devirusare-malware-spyware-adware

Ransomware este un program de tip malware care se instalează pe ascuns în calculatorul victimei, execută un atac de tip criptologic după care va cere o sumă de bani pentru recuperarea datelor. În primele 3 luni, hackerii au obținut peste 200 milioane de dolari din aceste atacuri. Estimările arată că veniturile din aceste atacuri vor depăși un miliard de dolari până la sfârșitul anului 2016.

Program se instalează singur în sistem la deschiderea unui atașament din e-mail, după instalare el își va descărca fișierele necesare operării. După activare, accesul utilizatorilor va fi blocat chiar și pentru cei care plătesc această sumă. Există 3 versiuni de ransomware cunoscute.

Prima versiune cerea utilizatorilor să trimită un SMS cu un cod la un anumit număr de telefon. Plata constă în taxarea suplimentară la trimiterea SMS-ului, după se primea un alt cod care permitea deblocarea calculatorului.

A doua versiune de ransomware (fiind și cea mai răspândită), blochează ecranul calculatorului cu o imagine care pare să vină din partea autorităților guvernamentale. Utilizator este anunțat că trebuie să plătească o sumă de bani pentru deblocare. Deblocarea calculatorului este obținută prin trimiterea unui e-mail a codului de transfer pentru suma respectivă de bani. Imaginile de mai jos este folosită de ransomware, prin devirusare, vei scăpa de acesta și totul va reveni la normal.

ransomware-devirusare

devirusare-antivirus-firewall

Cea de a treia versiune (ce mai periculoasă) folosește funcții criptografice pentru a cripta fișierele utilizatorului. Programul va căuta pe HDD anumite extensii (*.doc, *.pdf, *.jpg, etc.), după care le criptează folosind funcțiile criptografice (API-urile furnizate de sistemul de operare) sau le arhivează cu o parolă utilizând un algoritm binecunoscut.

Atacurile de tip ransomware devin din ce în ce mai dese și mai sofisticate, de aceea este nevoie apărare cât mai bună și solidă care să blocheze și să descopere rapid orice infectare în progres pentru a limita pagubele asupra datelor. Un back-up solid are o importanță foarte mare în aceste cazuri.

  1. Descriere
    • Un atac de tip ransomware vă criptează fișierele apoi va cere o sumă de bani pentru a decripta fișierele.
    • Primul ransomware a apărut în 1989. În 2013, atacurile de acest tip au devenit cunoscute în toată lumea.
  2. Cum acționează un astfel de atac
    • Atacatorul generează o pereche de cheie și plasează o cheie publică în malware.
    • Când acest malware infectează un calculator, generează o cheie simetrică aleatorie (random) și criptează datele victimei cu aceasta.  După aceea folosește cheia publică pentru a cripta cheia simetrică.
    • Programul arată un mesaj cu instrucțiuni pentru cum să plătească.
    • Când victima a plătit, atacatorul va decripta asimetric folosind cheia privată din perechea de chei, trimite cheia simetrică victimei pentru a decripta fișierele.
  3. Cum să depistezi un atac Ransomware
    • Verificați fișierele pentru modificări în extensii necunoscute (sau unknown) într-o perioadă scurtă de timp. Aveți grijă la notificări care cer bani pentru a decripta fișierele.
  4. Cum îți poți proteja departamentul tău de IT
    • Recomandat este să faci back-up regulat pentru toate fișierele.
    • Informați-vă angajații pentru a nu da click pe orice link, pentru a evita atacurile de tip phishing.
    • Nu încredițați drepturi de admin pe stațiile de lucru.
    • Blochează orice extensie cunoscută a fi ransomware prin FSRM. Dacă acesta nu poate creea fișiere cu acele extensii, nu poate cripta fișierele.
    • Asigură-te că poți vedea fișierele ascunse.
    • Dezactivează AutoPlay și AutoRun.
    • Mențiune un inventar complet pentru toate echipamentele și adresele network, astfel poți găsi sursa atacului și să oprești cât mai repede.
  5. Ce să faci în cazul unui atac ransomware
    • Ransomware nu poate cripta toate fișierele în câteva secunde, poți să urmărești sursa acestuia. Când găsești stația de lucru infectată, oprește-o imediat.
    • Verifică numele programului, s-ar putea să fie vechi și decriptat.
    • Nu plăti atacatorii. Chiar dacă vei putea avea fișierele înapoi, ei te pot ataca și forța să plătești din nou.