Sicherheit

Ist Ransomware wirklich so schrecklich, wie Sie denken?

Ist Ransomware wirklich so schrecklich, wie Sie denken? / Sicherheit

Ransomware ist ein regelmäßiges Ärgernis. Eine Ransomware-Infektion nimmt Ihren Computer als Geisel und verlangt eine Zahlung für die Veröffentlichung. In einigen Fällen werden Ihre Dateien durch eine Zahlung nicht gesichert. Persönliche Fotos, Musik, Filme, Arbeiten und mehr werden zerstört. Die Ransomware-Infektionsrate steigt weiter an - leider haben wir immer noch nicht den Höhepunkt erreicht. Ransomware-as-a-Service bringt Jedermann Chaos mit Ransomware-as-a-Service bringt Jedem Chaos mit Ransomware Werkzeug von Kriminellen und Übeltätern zu einer besorgniserregenden Dienstleistungsbranche, in der jeder einen Ransomware-Dienst abonnieren und Benutzer wie Sie und mich ansprechen kann. Lesen Sie mehr - und die Komplexität nimmt zu.

Es gab bemerkenswerte Ausnahmen von dieser Regel. In einigen Fällen haben Sicherheitsforscher die Ransomware-Verschlüsselung geknackt. Beat Scammers mit diesen Ransomware-Entschlüsselungs-Tools Beat Scammers mit diesen Ransomware-Entschlüsselungs-Tools Wenn Sie von Ransomware infiziert wurden, können Sie mit diesen kostenlosen Entschlüsselungswerkzeug Ihre verloren gegangenen Dateien entsperren und wiederherstellen. Warten Sie nicht noch eine Minute! Lesen Sie mehr, damit Sie ein begehrtes Entschlüsselungs-Tool erstellen können. 5 Websites und Apps, um Ransomware zu schlagen und sich zu schützen. 5 Websites und Apps, um Ransomware zu schlagen und sich selbst zu schützen. Waren Sie bisher einem Ransomware-Angriff ausgesetzt, bei dem einige Ihrer Dateien nicht mehr zugänglich sind? Hier sind einige der Tools, mit denen Sie diese Probleme vermeiden oder beheben können. Weiterlesen . Diese Ereignisse sind selten und treten normalerweise ein, wenn ein schädliches Botnet heruntergefahren wird. Allerdings ist nicht jede Ransomware so komplex wie wir denken.

Die Anatomie eines Angriffs

Im Gegensatz zu einigen gängigen Malware-Varianten versucht Ransomware so lange wie möglich verborgen zu bleiben. Dies gibt Ihnen Zeit, um Ihre persönlichen Dateien zu verschlüsseln. Ransomware ist so konzipiert, dass dem Benutzer die maximale Menge an Systemressourcen zur Verfügung steht, um den Alarm nicht auszulösen. Folglich ist für viele Benutzer der erste Hinweis auf eine Ransomware-Infektion eine Nachverschlüsselungsnachricht, die erläutert, was passiert ist.

Verglichen mit anderen Malware-Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Wenn Sie anfangen, über alle Dinge nachzudenken, die beim Surfen im Internet und im Internet schief gehen könnten fängt an, wie ein ziemlich unheimlicher Ort auszusehen. Lesen Sie mehr, der Infektionsprozess von Ransomware ist durchaus vorhersehbar. Der Benutzer lädt eine infizierte Datei herunter: Diese enthält die Ransomware-Nutzdaten. Wenn die infizierte Datei ausgeführt wird, scheint nichts sofort zu passieren (abhängig von der Art der Infektion). Dem Benutzer ist nicht bewusst, dass Ransomware seine persönlichen Dateien verschlüsselt.

Darüber hinaus weist ein Ransomware-Angriff mehrere andere Verhaltensmuster auf:

  • Deutliche Ransomware-Notiz.
  • Hintergrunddatenübertragung zwischen Host- und Steuerungsservern.
  • Die Entropie von Dateien ändert sich.

Datei Entropie

Dateientropie kann verwendet werden, um mit Ransomware verschlüsselte Dateien zu identifizieren. Für das Internet Storm Center schreibt Rob VandenBrink kurz die Dateientropie und Ransomware:

In der IT-Branche bezieht sich die Entropie einer Datei auf ein bestimmtes Zufallsmaß “Shannon Entropie,” benannt nach Claude Shannon. Dieser Wert ist im Wesentlichen ein Maß für die Vorhersagbarkeit eines bestimmten Zeichens in der Datei, basierend auf vorangestellten Zeichen (vollständige Details und Berechnungen hier). Mit anderen Worten, es ist ein Maß für die “Zufälligkeit” der Daten in einer Datei - gemessen in einer Skala von 1 bis 8, wobei typische Textdateien einen niedrigen Wert haben und verschlüsselte oder komprimierte Dateien ein hohes Maß haben.

