe ori, achiziționarea unui software are ca rezultat o adevărată infecție.
    În cele mai multe cazuri, funcționează prin afișarea unui mesaj pop-up care anunță probleme cum ar fi găsirea unui virus, încetinirea sistemului sau rezolvarea problemelor de registru în text bold în mijlocul ecranului. Poate conține și momeală click care redirecționează utilizatorul către site-ul malware chiar și atunci când fereastra pop-up este închisă. Iată un exemplu:
    Scareware-ul este probabil cel mai simplu dintre toate programele malware cu care puteți să vă confruntați. Închideți pur și simplu fila browser și fereastra pop-up va dispărea. Dacă primiți ecrane pop-up în sistemul dvs. de operare, este posibil să fie necesar să identificați fișierul executabil incorect utilizând Task Manager sau un explorator de procese avansate. Apoi, ștergeți-l sau dezinstalați-l. Dacă aveți în continuare probleme, scanați sistemul cu un program antivirus sau anti-malware.
  2. Ransomware de blocare a ecranului
    Această categorie de ransomware nu vă permite să rulați calculatorul până când nu plătiți o răscumpărare. În majoritatea cazurilor, este afișată o fereastră pe ecran cu o avertizare. Poate pretinde că este de la FBI cu privire la descărcarea ilegală de conținut online. În alte cazuri, o imagine pornografică este setată ca tapet care nu poate fi schimbat. Se bazează pe umilirea victimei până plătește bani. Programele mai avansate urmăresc activitatea utilizatorilor pentru câteva zile și afișează o notificare personalizată, făcând-o mai credibilă și intimidantă. Iată un exemplu:
    Dacă sunteți infectat, încercați să identificați executivul care a cauzat-o în primul rând. În cele mai multe cazuri, simpla apăsare a tastelor CTRL + ALT + DEL vă va duce în Managerul de activități și programul poate fi închis.
    Chiar și după ce ștergeți executabilul, este o idee bună să rulați o scanare completă a antivirusului pentru a elimina urmele rămase. Dacă aceste soluții nu funcționează, este posibil să fie nevoie să restabiliți sau să recuperați Windows pentru a-l aduce într-o stare în care malware-ul nu a fost prezent sau a fost inactiv.
  3. Ransomware de criptare a fișierelor
    Ultima categorie și cea mai periculoasă sunt acele programe care criptează toate fișierele și le fac inutilizabile dacă nu plătiți o răscumpărare. În mod obișnuit, vor intra în sistemul victimei și vor începe să cripteze toate fișierele, făcându-le complet inutilizabile.
    Când vor termina, vor cere plata pentru a le decripta înapoi. În zilele noastre, cripto-urile precum bitcoin și anonimatul pe care îl oferă sunt o modalitate excelentă pentru atacatori de a obține plăți. Aceasta au văzut utilizatorii atacați de Wannacry:
    De asemenea, poate fi util să înțelegeți exact modul în care funcționează criptarea. Acest lucru vă poate ajuta să obțineți indicii cu privire la modul în care puteți decripta fișierele.
    Majoritatea programelor utilizează o combinație de criptare simetrică și asimetrică atunci când rulează (faceți clic aici pentru mai multe informații despre tipurile de criptare) . Criptarea simetrică este utilă deoarece permite atacatorului să cripteze fișiere mai repede decât asimetric. Criptarea asimetrică înseamnă că atacatorii trebuie să protejeze o cheie privată. În caz contrar, ei ar trebui să mențină și să protejeze cheile simetrice pentru toate victimele.

Serverele de comandă și de control (C& ) sunt utilizate în general pentru comunicarea programelor. Acesta este modul în care ransomware-ul de criptare a fișierelor utilizează criptarea simetrică și asimetrică pentru a efectua un atac:

  • Se generează o cheie publică privată la sfârșitul atacului folosind oricare dintre multele algoritmi de criptare asimetrici, cum ar fi RSA-256.
  • Cheile private sunt protejate de atacator, iar cele publice sunt încorporate în programul ransomware.
  • Un nou sistem este infectat de ransomware. Se transmit informațiile împreună cu ID-ul unității de sistem sau ID-ul victimei către serverul C&C.
  • Utilizând unul dintre algoritmii de criptare simetrici (de exemplu, AES), serverul generează și trimite cheia simetrică specifică pentru sistemul victimei. Cheia simetrică este apoi criptată utilizând-o pe cea privată.
  • Programul ransomware utilizează cheia publică încorporată pentru a o decripta pe cea simetrică – apoi începe să cripteze toate fișierele.

Acum, că știți exact cum funcționează ransomware-ul, să examinăm opțiunile când sistemul dvs. este infectat.

Pasul 3: Decideți strategia

Am discutat metodele de eliminare a primelor două categorii de ransomware relativ ușoare mai sus.

