0
Allt du behöver veta om ransomware i 60 sekunder
Vad är en ransomware attack?
Ransomware är ett av de största problemen på webben just nu. Det är en form av skadlig kod som krypterar-dokument på en DATOR eller över ett nätverk. Offren kan ofta bara återfå tillgång till sina filer och Datorer genom att betala en lösensumma för att de kriminella som ligger bakom. En ransomware infektion som ofta börjar med att någon klickar på vad som ser ut som en oskyldig bifogad fil, och det kan vara en huvudvärk för företag av alla storlekar.
Cyberbrottslingar använder inte vara så uppenbart. Om hackare trängt sig in i ditt företags nätverk, att de skulle göra allt som är möjligt för att undvika upptäckt. Det låg i deras intresse att inte uppmärksamma ett offer som om de hade fallit offer för brottslighet.
Men nu, om du är attackerad med fil-kryptering ransomware, brottslingar kommer fräckt meddela de håller ditt företags data som gisslan tills dess att du betalar en lösensumma för att få tillbaka det. Det låter kanske väl enkelt, men det fungerar: it-hål över $1 miljard från ransomware attacker under 2016 ensam.
Vad är historien av ransomware?
Medan ransomware exploderade förra året, ökar med uppskattningsvis 748 procent, det är inte ett nytt fenomen, den första instansen av vad vi nu vet som ransomware dök upp 1989.
Känd som AIDS eller PC-Cyborg Trojan, virus skickades till offer, mest inom sjukvården-på en diskett. Den ransomware räknas antalet gånger DATORN startades: när det slog 90, krypterad maskinen och krävde att användaren ‘förnya sin licens” med “PC-Cyborg Corporation’ genom att skicka $189 eller $378 till en postbox i Panama.
AIDS efterfrågan för betalning av inlägg.
Bild: Sophos
Hur gjorde ransomware utvecklas?
Denna tidiga ransomware var en relativt enkel att bygga, använda grundläggande kryptografi som oftast bara bytt namn på filer, vilket gör det relativt lätt att övervinna.
Men det iväg en ny gren av den it-brottslighet som sakta men säkert växte i reach — och verkligen tog fart i internet-åldern. Innan de började använda avancerad kryptografi för att rikta sig till företagets nätverk, hackare var inriktade allmänna internet-användare med grundläggande ransomware.
En av de mest framgångsrika varianter var “Police ransomware”, som försökte pressa offer genom att utge sig för att vara brottsbekämpande och låsa skärmen med en varning användaren de hade begått olagliga aktiviteter på nätet, som kunde få dem skickade till fängelse.
Dock, om den skadelidande betalas en fin, “polisen” skulle låta upphovsrätten bild och återställa tillgången till datorn. Naturligtvis, detta var inte något att göra med brottsbekämpning — detta var brottslingar som utnyttjar oskyldiga människor.
Ett exempel på “Police ransomware” som hotar STORBRITANNIEN användaren.
Bild: Sophos
Medan något framgångsrika, dessa former av ransomware ofta helt enkelt till att överdraga deras ‘varning’ meddelande på användarens display — och starta om maskinen skulle kunna bli av med problemet.
Brottslingar lärt mig av detta och nu är majoriteten av ransomware systemen använder avancerad kryptering för att verkligen låsa ner en infekterad DATOR.
Vilka är de viktigaste typerna av ransomware?
Ransomware är att alltid utvecklas, med nya varianter ständigt förekommer i naturen och som utgör nya hot mot företag. Det finns dock vissa typer av ransomware som har varit mer framgångsrika än andra.
Den kanske mest kända formen av ransomware är Locky, som terroriserade organisationer över hela världen under 2016. Det vanhedrande skapade rubriker genom att infektera en Hollywood-sjukhuset. Sjukhuset gav till de krav som ställs av cyberbrottslingar och betalade $17,000 lösensumma för att ha sitt nätverk återställas.
Locky fortsatt framgångsrika för att de bakom den regelbundet uppdatera koden med förändringar som gör det möjligt att undvika upptäckt. De även uppdatera den med nya funktioner, inklusive möjligheten att göra kräver lösen på 30 språk, hjälpa brottslingar lättare att rikta offer i hela världen. Locky blev så lyckad, det kom att bli mest utbredd former av skadlig kod i sin egen rätt.
Cryptowall är en annan form av ransomware som har funnit stor framgång under en längre tid. Att starta sitt liv som doppleganger av Cryptolocker, har det gått till att bli en av de mest framgångsrika typer av ransomware.
