Forside Sikkerhed En historie med Ransomware, hvor det startede og hvor det går

En historie med Ransomware, hvor det startede og hvor det går

  • William Charles
  • 0
  • 2213
  • 305
Reklame

Ransomware er en type malware, der forhindrer normal adgang til et system eller filer, medmindre offeret betaler en løsepenge. De fleste mennesker er bekendt med krypto-ransomware-varianterne, hvor filer er indkapslet i ukrakkelig kryptering, men paradigmet er faktisk meget ældre end det.

Faktisk stammer ransomware næsten ti år tilbage. Ligesom mange computersikkerhedstrusler stammede det fra Rusland og grænsende lande. Siden sin første opdagelse har Ransomware udviklet sig til at blive en stadig stærkere trussel, der er i stand til at udtrække stadig større løsepenge.

Tidlig Ransomware: Fra Rusland med had

De første ransomware-prøver blev opdaget i Rusland mellem 2005 og 2006. Disse blev skabt af russiske organiserede kriminelle og var stort set rettet mod russiske ofre, såvel som dem, der boede i de nominelt russiske nabolande som Hviderusland, Ukraine og Kasakhstan.

En af disse ransomware-varianter blev kaldt TROJ_CRYZIP.A. Dette blev opdaget i 2006, længe før betegnelsen blev myntet. Det påvirkede i vid udstrækning maskiner, der kører Windows 98, ME, NT, 2000, XP og Server 2003. Når det først er downloadet og udført, ville det identificere filer med en bestemt filtype og flytte dem til en adgangskodebeskyttet ZIP-mappe efter at have slettet originaler. For at ofret skal gendanne deres filer, skulle de overføre $ 300 til en E-Gold-konto.

E-guld kan beskrives som en spirituel forgænger for BitCoin. En anonym, guldbaseret digital valuta, der blev administreret af et selskab med base i Florida, men registreret i Saint Kitts og Nevis, tilbød den relativ anonymitet, men blev hurtigt foretrukket af organiserede kriminelle som en metode til at hvidvaske beskidte penge. Dette førte til, at den amerikanske regering suspenderede den i 2009, og virksomheden foldede ikke længe efter.

Senere ransomware-varianter ville bruge anonyme kryptovalutaer som Bitcoin, forudbetalte betalingskort og endda telefonnummer med premium-rate som betalingsmetode.

TROJ_RANSOM.AQB er en anden ransomware-variant, der blev identificeret af Trend Micro i 2012. Dens infektionsmetode var at erstatte Master Boot Record (MBR) af Windows med sin egen ondsindede kode. Når computeren startede op, kunne brugeren se en løsepunktsmeddelelse skrevet på russisk, som krævede, at offeret skulle betale 920 ukrainske Hryvnia via QIWI - et Cypern-baseret, russisk-ejet betalingssystem. Når det blev betalt, ville offeret få en kode, der giver dem mulighed for at gendanne deres computer til normal.

Med mange af de identificerede ransomware-operatører, der identificeres fra Rusland, kunne det argumenteres for, at de erfaringer, der er opnået med at målrette mod hjemmemarkedet, har gjort dem bedre i stand til at målrette mod internationale brugere.

Stop, politi!

Mod slutningen af ​​2000'erne og starten af ​​2010'erne blev ransomware i stigende grad anerkendt som en trussel mod internationale brugere. Men der var stadig en lang vej at gå, før den homogeniseredes til den potent, krypto-ransomware-variant, vi ser i dag.

Omkring denne tid blev det almindeligt for løsepenge at efterligne retshåndhævelse for at udtrække løsepenge. De vil beskylde offeret for at være involveret i en forbrydelse - lige fra krænkelse af ophavsret, til ulovlig pornografi - og siger, at deres computer er under efterforskning og er blevet låst.

Derefter ville de give offeret et valg. Offeret kunne vælge at betale a “bøde”. Dette vil droppe (ikke-eksisterende) afgifter og returnere adgang til computeren. Hvis offeret forsinkede, ville bøden fordobles. Hvis offeret nægtede at betale fuldstændigt, ville løseprogrammet true dem med arrestation, retssag og potentielt fængsel.

Reveton var den mest anerkendte variant af politiets ransomware. Hvad der gjorde Reveton så effektiv var, at den brugte lokalisering til at virke mere legitim. Det ville finde ud af, hvor brugeren var baseret, og derefter efterligne den relevante lokale retshåndhævelse.