Programele de criptare a fișierelor sunt mai greu de exclus. În primul rând, va trebui să identificați tipul de malware cu care aveți de-a face. Informațiile pot fi limitate pentru programe mai recente, pe măsură ce acestea sunt scrise zilnic. Dar, în majoritatea cazurilor, ar trebui să le puteți identifica cu puțină cercetare.

Încercați să realizați capturi de ecran ale notei de răscumpărare și apoi să căutați imaginile pentru a identifica tipul exact de ransomware. De asemenea, puteți căuta frazele utilizate în textul notei.

Decideți dacă doriți sau nu să plătiți răscumpărarea. Deși nu este recomandat să plătiți atacatorii, deoarece îi încurajează, uneori datele dvs. sunt prea sensibile sau importante pentru a le pierde. Gândiți-vă bine și nu plătiți decât dacă este absolut necesar.

În cel mai rău scenariu, bineînțeles, trebuie să aveți în vedere că nu există nicio garanție că veți primi datele dvs. chiar și după ce ați plătit.

Pasul 4: Luați măsuri

Dacă puteți identifica detaliile despre ransomware-ul care a infectat calculatorul dvs., căutați modalități de eliminare a acestuia prin intermediul unei căutări pe Web. Codul malware este întotdeauna ineficient. Este posibil ca dezvoltatorul să fi uitat ștergerea cheii de criptare din program care prelucrează și decriptează fișierele.

Dacă ransomware-ul este destul de bine cunoscut și există câteva lacune, ar trebui să puteți găsi tutoriale și ghiduri online pentru a-l elimina pe site-uri precum nomoreransom.org.

Din moment ce multe programe ransomware șterg doar fișierele originale după criptarea copiei, este posibil să le recuperați utilizând software-ul de recuperare de date. Când ștergeți un fișier, acesta nu este șters efectiv de pe disc decât dacă este suprascris de altul. Prin urmare, ar trebui să poată fi recuperate date importante utilizând software-ul gratuit de recuperare.

Dacă niciuna dintre aceste soluții nu are succes, trebuie luată o decizie. Plătiți răscumpărarea sau pierdeți datele. Chiar dacă plătiți, bineînțeles, datele dvs. nu sunt garantate. Acesta este în întregime un apel de judecată în care vă bazați pe buna-credință a atacatorilor.

De asemenea, puteți încerca să negociați cu atacatorii utilizând adresa de e-mail furnizată în nota de răscumpărare. Ați fi surprins cât de des funcționează.

Dacă decideți să nu plătiți răscumpărarea, următorul pas este să vă curățați PC-ul, dar veți pierde datele dvs. pentru totdeauna. Dacă aveți o copie de siguranță pe un disc extern, NU o conectați la PC înainte de a-l formata complet.

Cea mai bună modalitate de a curăța răscumpărarea este să vă formatați sistemul de operare. Dacă nu doriți să faceți un pas atât de drastic, asigurați-vă că ransomware-ul nu infectează sectorul de boot. Veți găsi informații despre acest lucru pe Internet.

Apoi, actualizați-vă antivirusul și efectuați o scanare completă a sistemului. Este, de asemenea, o idee bună să complementăm antivirusul cu un program anti-malware pentru o protecție completă. Acest lucru ar trebui să elimine ransomware-ul de tot.

Pasul 5: Dezbatere

Acum că ați scapat de ransomware, este timpul să vă uitați la motivul pentru care ați fost atacat în primul rând. După cum un om înțelept a spus odată: „Prevenirea este mai bună decât vindecarea” și acest lucru se aplică în cazul securității online mai mult decât în orice altceva. O apărare este la fel de puternică ca utilizatorul și, cu protecția adecvată în vigoare, este dificil pentru orice malware să atace.

Fiți vigilent și țineți cont de aceste aspecte:

  1. Actualizați întotdeauna antivirusul
  2. Verificați întotdeauna adresa URL a site-ului pe care îl vizitați.
  3. Nu executați programe nedorite în sistemul dvs. Lucruri precum fisuri, seriale, patch-uri etc. sunt cele mai frecvente surse de malware.
  4. Nu permiteți site-urilor de în care nu aveți încredere să ruleze conținut executabil în browserul dvs.
  5. Continuați să actualizați sistemul de operare. Malware-ul, inclusiv ransomware-ul, se răspândește adesea prin vulnerabilități de securitate neprotejate în sistemele de operare mai vechi. Un hacker, de exemplu, poate exploata o eroare în software-ul Windows RDP pentru a avea acces la sistemul conectat la Internet pentru a executa malware.
Ți-a fost de ajutor? Distribuie!
Distribuie pe Facebook
Trimite un Tweet despre asta
Distribuie dacă crezi că Google nu știe destule despre tine