¿Es el ransomware realmente tan aterrador como piensas?
Ransomware es una molestia regular. Una infección de ransomware toma a su computadora como rehén y exige el pago de la liberación. En algunos casos, un pago no asegura sus archivos. Fotos personales, música, películas, trabajos y más son destruidos. La tasa de infección por ransomware sigue aumentando. Lamentablemente, todavía no hemos alcanzado el nivel máximo de Ransomware-as-a-Service. Llevará el caos a todos. Ransomware-as-a-Service traerá el caos a todos. Ransomware se está moviendo desde sus raíces como el Herramienta de criminales y malhechores en una industria de servicios preocupante, en la que cualquiera puede suscribirse a un servicio de ransomware y usuarios específicos como usted y yo. Leer más - y su complejidad va en aumento..
Ha habido notables excepciones a esta regla. En algunos casos, los investigadores de seguridad han descifrado el cifrado de ransomware. Los estafadores con estas herramientas de desencriptación de ransomware Los estafadores con estas herramientas de desencriptación de ransomware Si ha sido infectado por ransomware, estas herramientas gratuitas de desencriptación lo ayudarán a desbloquear y recuperar los archivos perdidos. ¡No esperes más! Lea más, permitiéndoles crear una codiciada herramienta de descifrado 5 sitios y aplicaciones para vencer a Ransomware y protegerse 5 sitios y aplicaciones para vencer a ransomware y protegerse ¿Ha enfrentado un ataque de ransomware hasta ahora, donde algunos de sus archivos ya no son accesibles? Estas son algunas de las herramientas que puede utilizar para prevenir o resolver estos problemas. Lee mas . Estos eventos son raros, generalmente llegan cuando se desactiva una botnet maliciosa. Sin embargo, no todos los ransomware son tan complejos como pensamos.
La anatomía de un ataque
A diferencia de algunas variantes de malware comunes, el ransomware intenta permanecer oculto el mayor tiempo posible. Esto es para dar tiempo a encriptar sus archivos personales. El ransomware está diseñado para mantener la máxima cantidad de recursos del sistema a disposición del usuario, y no para activar la alarma. En consecuencia, para muchos usuarios, la primera indicación de una infección por ransomware es un mensaje posterior al cifrado que explica lo que ha sucedido..
Comparado con otros virus maliciosos Virus, spyware, malware, etc. Explicado: comprender las amenazas en línea Virus, spyware, malware, etc. Explicado: comprender las amenazas en línea Cuando empiezas a pensar en todas las cosas que podrían salir mal al navegar por Internet, la web Empieza a parecer un lugar bastante aterrador. Leer más, el proceso de infección de ransomware es bastante predecible. El usuario descargará un archivo infectado: este contiene la carga útil de ransomware. Cuando se ejecuta el archivo infectado, no aparecerá nada que suceda inmediatamente (según el tipo de infección). El usuario sigue sin saber que el ransomware comienza a cifrar sus archivos personales.
Además de esto, un ataque de ransomware tiene varios otros patrones de comportamiento distintos:
- Nota ransomware distinta.
- Transmisión de datos de fondo entre servidores host y control.
- La entropía de los archivos cambia..
Archivo entropía
La entropía de archivos se puede utilizar para identificar archivos cifrados con ransomware. Al escribir para Internet Storm Center, Rob VandenBrink describe brevemente la entropía y el ransomware del archivo:
En la industria de TI, la entropía de un archivo se refiere a una medida específica de aleatoriedad llamada “Shannon Entropy,” llamado así por Claude Shannon. Este valor es esencialmente una medida de la previsibilidad de cualquier carácter específico en el archivo, basado en los caracteres anteriores (detalles completos y matemáticas aquí). En otras palabras, es una medida de la “aleatoriedad” de los datos en un archivo, medido en una escala de 1 a 8, donde los archivos de texto típicos tendrán un valor bajo, y los archivos cifrados o comprimidos tendrán una medida alta.
Sugeriría leer el artículo original ya que es muy interesante..
No se puede resolver el ransomware con un sofisticado algoritmo de entropía encontrado en Google ;-) El problema es un poco más complejo que eso.
- El monstruo mach (@osxreverser) 20 de abril de 2016
Es diferente de “Ordinario” Malware?
Ransomware y malware comparten un objetivo común: permanecer oculto. El usuario mantiene la posibilidad de combatir la infección si se detecta en poco tiempo. La palabra magica es “cifrado.” El ransomware ocupa su lugar en la infamia por su uso del cifrado, mientras que el cifrado se ha utilizado en el malware durante mucho tiempo..
El cifrado ayuda al malware a pasar bajo el radar de los programas antivirus al confundir la detección de firmas. En lugar de ver una serie de caracteres reconocibles que alertarían a una barrera de defensa, la infección pasa inadvertida. Aunque las suites antivirus son cada vez más adeptas a notar estas cadenas, comúnmente conocidas como hashes - Es trivial para muchos desarrolladores de malware trabajar alrededor.
Métodos comunes de ofuscación
Aquí hay algunos métodos más comunes de ofuscación:
- Detección - Muchas variantes de malware pueden detectar si se están utilizando en un entorno virtualizado. Esto permite que el malware evade la atención de los investigadores de seguridad simplemente rechazando ejecutar o desempaquetar. A su vez, esto detiene la creación de una firma de seguridad actualizada..
- Sincronización - Las mejores suites antivirus están constantemente alertas, buscando una nueva amenaza. Desafortunadamente, los programas antivirus generales no pueden proteger todos los aspectos de su sistema en todo momento. Por ejemplo, algunos programas maliciosos solo se implementarán después de un reinicio del sistema, evitando (y probablemente deshabilitando en el proceso) las operaciones antivirus.
