Τι είναι το Ransomware και η επίθεση από αυτό;
Το Ransomware είναι κακόβουλο λογισμικό, μια μορφή εγκλήματος στον κυβερνοχώρο. Συνήθως εξαπλώνεται μέσω email ηλεκτρονικού ψαρέματος (fishing) που πείθουν τους χρήστες να μοιραστούν πληροφορίες σύνδεσης, να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο ή να επισκεφτούν έναν ιστότοπο όπου ένας ιός ransomware μπορεί να μεταφορτωθεί κρυφά στον υπολογιστή ενός χρήστη και κρυπτογραφεί τα δεδομένα του θύματος, τα σημαντικά αρχεία και στη συνέχεια απαιτεί μια πληρωμή (λύτρα) για να ξεκλειδώσει και να αποκρυπτογραφήσει τα δεδομένα. Αυτός ο τύπος επίθεσης εκμεταλλεύεται ευπάθειες ανθρώπου, συστήματος, δικτύου και λογισμικού για να μολύνει τη συσκευή του θύματος . Η οποία μπορεί να είναι υπολογιστής, εκτυπωτής, smartphone, φορητός υπολογιστής, τερματικό σημείου πώλησης (POS) ή άλλο τελικό σημείο.
Πώς λειτουργεί το Ransomware;
Αφού μια συσκευή εκτεθεί στον κακόβουλο κώδικα, η επίθεση ransomware προχωρά ως εξής. Το Ransomware μπορεί να παραμείνει αδρανές σε μια συσκευή έως ότου η συσκευή είναι πιο ευάλωτη και μόνο τότε να εκτελέσει μια επίθεση.
• Μόλυνση: Το Ransomware κατεβαίνει και εγκαθίσταται κρυφά στη συσκευή.
• Εκτέλεση: Το Ransomware σαρώνει και χαρτογραφεί τοποθεσίες για στοχευόμενους τύπους αρχείων, συμπεριλαμβανομένων των τοπικά αποθηκευμένων αρχείων και των αντιστοιχισμένων και μη αντιστοιχισμένων συστημάτων προσβάσιμων στο δίκτυο. Ορισμένες επιθέσεις ransomware διαγράφουν ή κρυπτογραφούν επίσης τυχόν αρχεία και φακέλους αντιγράφων ασφαλείας.
• Κρυπτογράφηση: Το Ransomware πραγματοποιεί ανταλλαγή κλειδιών με τον διακομιστή εντολών και ελέγχου, χρησιμοποιώντας το κλειδί κρυπτογράφησης για την ανακύκλωση όλων των αρχείων που ανακαλύφθηκαν κατά το βήμα της εκτέλεσης. Κλειδώνει επίσης την πρόσβαση στα δεδομένα.
• Ειδοποίηση χρήστη: Το Ransomware προσθέτει αρχεία οδηγιών που περιγράφουν λεπτομερώς τη διαδικασία πληρωμής για αποκρυπτογράφηση και, στη συνέχεια, χρησιμοποιεί αυτά τα αρχεία για να εμφανίσει μια σημείωση λύτρων στον χρήστη.
• Εκκαθάριση: Το Ransomware συνήθως τερματίζεται και διαγράφεται μόνο του, αφήνοντας μόνο τα αρχεία οδηγιών πληρωμής.
• Πληρωμή: Το θύμα κάνει κλικ σε έναν σύνδεσμο στις οδηγίες πληρωμής, ο οποίος οδηγεί σε μια ιστοσελίδα με πρόσθετες πληροφορίες σχετικά με τον τρόπο πραγματοποίησης της απαιτούμενης πληρωμής λύτρων. Οι κρυφές υπηρεσίες TOR χρησιμοποιούνται συχνά για την ενθυλάκωση και τη συσκότιση αυτών των επικοινωνιών για να αποφευχθεί ο εντοπισμός από την παρακολούθηση της κυκλοφορίας του δικτύου.
• Αποκρυπτογράφηση: Αφού το θύμα πληρώσει τα λύτρα, συνήθως μέσω της διεύθυνσης κρυπτονομισμάτων του εισβολέα, μπορεί να λάβει το κλειδί αποκρυπτογράφησης. Ωστόσο, δεν υπάρχει καμία εγγύηση ότι το κλειδί αποκρυπτογράφησης θα παραδοθεί όπως είχε υποσχεθεί.