Som Locky, Cryptowall har regelbundet uppdaterats för att säkerställa dess fortsatta framgång och även krypterar filer med namn för att göra det svårare för de drabbade att veta vilken fil det är som att sätta ytterligare press på offret att betala.
Medan vissa ransomware-utvecklare-som de bakom Locky eller Cryptowall — vakta noga sin produkt, att hålla det enbart för sin egen användning, andra glatt distribuera ransomware att någon hacker-wannabe angelägen om att tjäna pengar på it-utpressning – och det visade sig vara en mycket framgångsrik metod för bred distribution.
En av de vanligaste former av ransomware som distribueras på detta sätt är Cerber, som har varit kända för att smitta hundratals av tusentals användare i bara en enda månad. De ursprungliga skaparna av Cerber är att sälja den på den mörka webben, så att andra brottslingar att använda koden i gengäld för att ta emot 40 procent av varje lösen betalas.
Cerber har blivit så framgångsrik som efter att den har överträffat Locky – som dök upp för att mystiskt försvinna över Jul, även om remerged i April med nya tekniker attack – att bli den mest dominerande formen av ransomware på webben – som står för 90 procent av ransomware angrepp på Windows från och med mitten av April 2017.
I utbyte mot att ge upp en del av vinsten för att använda Cerber, wannabe it-bedragare är utrustade med allt de behöver för att lyckas tjäna pengar genom utpressning av offren.
Ja, nu vissa kriminella grupper som erbjuder denna typ av ransomware-as-a-service-system för användarna utan kostnad vid ingången. I stället för att ta ut en avgift för ransomware kod, de vill ha en 50-procentig sänkning.
Vad är WannaCry ransomware?
I den största ransomware attack hittills, WannaCry – även känd som WannaCrypt – även känd som WannaCry och Wcry – orsakade kaos i hela världen i en attack som började på fredag 12 Maj 2017.
Wannacrypt ransomware krav $300 i Bitcoin för att låsa upp krypterade filer – ett pris som fungerar efter tre dagar. Användare är också hotat med att ha alla sina filer bort permanent om lösen inte erläggs inom en vecka.
WannaCry ransomware infekterade Windows XP-system över hela världen.
Bild: Cisco Talos
Mer än 300 000 offer i över 150 länder föll offer för den ransomware på under loppet av en helg, med företag, myndigheter och privatpersoner över hela världen som alla påverkas.
Hälso-och sjukvårdsorganisationer i STORBRITANNIEN hade system knackade offline av ransomware attack, tvingar patienten utnämningar kommer att ställas in och sjukhus för att berätta för folk att undvika att besöka akutmottagning avdelningar om det inte var helt nödvändigt.
Av alla de länder som drabbats av attacken, det var Ryssland som drabbades hårdast, med WannaCry kraschar ryska banker, teleoperatörer och även DET system som stöder transportinfrastruktur. Kina drabbades också hårt av attacken, med 29.000 organisationer totalt faller offer för denna särskilt våldsamma form av ransomware.
Andra uppmärksammade mål som ingår biltillverkaren Renault som var tvungen att stoppa produktionen linjer på flera platser som ransomware spelat förödelse med system.
Vad alla mål hade gemensamt är att de kör som inte stöds versioner av Microsoft Windows, inklusive Windows XP, Windows 8 och Windows Server 2003
Den ransomware mask är så potent eftersom det utnyttjar en känd program sårbarhet känd som den Eviga Blå. Windows-brist är en av många noll-dagar som tydligen var känd av NSA-innan som läckt ut från Skuggan Mäklare hacka kollektiv.Microsoft har släppt en korrigeringsfil för säkerhetsproblem tidigare i år – men endast för de senaste operativsystem.
Svar till attack, tog Microsoft exempellösa steget att utfärda patchar för operativsystem.
Security services i USA och STORBRITANNIEN har sedan pekade mot Nordkorea som gärningsmannen WannaCry ransomware attack. Men om målet med systemet var att göra stora summor pengar, det misslyckades – endast ca $100,000 var betald och resultat har ännu inte genomförts från Bitcoin plånbok.
Vad är Petya/NotPetya/Knipa?
En liten en månad efter det att WannaCry ransomware utbrott, världen var hit med en annan global ransomware attack.
Detta cyberattack första träffen mål i Ukraina, inklusive dess centralbank, största internationella flygplats och till och med i Tjernobyl anläggning innan du snabbt sprider sig runt om i världen, som infekterar organisationer runt om i Europa, Ryssland, Usa och till och med Australien.