Så hvis offeret var hjemmehørende i De Forenede Stater, ser det ud til, at løsepunktsnoten skulle være fra Department of Justice. Hvis brugeren var italiensk, ville den vedtage stylingen af Guardia di Finanza. Britiske brugere ville se en besked fra London Metropolitan Police eller Strathclyde Police.

Producenterne af Reveton dækkede alle deres baser. Det var lokaliseret for stort set ethvert europæisk land såvel som Australien, Canada, New Zealand og USA. Men det havde en fejl. Da det ikke krypterede brugerens filer, kunne det fjernes uden skadelige virkninger. Dette kan opnås med en antivirus live-CD eller ved at starte i sikker tilstand.

CryptoLocker: Den første store Crypto-Ransomware

Crypto-ransomware har ingen sådan fejl. Det bruger næsten uknuselig kryptering til at sammenlægge brugerens filer. Selv hvis malware blev fjernet, forbliver filerne låst. Dette lægger et voldsomt pres på offeret for at betale op.

CryptoLocker var den første bredt genkendelige krypto-ransomware. CryptoLocker er den vildeste malware nogensinde og her er, hvad du kan gøre. CryptoLocker er den vildeste malware nogensinde & her er, hvad du kan gøre. CryptoLocker er en type ondsindet software, der gør din computer fuldstændig ubrugelig ved at kryptere alle af dine filer. Det kræver derefter monetær betaling, før adgang til din computer returneres. , og dukkede ud i slutningen af ​​2013. Det er svært at estimere omfanget af inficerede brugere med nogen grad af nøjagtighed. ZDNet, et højt respekteret teknologitidsskrift, sporer fire bitcoin-adresser, der blev brugt af malware, og opdagede, at de modtog omkring 27 millioner dollars i betalinger.

Det blev distribueret via inficerede e-mail-vedhæftede filer, som blev udbredt via store spam-netværk såvel som via Gameover ZeuS botnet. Når det havde kompromitteret et system, ville det systematisk kryptere dokument- og mediefiler med stærk RSA-nøgle-kryptografi.

Offeret ville derefter have et kort tidsrum til at betale et løsepenge på $ 400 USD eller € 400 EUR, enten via Bitcoin eller gennem GreenDot MoneyPak - et forudbetalt voucher-system favoriseret af cyberkriminelle. Hvis offeret ikke betalte inden for 72 timer, truede operatørerne med at slette den private nøgle, hvilket gjorde dekryptering umulig.

I juni 2014 blev CryptoLocker-distributionsserverne taget ned en koalition af akademikere, sikkerhedsudbydere og retshåndhævelsesagenturer i Operation Tovar. To leverandører - FireEye og Fox-IT - kunne få adgang til en database med private nøgler brugt af CryptoLocker. De frigav derefter en service, der gjorde det muligt for ofrene at dekryptere deres filer gratis. CryptoLocker er død: Sådan kan du få dine filer tilbage! CryptoLocker er død: Sådan kan du få dine filer tilbage!

Selvom CryptoLocker var kortvarig, beviste det endeligt, at crypto-ransomware-modellen kunne være en lukrativ model, og resulterede i et kvasi-digitalt våbenløb. Mens sikkerhedsleverandører forberedte afhjælpning, frigav kriminelle stadig sofistikerede ransomware-varianter.

TorrentLocker og CryptoWall: Ransomware bliver smartere

En af disse forbedrede ransomware-varianter var TorrentLocker, som dukkede op kort efter CryptoLockers fald.

Dette er en temmelig fodgængerform af krypto-ransomware. Som de fleste former for krypto-ransomware er dens angrebsvektor ondsindede e-mail-vedhæftede filer, især Word-dokumenter med ondsindede makroer Sådan beskytter du dig mod Microsoft Word Malware Sådan beskytter du dig mod Microsoft Word Malware Vidste du, at din computer kan blive inficeret af ondsindet Microsoft Kontordokumenter, eller at du kan blive duped til at aktivere de indstillinger, de har brug for at inficere din computer? . Når en maskine er inficeret, krypterer den det sædvanlige sortiment af medier og kontorfiler ved hjælp af AES-kryptering.