- Comunicación - Malware llamará por teléfono a su servidor de comando y control (C&C) para obtener instrucciones. Esto no es cierto para todos los programas maliciosos. Sin embargo, cuando lo hacen, un programa antivirus puede detectar direcciones IP específicas que se sabe que albergan servidores C&C e intentar evitar la comunicación. En este caso, los desarrolladores de malware simplemente giran la dirección del servidor C&C, evitando la detección.
- Operación falsa - Un programa falso diseñado de manera inteligente es quizás una de las notificaciones más comunes de una infección de malware. Los usuarios insensatos asumen que esto es una parte regular de su sistema operativo (generalmente Windows) y siguen alegremente las instrucciones en pantalla. Estos son particularmente peligrosos para los usuarios de PC no calificados y, si bien actúan como una interfaz amigable, pueden permitir el acceso a un sistema de entidades malintencionadas.
Esta lista no es exhaustiva. Sin embargo, cubre algunos de los métodos más comunes que el malware utiliza para permanecer oculto en su PC..
Es ransomware simple?
Simple es quizás la palabra equivocada. Ransomware es diferente. Una variante de ransomware utiliza el cifrado más ampliamente que sus homólogos, así como de una manera diferente. los comportamiento de una infección por ransomware es lo que la hace notable, así como la creación de un aura: ransomware es algo que temer.
Cuando #ransomware escalará y llegará a #IoT y #Bitcoin, será demasiado tarde para fragmentar TODOS sus datos de TI. Por favor hazlo ahora. #Cortar
- Maxime Kozminski (@MaxKozminski) 20 de febrero de 2017
Ransomware utiliza características un tanto novedosas, tales como:
- Encriptación de grandes cantidades de archivos..
- Eliminar las instantáneas que normalmente permitirían a los usuarios restaurar desde la copia de seguridad.
- Creación y almacenamiento de claves de cifrado en servidores C&C remotos.
- Exigiendo un rescate, generalmente en Bitcoin imposible de rastrear.
Considerando que el malware tradicional “simplemente” roba sus credenciales y contraseñas de usuario, el ransomware lo afecta directamente, perturbando el entorno informático inmediato. Además, sus consecuencias son muy visuales..
Tácticas del ransomware: Tabla maestra de archivos
Ransomware's “Guau!” El factor ciertamente viene de su uso del cifrado. ¿Pero es la sofisticación todo lo que parece? Engin Kirda, cofundadora y arquitecta jefe de Lastline Labs, piensa que no. Él y su equipo (utilizando la investigación realizada por Amin Kharraz, uno de los estudiantes de doctorado de Kirda) completaron un enorme estudio de ransomware, analizando 1359 muestras de 15 familias de ransomware. Su análisis exploró los mecanismos de eliminación y encontró algunos resultados interesantes..
¿Cuáles son los mecanismos de eliminación? Alrededor del 36 por ciento de las cinco familias de ransomware más comunes en el conjunto de datos estaban eliminando archivos. Si no pagaste, los archivos fueron eliminados. La mayor parte de la eliminación, de hecho, fue bastante sencilla.
¿Cómo haría esto una persona profesional? En realidad, intentarán limpiar el disco para que sea difícil recuperar los datos. Escribiría sobre el disco, borraría ese archivo del disco. Pero la mayoría de ellos eran, por supuesto, perezosos, y estaban trabajando directamente en las entradas de la tabla maestra de archivos y marcando como eliminados, pero los datos aún permanecían en el disco..
Posteriormente, los datos eliminados podrían recuperarse y, en muchos casos, recuperarse completamente.
Tácticas del ransomware: entorno de escritorio
Otro comportamiento clásico de ransomware es bloquear el escritorio. Este tipo de ataque está presente en variantes más básicas. En lugar de continuar con el cifrado y la eliminación de archivos, el ransomware bloquea el escritorio y obliga al usuario a salir de la máquina. La mayoría de los usuarios consideran que sus archivos se han ido (ya sea encriptados o eliminados por completo) y simplemente no se pueden recuperar.
Tácticas del ransomware: mensajes forzados
Las infecciones por ransomware muestran notoriamente su nota de rescate. Por lo general, exige el pago del usuario para la devolución segura de sus archivos. Además de esto, los desarrolladores de ransomware envían a los usuarios a páginas web específicas mientras deshabilitan ciertas funciones del sistema, por lo que no pueden deshacerse de la página / imagen. Esto es similar a un entorno de escritorio bloqueado. No significa automáticamente que los archivos del usuario hayan sido cifrados o eliminados.
Pensar antes de pagar
Una infección por ransomware puede ser devastadora. Esto es indudable. Sin embargo, ser golpeado con ransomware no significa automáticamente que sus datos se hayan ido para siempre. Los desarrolladores de ransomware no son todos programadores increíbles. Si hay una ruta fácil para la ganancia financiera inmediata, se tomará. Esto, con la certeza de que algunos usuarios pagarán 5 razones por las que no debería pagar a los estafadores del ransomware 5 razones por las que no debería pagar a los estafadores del ransomware El ransomware da miedo y no quiere que lo golpeen, pero incluso ¡Si lo hace, hay razones de peso por las que NO debe pagar dicho rescate! Leer más por la amenaza inmediata y directa. Es completamente comprensible.
Los mejores métodos de mitigación de ransomware permanecen: realice copias de seguridad de sus archivos con regularidad en una unidad que no esté en red, mantenga actualizados su antivirus y sus navegadores de Internet, tenga cuidado con los correos electrónicos de suplantación de identidad (phishing) y sea sensato al descargar archivos de Internet..
Crédito de la imagen: andras_csontos a través de Shutterstock.com
Obtenga más información sobre: Seguridad informática, Seguridad en línea, Ransomware.