Efter lite inledande förvirring om vad detta malware var – några sa att det var Petya, några sa att det var något annat – forskare vid Bitdefender kom till slutsatsen tyder på att detta utbrott är en modifierad version av Petya ransomware, som kombinerar element av GoldenEye, en särskilt ond relativa av Petya – och WannaCry ransomware till något extremt potent.
Petya lösen not
Bild: Symantec
Ja, denna andra form av ransomware också utnyttjar samma EternalBlue Windows fel som avses WannaCry med maskliknande egenskaper sprids genom nätverk och tryck på 300 000 datorer runt om i världen – utom Petya/NotPetya/GoldenEye är en mycket mer brutal attack.
Men inte nog med detta angrepp kryptera offer’ – filer, är det också krypterar hela hårddiskar av overwrtiing master-starta-posten, vilket hindrar datorn från operativsystemet läses eller göra någonting.
Angriparna be för en Bitcoin lösen av $300 för att skickas till en specifik e-postadress – som nu har stängts av e-tjänst – värd, men hur denna mycket sofistikerade ransomware tydligen var utrustad med mycket grundläggande, icke-automatiska funktioner för att acceptera lösensummor har lett vissa till att föreslå pengar är inte målet.
Hur mycket kommer en ransomware attack kosta dig?
Naturligtvis, den mest omedelbara kostnader förknippade med att bli infekterad med ransomware-om betald — är lösen efterfrågan, vilket kan bero på den typ av ransomware eller storleken på din organisation.
Senare forskning visade att en fjärdedel av de företag som betalade en lösensumma betalas över 5 000 pund för att hämta sin data, medan ytterligare en fjärdedel betalas hackare mellan £3 000 och 5 000 pund.
Den vanligaste lösen betalas bland små och medelstora företag var mellan £500 och £1500, som visar att det fortfarande finns lätta pengar att göras från inriktade organisationer av denna storlek.
Det finns också exempel på uppmärksammade mål betala fem-figur avgifter för att få tillgång till deras nätverk, särskilt i fall där brottslingar hotar att radera uppgifterna om de inte är betalda.
I slutändan, oavsett storlek på företaget, tid är pengar och längre nätverket är nere, ju mer det kommer att kosta ditt företag.
Även om du kan återfå åtkomst till ditt nätverk genom att betala en lösensumma, det tillkommer ytterligare kostnader på toppen av det. För att undvika framtida attacker — speciellt om du har markerat som ett lätt mål-vara beredd att investera i ytterligare it-program och att betala för ytterligare utbildning av personal.
Det finns också risk för att kunderna förlorar förtroendet för din verksamhet på grund av dålig it-säkerhet och tar sina egna håll.
Varför ska företag oroa dig om ransomware?
För att uttrycka det enkelt: ransomware kan förstöra din verksamhet. Att vara utestängd från ditt eget nätverk för bara en dag som kommer att påverka dina intäkter. Men med tanke på att ransomware tar de flesta offren offline för minst en vecka, eller ibland månader, förlusterna kan vara betydande. System går offline så länge, inte bara på grund ransomware låser systemet, men på grund av alla de ansträngningar som krävs för att städa upp och återställa nätverk.
Och det är inte bara den omedelbara finansiella drabbats av ransomware som kommer att skada en verksamhet, konsumenterna blir försiktiga med att ge sina egna organisationer som de anser vara osäkra.
Hur fungerar ransomware smitta din DATOR?
Det är den moderna företag är beroende av internet som gör att ransomware att bommen. Varje dag, varje anställd får hundratals e-postmeddelanden och många roller kräver dessa anställda att ladda ner och öppna bifogade filer, så det är något som görs ofta på autopilot. Att ta tillvara medarbetarnas vilja att öppna bifogade filer från okända avsändare är så cyberbrottslingar för att kunna köra ransomware kampanjer.
Precis som andra former av skadlig kod, botnät skicka ransomware ut en masse, med miljontals skadliga phishing mail som skickas varje sekund. Brottslingar använder en mängd olika beten för att uppmuntra mål för att öppna en ransomware e-post, allt från erbjudanden om finansiella bonusar, falska online kvitton, jobb ansökningar från potentiella medarbetare, och mer.
Ett spam-mail som påstår målet har köpt en flyg – komplett med falska faktura som innehåller den ransomware.
Bild: Symantec
Medan vissa meddelanden att ge bort ledtrådar till deras skadliga karaktär med dåligt formulerade budskap eller konstigt avkastning adresser, medan andra är speciellt anpassade för att se så övertygande som möjligt, och verkar inte annorlunda från alla andra budskap på offret kan skickas.
