Il ransomware è piccolo come un granello di sabbia ed è ovunque. E possono crittografare più di quanto pensi. La distruzione dei tuoi file personali è una grande perdita, ma quando il Ransomware attacca le tue copie, il dolore aumenta ancora di più.
Esistono diverse varianti di ransomware che attaccano non solo i dischi rigidi ma anche altre unità di sistema, e anche le unità cloud non sono fuori dalla loro portata. Quindi, è il momento di rivedere esattamente quali sono i backup dei file e dove vengono conservate le copie.
Il ransomware attacca ovunque
Sappiamo che un attacco ransomware può essere devastante. Il ransomware rappresenta un ostacolo particolare perché i suoi file di destinazione sono immagini, musica, film e documenti di ogni tipo. Il tuo disco rigido contiene file personali, di lavoro e aziendali che sono gli obiettivi principali della crittografia. Una volta crittografati, vedrai un messaggio di riscatto che richiede il pagamento, solitamente in Bitcoin difficili da rintracciare, per il rilascio sicuro dei tuoi file.
E anche in questo caso, non esiste alcuna garanzia che riceverai la password di crittografia o lo strumento di decrittografia.
CryptoLocker
CryptoLocker è una variante del ransomware di crittografia in grado di crittografare più dischi rigidi. È apparso per la prima volta nel 2013, diffondendosi tramite allegati e-mail infetti. Quando CryptoLocker è installato su un computer, può eseguire la scansione del disco rigido per un elenco specifico di estensioni di file. Inoltre, esegue la scansione di tutte le unità collegate alla macchina, siano esse USB o di rete.
Un'unità di rete con accesso in lettura/scrittura verrà crittografata proprio come un disco rigido. È una sfida per le aziende in cui i dipendenti accedono alle cartelle di rete condivise.
Fortunatamente, i ricercatori di sicurezza hanno rilasciato una copia del database delle vittime di CryptoLocker e hanno abbinato ciascuna crittografia. Hanno creato il portale Decrypt CryptoLocker per aiutare le vittime a decrittografare i propri file.
Evoluzione: CryptoFortress
CryptoLocker è apparso e ha affermato di avere 500.000 vittime. Secondo Keith Jarvis di Dell SecureWorks, CryptoLocker potrebbe aver ricevuto 30 milioni di dollari nei primi 100 giorni dall'operazione di estorsione (arriverebbe a 150 milioni di dollari se ciascuna vittima pagasse 300 dollari di riscatto). Tuttavia, la rimozione di CryptoLocker non rappresenta l'inizio della prevenzione del ransomware di mappatura dei driver di rete.
CryptoFortress è stato scoperto nel 2015 dal ricercatore di sicurezza Kafein. Ha l'aspetto e l'approccio di TorrentLocker ma uno dei progressi chiave; può crittografare i driver di rete non mappati.
In genere, il ransomware recupera un elenco di unità di rete mappate, ad esempio C:, D:, E:, ecc. Quindi esegue la scansione delle unità, confronta le estensioni dei file e quindi le crittografa, crittografando i file corrispondenti. Inoltre, CryptoFortress enumera tutte le condivisioni di rete Server Message Block (SMB) aperte e crittografa quelle che trova.
Locky
Locky è un'altra variante del ransomware, famosa per la modifica di singoli file in .locky, nonché wallet.dat, il portafoglio di Bitcoin. Locky prende di mira anche file su computer o file su condivisioni di rete non mappate, modificando i file nel processo. Questo caos rende il processo di recupero più difficile.
Inoltre Locky non dispone di decoder.
Ransomware sul cloud
Il ransomware bypassa la memoria fisica della rete e del computer e trascende anche i dati cloud. Questa è una cosa importante. L'archiviazione nel cloud viene spesso pubblicizzata come una delle opzioni di backup più sicure, poiché mantiene i dati sottoposti a backup lontano dalle condivisioni di rete interne, creando isolamento dai pericoli circostanti. Ma sfortunatamente, le varianti ransomware hanno aggirato questa sicurezza.
Secondo il rapporto State of the Cloud di RightScale, l’82% delle aziende utilizza una strategia multi-cloud. E un ulteriore studio (Slideshare ebook) di Intuit mostra che entro il 2020, il 78% delle piccole imprese utilizzerà le funzionalità cloud. Questo cambiamento radicale da parte delle aziende grandi e piccole rende i servizi cloud un obiettivo primario per i fornitori di ransomware.
Ransom_Cerber.cad
I fornitori di malware troveranno un modo per aggirare questo problema. L’ingegneria sociale e il phishing tramite posta elettronica sono strumenti chiave e possono essere utilizzati per aggirare robusti controlli di sicurezza. I ricercatori di sicurezza di Trend Micro hanno trovato una variante speciale del ransomware chiamata RANSOM_CERBER.CAD. È destinato agli utenti domestici e aziendali di Microsoft 365, cloud computing e piattaforme di produttività.