Πώς να αφαιρεθεί ένας ιός Ransomware;
Όταν ένας ιός ransomware μεταφορτωθεί επιτυχώς σε έναν υπολογιστή και ξεκινήσει μια επίθεση, θα πρέπει να απομονωθεί αμέσως ο ιός αποσυνδέοντας το μηχάνημα από το δίκτυο και από τυχόν συσκευές αποθήκευσης που μοιράζονται με άλλους υπολογιστές. Μετά την αναγνώριση του ιού ransomware από τη γλώσσα στη σημείωση λύτρων, θα πρέπει να γνωστοποιηθεί στη Δίωξη Ηλεκτρονικού Εγκλήματος, τις υπηρεσίες Κυβερνοασφάλειας καθώς και σε εξειδικευμένους τεχνικούς υπολογιστών. Για την ανάκτηση δεδομένων, πρέπει είτε να αποκρυπτογραφηθούν τα αρχεία χρησιμοποιώντας εργαλεία αποκρυπτογράφησης ή ειδικούς πάνω στους ιούς, είτε να καθαρίσουν το σύστημα και να επανεγκατασταθούν τα δεδομένα από ένα πρόσφατο αντίγραφο ασφαλείας.
Πώς να αποφύγετε έναν ιό Ransomware;
Η αποφυγή ενός ιού ransomware είναι ο καλύτερος τρόπος για να αποτρέψετε μια επίθεση. Το λογισμικό κατά του κακόβουλου λογισμικού και του antispam μπορεί να εντοπίσει και να αποκλείσει πολλές συνήθεις ή γνωστές απειλές ιού ransomware. Μια ασφαλής πύλη email με προηγμένες δυνατότητες επιθεώρησης και φιλτραρίσματος μπορεί να αποκλείσει νέες και αναδυόμενες απειλές ransomware εντοπίζοντας δείκτες όπως τεχνικές κοινωνικής μηχανικής καθώς και ανωμαλίες κεφαλίδων, ομοιότητα τομέα και ύποπτη γλώσσα. Οι άμυνες που επιθεωρούν διευθύνσεις URL και συνημμένα στο ηλεκτρονικό ταχυδρομείο μπορούν να εμποδίσουν τους χρήστες να ανοίξουν ύποπτους συνδέσμους ή αρχεία. Και οι υπηρεσίες ελέγχου ταυτότητας DNS μπορούν να εντοπίσουν μηνύματα ηλεκτρονικού ταχυδρομείου που ενδέχεται να χρησιμοποιούν πλαστογράφηση αποστολέα για την εκτόξευση ενός ιού ransomware. Η εκπαίδευση σχετικά με την ασφάλεια είναι αναπόσπαστο μέρος της άμυνας ενάντια στις επιθέσεις ιών ransomware. Το ανθρώπινο λάθος είναι ένας κορυφαίος παράγοντας σε παραβιάσεις ασφάλειας, όπως επιθέσεις ransomware. Η εκπαίδευση των μελών μιας οικογένειας, των μαθητών ενός σχολείου ή των εργαζομένων μιας επιχείρησης να είναι πιο προσεκτικοί μπορεί να τους μετατρέψει από τους πιο αδύναμους κρίκους της αλυσίδας ασφαλείας στους πιο αποτελεσματικούς υπερασπιστές της. Η εκπαίδευση συνήθως επικεντρώνεται στον τρόπο αναγνώρισης των email ηλεκτρονικού ψαρέματος (fishing) που μπορεί να χρησιμοποιηθούν σε συνδυασμό με έναν ιό ransomware καθώς είναι η πιο γνωστή τεχνική που χρησιμοποιούν συχνά οι εγκληματίες του κυβερνοχώρου για να παραβιάσουν τις άμυνες.
Πώς να εντοπίσετε έναν ιό Ransomware;
Υπάρχει μια σειρά από κοινές ενδείξεις ενός email ηλεκτρονικού ψαρέματος που μπορεί να έχει σχεδιαστεί για την εγκατάσταση ενός ιού ransomware στον υπολογιστή. Αυτά περιλαμβάνουν:
• Ύποπτα συνημμένα, όπως απροσδόκητα τιμολόγια ή αρχεία, συντακτικά και ορθογραφικά λάθη ή μη χαρακτηριστική γλώσσα που υποδεικνύουν ότι ο αποστολέας μπορεί να μην είναι αυτός που ισχυρίζεται.
• Μη εξατομικευμένες επικοινωνίες, με χαιρετισμούς που δεν αναφέρουν το όνομα του παραλήπτη.
• Απειλές για αρνητικές συνέπειες που έχουν σχεδιαστεί για να ενθαρρύνουν τους αποδέκτες να ενεργήσουν γρήγορα.
• Αιτήματα για προσωπικές πληροφορίες, όπως διαπιστευτήρια σύνδεσης.
• Διαφοροποιήσεις σε διευθύνσεις ηλεκτρονικού ταχυδρομείου, τομείς και διευθύνσεις URL, όπου η διεύθυνση ηλεκτρονικού ταχυδρομείου στην κεφαλίδα δεν αντιστοιχεί ακριβώς στην εταιρεία από την οποία ισχυρίζεται ότι προέρχεται το email ή οι σύνδεσμοι στο κύριο μέρος του μηνύματος ηλεκτρονικού ταχυδρομείου δεν ταιριάζουν με το πραγματικό URL εντός του συνδέσμου.
Πηγή:mimecast.com