När skadliga bifogade filen har öppnats, uppmanas användaren att aktivera makron för att visa och redigera dokumentet. Det är när det här är aktiverat som ransomware kod gömd inom makron strejker. Det kan kryptera filer på några sekunder och lämnar offret med en gisslan anteckning kräver en betalning som sträcker sig från några hundra dollar till tiotusentals dollar för att få dem tillbaka.
Vilka organisationer som är mål för ransomware?
Alla företag kan befinna sig i ett utsatt för ransomware, men kanske den mest uppmärksammade händelsen inträffade när Hollywood Presbyterian Medical Center i Los Angeles blev smittad med Locky ransomware. Infektionen vänster läkare och sjuksköterskor inte får tillgång till patientjournaler för dagar, tills de valde sjukhuset att ge in den kräver lösen av hackare för att återställa tjänster.
“Det snabbaste och mest effektiva sättet att återställa våra system och administrativa funktioner var att betala lösen och få dekrypteringsnyckeln,” Allen Stefanek, VD på sjukhuset, sade på den tiden.
Locky är en av de mest framgångsrika former av ransomware.
Bild: F-Secure
Sjukhus och andra hälso-och sjukvårdsorganisationer är populära mål för ransomware attacker, eftersom de ofta är villiga att betala. Att förlora tillgången till data är en liv-eller-död roll för dem — och sjukhus inte vill hållas ansvarig för att låta människor dö på grund av dålig it-säkerhet. Det finns dock även cyberbrottslingar som tror att anfalla sjukhus är alltför föraktliga en aktivitet.
Men det finns massor av andra sektorer brottslingar kommer glatt mål, inklusive pedagogiska institutioner som University of Calgary, som betalade en lösensumma på $20.000 till hackare. Några stora företag är hotad och det finns även möjligheten av ransomware smitta industriella system.
Varför är småföretag mål för ransomware?
Små och medelstora företag utnyttjade är ett populärt mål eftersom de tenderar att ha sämre cybersecurity än stora organisationer. Trots att många små och Medelstora företag som falskeligen tror att de är för små för att vara målinriktad-men även en “mindre” lösen av ett par hundra dollar är fortfarande mycket lönsam för cyberbrottslingar.
Varför är ransomware så framgångsrik?
Man kan säga att det är en viktig anledning till varför ransomware har vuxit snabbt: för att det fungerar. Organisationer kan ha de bästa antivirusprogram i världen, men alla tar det för ransomware smitta nätverket är för en användare att glida fram och lansera en skadlig bifogad fil.
Om organisationerna inte ge till lösen krav, brottslingar skulle sluta använda ransomware. Men företagen behöver tillgång till uppgifterna för att kunna fungera så många är villiga att betala en lösen och få det undanstökat.
Under tiden för brottslingar det finns ett mycket enkelt sätt att tjäna pengar. Varför spendera tid och kraft på att utveckla komplex kod eller generera falska kreditkort från stulna kontouppgifter om ransomware kan resultera i omedelbar betalning av hundratals eller tusentals dollar från stora delar av infekterade offer på en gång?
Det finns även ransomware-as-a-service-system som finns på den mörka webben som gör den mest tekniskt inkompetent wannabe cyberbrottslingar för att börja skicka ut ransomware-i utbyte mot en andel av deras orättfångna vinster går direkt i fickorna på skaparna.
Vad gör Bitcoin har att göra med ökningen av ransomware?
Ökningen av crypocurrencies som Bitcoin har gjort det enkelt för cyberbrottslingar att i hemlighet få framtvingade betalningar, utan risk för myndigheterna att kunna identifiera gärningsmän. Den säkra, spårbara metod för att göra betalningar gör det till den perfekta valuta för brottslingar som vill ha sin finansiella verksamhet för att förbli dolda.
Cybercriminal gäng blir mer professionella, vissa även erbjuda kunden service och hjälp till offer som inte vet hur att förvärva eller skicka Bitcoin, för vad är poängen med att göra kräver lösen om användare vet inte hur betala?
Globe3 lösen efterfrågan för 3 Bitcoin – inklusive en hur man guide for dem som inte vet hur man ska köpa det
Bild: Emsisoft Lab
Hur gör du för att förhindra en ransomware attack?
Med e-post är den överlägset mest populära angrepp på ransomware, du bör ge anställda med utbildning om hur man ska hitta en inkommande attack. Även plocka upp lite indikatorer som dålig formatering eller som ett e-postmeddelande som utger sig för att vara från “Microsoft Security” som skickas från en obskyr adress som inte ens innehåller ordet Microsoft inom det kan rädda ditt nätverk från infektion.