Ich würde vorschlagen, den Originalartikel zu lesen, da er sehr interessant ist.

Sie können Ransomware nicht mit einem ausgefallenen Entropie-Algorithmus lösen, der bei Google gefunden wurde ;-) Das Problem ist etwas komplexer.

- Das Mach-Monster (@osxreverser) 20. April 2016

Ist es anders als “gewöhnliche” Malware?

Ransomware und Malware haben ein gemeinsames Ziel: Verborgen bleiben. Der Benutzer hat eine Chance, die Infektion zu bekämpfen, wenn er schnell entdeckt wird. Das Zauberwort heißt “Verschlüsselung.” Ransomware nimmt in der Infamie seinen Platz für die Verwendung von Verschlüsselung ein, wohingegen die Verschlüsselung in Malware seit langem verwendet wird.

Durch die Verschlüsselung kann Malware unter den Radar von Antivirenprogrammen gelangen, indem die Signaturerkennung verwirrt wird. Anstatt eine erkennbare Zeichenkette zu sehen, die eine Verteidigungsbarriere warnt, rutscht die Infektion unbemerkt vorbei. Obwohl Antivirus-Suiten diese Zeichenfolgen - bekannt als Hashes - Für viele Malware-Entwickler ist das eine einfache Sache.

Übliche Verschleierungsmethoden

Hier sind einige weitere übliche Methoden zur Verschleierung:

  • Erkennung - Viele Malware-Varianten können erkennen, ob sie in einer virtualisierten Umgebung verwendet werden. Dadurch kann die Malware die Aufmerksamkeit von Sicherheitsforschern umgehen, indem sie einfach die Ausführung oder Entpackung ablehnt. Dadurch wird die Erstellung einer aktuellen Sicherheitssignatur gestoppt.
  • Zeitliche Koordinierung - Die besten Antivirensuiten sind ständig in Alarmbereitschaft und suchen nach einer neuen Bedrohung. Leider können allgemeine Antivirenprogramme nicht immer alle Aspekte Ihres Systems schützen. Zum Beispiel wird einige Malware erst nach einem Neustart des Systems bereitgestellt, wodurch Virenschutzvorgänge verhindert und möglicherweise deaktiviert werden.
  • Kommunikation - Malware ruft den Befehls- und Kontrollserver (C & C) an, um Anweisungen zu erhalten. Dies gilt nicht für alle Malware. In diesem Fall kann ein Antivirenprogramm jedoch bestimmte IP-Adressen erkennen, die als Host für C & C-Server bekannt sind, und versucht, die Kommunikation zu verhindern. In diesem Fall drehen Malware-Entwickler einfach die Adresse des C & C-Servers und vermeiden so die Erkennung.
  • Falsche Operation - Ein ausgeklügeltes, gefälschtes Programm ist möglicherweise eine der häufigsten Benachrichtigungen über eine Malware-Infektion. Benutzer ohne Interesse nehmen an, dass dies ein normaler Bestandteil ihres Betriebssystems ist (normalerweise Windows), und befolgen Sie die Anweisungen auf dem Bildschirm. Diese sind besonders gefährlich für ungelernte PC-Benutzer und können, während sie als freundliches Frontend fungieren, einer Vielzahl böswilliger Entitäten den Zugriff auf ein System ermöglichen.

Diese Liste ist nicht erschöpfend. Es werden jedoch einige der häufigsten Methoden behandelt, mit denen Malware auf Ihrem PC verborgen bleibt.

Ist Ransomware einfach?

Einfach ist vielleicht das falsche Wort. Ransomware ist anders. Eine Ransomware-Variante verwendet Verschlüsselung umfangreicher als ihre Gegenstücke sowie auf andere Weise. Das Aktionen Eine Ransomware-Infektion macht sie bemerkenswert, ebenso wie das Erzeugen einer Aura: Ransomware ist etwas zu fürchten.

Wenn #ransomware skaliert wird und #IoT und #Bitcoin trifft, ist es zu spät, um ALLE Ihre IT-Daten zu fragmentieren. Bitte mach es jetzt. #Hacken

- Maxime Kozminski (@MaxKozminski) 20. Februar 2017

Ransomware verwendet einige neuartige Funktionen wie:

  • Verschlüsseln großer Dateienmengen.
  • Löschen von Schattenkopien, die Benutzern normalerweise das Wiederherstellen aus der Sicherung ermöglichen.
  • Erstellen und Speichern von Verschlüsselungsschlüsseln auf Remote-C & C-Servern.
  • Lösegeld fordern, normalerweise in nicht nachverfolgbarem Bitcoin.