La variante Cerber può crittografare 442 tipi di file utilizzando una combinazione di AES-265 e RSA, modificare le impostazioni della zona di Internet Explorer sul computer, rimuovere copie shadow, disattivare Ripristino all'avvio di Windows e terminare i programmi Outlook, The bat!, Thunderbird e Microsoft Word.
Inoltre, e questo è il comportamento presentato da altre varianti di ransomware, Cerber interroga la posizione geografica del sistema interessato. Se il sistema host è un membro della Comunità degli Stati Indipendenti (paesi dell'ex Unione Sovietica come Russia, Moldavia e Bielorussia), il ransomware verrà terminato automaticamente.
Il cloud come strumento di contaminazione
Il ransomware Petya è apparso per la prima volta nel 2016. Alcune cose degne di nota di questa variante sono innanzitutto che Petya può crittografare l'intero Master Boot Record (MBR) di un personal computer, causando il crash del sistema. Ciò rende l'intero sistema inutilizzabile. Quindi, al riavvio, veniva invece visualizzata la richiesta di riscatto di Petya, con l'immagine di un teschio e una richiesta di pagamento in Bitcoin.
In secondo luogo, Petya si è diffuso su diversi sistemi attraverso un file infetto archiviato su Dropbox, mascherato da riepilogo. Il collegamento è mascherato da dettagli dell'applicazione, quando in realtà si collega a un file eseguibile autoestraente per installare il ransomware.
Fortunatamente, un programmatore anonimo ha trovato il modo di violare la crittografia di Petya. Questo metodo è in grado di rilevare la chiave di crittografia necessaria per sbloccare l'MBR e rilasciare i file catturati.
L’utilizzo dei servizi cloud per diffondere ransomware è comprensibile. Gli utenti sono stati incoraggiati a utilizzare soluzioni di archiviazione cloud per eseguire il backup dei dati perché forniscono un ulteriore livello di sicurezza. La sicurezza è la chiave del successo dei servizi cloud. Tuttavia, la fiducia degli utenti nella sicurezza del cloud può essere sfruttata per scopi sbagliati.
In breve
L'archiviazione nel cloud, i driver di rete mappati o non mappati e i file di sistema rimangono vulnerabili al ransomware. Questa non è più una cosa nuova. Tuttavia, i distributori di malware prendono di mira attivamente i file di backup aumentando il livello di ansia degli utenti. Al contrario, occorre adottare ulteriori precauzioni .
Gli utenti domestici e aziendali dovrebbero eseguire il backup dei file importanti su dischi rigidi rimovibili. Agire ora è l'azione che ti aiuterà a ripristinare il tuo sistema dopo un'infezione ransomware indesiderata proveniente da una fonte non attendibile.
Vedi una notifica di attivazione di Windows 10 nell'angolo destro dello schermo? Questo articolo ti guiderà come eliminare l'avviso di richiesta di copyright su Windows 10.
Recentemente Microsoft ha rilasciato l'ultimo aggiornamento cumulativo per gli utenti di PC Windows 10 chiamato Build 14393.222. Questo aggiornamento rilasciato per Windows 10 corregge principalmente i bug in base al feedback degli utenti e migliora l'esperienza delle prestazioni del sistema operativo.
Hai computer sulla tua rete locale che necessitano di accesso esterno? Utilizzare un bastion host come gatekeeper per la tua rete può essere una buona soluzione.
Se preferisci utilizzare una vecchia tastiera classica, come l'IBM Model M, che non include un tasto Windows fisico, esiste un metodo semplice per aggiungerne altro, prendendo in prestito un tasto che non usi spesso. .
A volte potrebbe essere necessario eliminare i vecchi registri eventi tutti in una volta. In questa guida, Quantrimang.com ti mostrerà 3 modi per eliminare rapidamente tutti i registri eventi nel Visualizzatore eventi di Windows 10.
In molti articoli precedenti abbiamo menzionato che rimanere anonimi online è estremamente importante. Ogni anno vengono divulgate informazioni private, rendendo la sicurezza online sempre più necessaria. Questo è anche il motivo per cui dovremmo utilizzare indirizzi IP virtuali. Di seguito impareremo i metodi per creare IP falsi!
WindowTop è uno strumento che ha la capacità di oscurare tutte le finestre delle applicazioni e i programmi in esecuzione su computer Windows 10. Oppure puoi utilizzare un'interfaccia con sfondo scuro su Windows.
La barra della lingua su Windows 8 è una barra degli strumenti della lingua in miniatura progettata per essere visualizzata automaticamente sullo schermo del desktop. Tuttavia, molte persone desiderano nascondere questa barra della lingua sulla barra delle applicazioni.
La connettività wireless è oggi una necessità e per questo motivo la sicurezza wireless è essenziale per garantire la sicurezza della rete interna.
Massimizzare la velocità di Internet è essenziale per ottimizzare la connessione di rete. Puoi vivere un'esperienza di intrattenimento e di lavoro ottimale utilizzando computer, TV predisposte per Internet, console di gioco, ecc.