Det är också något att säga för att möjliggöra för medarbetare att lära sig av misstag när man spelar i en trygg miljö. Till exempel, ett företag har utvecklat en interaktiv video upplevelse som låter sina anställda att fatta beslut om en serie av händelser för att sedan ta reda på konsekvenserna av dem på slutet. Detta gör det möjligt för dem att lära sig från sina misstag utan att drabbas av några av de faktiska konsekvenserna.
På en teknisk nivå, stoppa anställda från att kunna aktivera makron är ett stort steg mot att se till att de inte kan omedvetet kör en ransomware-fil. Microsoft Office 2016 — och nu Microsoft-2013 — både utföra funktioner som tillåter makron inaktiveras. Åtminstone arbetsgivare bör investera i antivirusprogram och se till att det to0date, så att den kan varna användare om att potentiellt skadliga filer.
Hur gör jag för att bli av ransomware?
“Ingen Mer Lösen initiativet — lanserades av Europol och den nederländska Nationella Polisen i samarbete med ett antal it-företag — och erbjuder gratis dekryptering verktyg för ransomware varianter för att hjälpa offren att hämta sina data utan att ge vika för den kommer av it-utpressare.
Portalen erbjuder dekryptering verktyg för ransomware varients inklusive Crypt XXX, MarsJoke, Teslacrypt, och en Löpeld. Det uppdateras så ofta som möjligt i ett försök att säkerställa att verktyg finns tillgängliga för att bekämpa de senaste former av ransomware.
Ingen Mer Lösen portalen erbjuder gratis ransomware dekryptering verktyg.
Bild: Europol
Ett annat sätt att arbeta kring en ransomware infektion är att se till att alla i din organisation regelbundet säkerhetskopierar data offline. Det kan ta lite tid att överföra säkerhetskopierade filer till en ny dator, men om en dator är infekterad och att du har säkerhetskopior, det är möjligt bara för att isolera enheten kan då gå vidare med ditt företag.
Ska jag betala en ransomware lösen?
Det finns de som säger att offren ska bara betala lösen, med hänvisning till att det ska vara det snabbaste och enklaste sättet att hämta data — och många organisationer som inte betalar.
Men en varning: om ordet får reda på att din organisation är en lätt måltavla för cyberbrottslingar, eftersom det har betalat en lösen, kan du hitta dig själv i hårkorset av andra cyberbrottslingar som är ute efter att dra nytta av din svaga säkerhet.
Och kom ihåg att du arbetar med brottslingar här och deras natur innebär att de kan inte hålla sitt ord. Det finns berättelser om offer att betala lösensummor och fortfarande inte med filer som returneras.
Vad är framtiden för ransomware?
Ransomware är ständigt utvecklas, med ett ökande antal varianter nu att delta i ytterligare aktiviteter såsom att stjäla data eller försvagning infekterade datorer i förberedelse för framtida attacker.
Forskare varnar för att ransomware kan snart hålla hela operativsystem som gisslan, sådan omfattning att de enda två alternativ som finns för att användaren skulle vara att betala, eller att förlora tillgång till hela systemet.
Och ransomware är inte bara ett problem för Windows-Datorer, Apple Mac-datorer är sårbara för det också.
Kan du få ransomware på din smartphone?
Absolut. Ransomware attacker mot Android-enheter har ökat kraftigt, som cyberbrottslingar inse att många människor inte är medvetna om att smartphones kan attackeras.
I själva verket, en internet-ansluten enhet är ett potentiellt mål för ransomware, som redan har sett låsning smart-Tv.
Forskare visar ransomware i en i bilen infotainment-systemet.
Bild: Intel Säkerhet
Ransomware och Internet of things
Internet of things enheter som redan har ett dåligt rykte för säkerhet. Eftersom fler och fler av dessa gör sin väg in på marknaden, och de kommer att ge miljarder av nya angreppsvinklar för cyberbrottslingar, potentiellt ge hackare för att hålla din ansluten hem eller ansluten bil som gisslan.
Det finns även potential att hackare skulle kunna infektera medicinsk utrustning, sätta liv direkt i riskzonen.
Som ransomware fortsätter att utvecklas, det är därför av avgörande betydelse för dina anställda att förstå det hot som det innebär, och för organisationer att göra allt som är möjligt för att undvika infektion, eftersom ransomware kan vara förlamande.
0