Während die traditionelle Malware “nur” stiehlt Ihre Benutzeranmeldeinformationen und Kennwörter, Ransomware wirkt sich direkt auf Sie aus und stört Ihre unmittelbare Computerumgebung. Auch die Folgen sind sehr visuell.

Ransomware-Taktiken: Master File Table

Ransomware's “Beeindruckend!” Faktor kommt sicherlich von der Verwendung der Verschlüsselung. Aber scheint die Raffinesse alles zu sein? Engin Kirda, Mitbegründer und Chefarchitekt bei Lastline Labs, denkt nicht. Er und sein Team (mit Recherchen von Amin Kharraz, einem von Kirdas Doktoranden), führten eine enorme Ransomware-Studie durch und analysierten 1359 Proben aus 15 Ransomware-Familien. Ihre Analyse untersuchte Deletionsmechanismen und fand einige interessante Ergebnisse.

Was sind die Löschungsmechanismen? Rund 36 Prozent der fünf häufigsten Ransomware-Familien im Datensatz waren das Löschen von Dateien. Wenn Sie nicht bezahlt haben, wurden die Dateien tatsächlich gelöscht. Der Großteil der Streichung war tatsächlich ziemlich unkompliziert.

Wie würde ein Fachmann das tun? Sie würden tatsächlich darauf abzielen, die Festplatte zu löschen, so dass es schwierig ist, die Daten wiederherzustellen. Sie würden über die Festplatte schreiben, Sie würden diese Datei von der Festplatte löschen. Aber die meisten von ihnen waren natürlich faul und sie arbeiteten direkt an den Einträgen der Master File Table und markierten Dinge als gelöscht, aber die Daten blieben immer noch auf der Festplatte.

Anschließend konnten diese gelöschten Daten abgerufen und in vielen Fällen vollständig wiederhergestellt werden.

Ransomware Tactics: Desktop-Umgebung

Ein weiteres klassisches Ransomware-Verhalten ist das Sperren des Desktops. Diese Art von Angriff ist in grundlegenderen Varianten vorhanden. Anstatt sich tatsächlich mit dem Verschlüsseln und Löschen von Dateien zu beschäftigen, sperrt die Ransomware den Desktop und zwingt den Benutzer vom Computer. Die Mehrheit der Benutzer nimmt an, dass ihre Dateien nicht mehr vorhanden sind (verschlüsselt oder vollständig gelöscht) und daher einfach nicht wiederhergestellt werden können.

Ransomware-Taktiken: Erzwungene Nachrichten

Ransomware-Infektionen zeigen notorisch ihren Lösegeldschein an. Normalerweise verlangt der Nutzer eine Zahlung für die sichere Rückgabe seiner Dateien. Darüber hinaus senden Ransomware-Entwickler Benutzer zu bestimmten Webseiten, während sie bestimmte Systemfunktionen deaktivieren. So können sie die Seite / das Bild nicht loswerden. Dies ist vergleichbar mit einer gesperrten Desktopumgebung. Dies bedeutet nicht automatisch, dass die Dateien des Benutzers verschlüsselt oder gelöscht wurden.

Denken Sie vor dem Bezahlen nach

Eine Ransomware-Infektion kann verheerend sein. Das ist zweifellos. Wenn Sie jedoch mit Ransomware getroffen werden, bedeutet das nicht automatisch, dass Ihre Daten für immer verschwunden sind. Ransomware-Entwickler sind nicht alle erstaunliche Programmierer. Wenn es einen einfachen Weg zum sofortigen finanziellen Gewinn gibt, wird dieser Weg beschritten. Dies ist im sicheren Wissen, dass einige Benutzer zahlen werden 5 Gründe, warum Sie Ransomware-Betrüger nicht bezahlen sollten 5 Gründe, warum Sie Ransomware-Betrüger nicht bezahlen sollten Ransomware ist unheimlich und Sie möchten nicht davon getroffen werden - aber auch Wenn Sie dies tun, gibt es zwingende Gründe, warum Sie das Lösegeld NICHT bezahlen sollten! Lesen Sie mehr wegen der unmittelbaren und direkten Bedrohung. Es ist völlig verständlich.

Die besten Methoden zur Eindämmung von Ransomware bleiben erhalten: Sichern Sie Ihre Dateien regelmäßig auf einem nicht vernetzten Laufwerk, halten Sie die Antivirus-Suite und die Internetbrowser auf dem neuesten Stand, achten Sie auf Phishing-E-Mails und machen Sie sich über das Herunterladen von Dateien aus dem Internet Gedanken.

Bildnachweis: andras_csontos über Shutterstock.com

Erfahren Sie mehr über: Computersicherheit, Online-Sicherheit, Ransomware.