Den største forskel var i de visning af løsepenge. TorrentLocker ville vise den løsepenge, der kræves i offerets lokale valuta. Så hvis den inficerede maskine var baseret i Australien, ville TorrentLocker vise prisen i australske dollars TorrentLocker er en ny Ransomware Down Under. Og det er ondt. TorrentLocker er en ny Ransomware nedenunder. Og det er ondt. , der betales i BitCoin. Det vil endda angive lokale BitCoin-børser.

Der har endda været fornyelser i infektions- og tilsløringsprocessen. Tag for eksempel CryptoWall 4.0, den seneste stamme i den frygtede familie med krypturransomware.

Dette har ændret den måde, det inficerer systemer, og omdøber nu alle inficerede filer, hvilket forhindrer brugeren i at bestemme, hvad der er krypteret, og gøre det sværere at gendanne fra en sikkerhedskopi.

Ransomware målretter sig nu mod nicheplatforme

Overvældende er ransomware målrettet mod computere, der kører Windows, og i mindre grad smartphones, der kører Android. Årsagen til, at det mest kan henføres til markedsandele. Langt flere mennesker bruger Windows end Linux. Dette gør Windows til et mere attraktivt mål for malware-udviklere.

Men i løbet af det seneste år er denne tendens begyndt at vende - omend langsomt - og vi begynder at se crypto-ransomware målrettet mod Mac- og Linux-brugere.

Linux.Encoder.1 blev opdaget i november 2015 af Dr.Web - et stort russisk cybersikkerhedsfirma. Det udføres fjernt ved hjælp af en fejl i Magento CMS og vil kryptere et antal filtyper (kontor- og mediefiler samt filtyper, der er tilknyttet webapplikationer) ved hjælp af AES og RSA kryptografi med offentlig nøgle. For at dekryptere filerne skal offeret betale en løsepenge på en bitcoin.

Tidligere i år så vi ankomsten af ​​KeRanger ransomware, der målrettede Mac-brugere Hvilke sikkerhedstrusler er Mac-brugere i 2016? Hvilke sikkerhedstrusler møder Mac-brugere i 2016? Fortjent eller ej, Mac OS X har et ry for at være mere sikker end Windows. Men er det omdømme stadig fortjent? Hvilke sikkerhedstrusler findes for Apple-platformen, og hvordan påvirker de brugerne? . Dette havde en usædvanlig angrebsvektor, da den kom ind i systemer ved at infiltrere softwareopdateringerne af transmission - en populær og legitim BitTorrent-klient.

Selv om truslen om ransomware til disse platforme er lille, vokser den unægteligt og kan ikke ignoreres.

Fremtiden for Ransomware: Destruktion som en tjeneste

Så hvordan ser ransomwares fremtid ud? Hvis jeg skulle sige det ord: mærker og franchiser.

Først, lad os tale om franchiser. En interessant tendens er fremkommet i de sidste par år i den respekt, at udviklingen af ​​ransomware er blevet utroligt commoditized. I dag, hvis du bliver inficeret med ransomware, er det helt sandsynligt, at den person, der distribuerede det, ikke er den person, der oprettede det.

Så er der branding. Mens mange ransomware-stammer har opnået navnegenkendelse for den destruktive magt, de besidder, sigter nogle producenter med at gøre deres produkter så anonyme og generiske som muligt.

Værdien af ​​en hvidmærket ransomware er, at den kan omklassificeres. Fra en vigtigste ransomware-stamme kan hundredvis af flere dukke op. Det er måske denne grund, hvorfor i første kvartal af 2015 blev over 725.000 ransomware-prøver indsamlet af McAfee Labs. Dette repræsenterer en kvartalsvis stigning på næsten 165%.

Det ser ud til at være yderst usandsynligt, at retshåndhævelse og sikkerhedsbranchen vil være i stand til at tilbageholde dette stigende tidevand.

Er du blevet ramt af ransomware? Betalte du op, mistede dine data eller formåede at overvinde problemet på en anden måde (måske en sikkerhedskopi)? Fortæl os om det i kommentarerne!

Billedkreditter: privatliv og sikkerhed af Nicescene via Shutterstock




Endnu ingen kommentarer

12 tv-shows, du kun kan streame på Amazon Prime
Underholdning
Brug denne seje tilfældige knap til at kanal surfe på Netflix
Underholdning
Hvad er nyt ved Hulu i oktober 2016? Dræb Bill, Groundhog Day og mere
Underholdning
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.