Por Qué Ransomware Funciona: Tácticas y más Allá de las Rutinas de Cifrado

Por | De junio de 30, 2016

feature_whyransomware

¿Cómo las empresas independientemente de la dimensión y el comercio juntos por ataques de ransomware? Un estudio revela que las empresas están considerando el ahorro de hasta Bitcoins, simplemente en caso de que sea golpeado por estas amenazas y puede recuperar su carácter confidencial recordsdata en un breve lapso de tiempo. Mientras que no abogamos por sucumbir a la cuota de rescate porque no asegurarse de que usted sólo va a conseguir que su recordsdata de nuevo, además de que te sean susceptibles de ser extra ataques de ransomware, vamos no además la culpa a las grandes organizaciones y empresas para hacerlo. Ransomware agresiones pueden interrumpir las operaciones de negocio y la productividad y puede ser perjudicial para la firma de la fama. Colectivamente, estos componentes también la cantidad de pérdidas adicionales, aparte del pago de descifrado de herramientas.

Por qué ransomware estancias persistente

Para mantener lejos de cambiar en una de las muchas víctimas de ransomware, es bueno entender cómo y por qué funciona realmente. De hecho, la ingeniería social, los cebos y los de uso comercial-encriptación de grado desempeñar una función importante en el éxito de los ataques de ransomware. Sin embargo, mayor que la, la presente serie de ransomware, además, hacer uso de diferentes malware rutinas que, mientras que no es totalmente técnicamente refinado por sí mismos, puede causar mayores estragos cuando se mezclan de manera colectiva y va a desencadenar un montón de tiempo, esfuerzo, y el dolor de cabeza para el personal de TI que tratan de solucionar la dificultad.

Pensar acerca de la empresa X, que recibe la información de que su información, junto con sus joyas de la corona también podría ser, probablemente, cifrado y toma de rehenes hasta que el suministro de la cuota de rescate. El administrador de TI/las profesionales de los pasos necesarios de desconectar y aislar el sistema contaminado de la comunidad. Él, a continuación, intenta matorrales hasta la contaminación de la computadora portátil y restaurar la recordsdata sin embargo se encuentra con una serie de desafíos.

Por ejemplo, uno de los muchos extras generalizada de estrategias de ransomware los hogares es eliminar instantáneas. Lo hacen mediante la ejecución de cualquiera de las siguientes instrucciones:

vssadmin.exe Eliminar las Sombras/Todos/Quiet

WMIC.exe shadowcopy eliminar/nointeractive

Mediante la eliminación de instantáneas, elimina las copias de seguridad de la información que podría perjudicar a la recuperación de recordsdata. Tenga en cuenta que, de Inicio de windows 7 y ocho sistemas operativos han añadido eliminar instantáneas de la función; sin embargo, en el Inicio de windows ocho de la interfaz de usuario no se ve. Variantes como CRYPWALL, Locky, CERBER, y CRYPTESLA, entre otros, el uso de este método.

Diferentes rutinas pueden ser más o menos clasifican en la siguiente: el inicio de la modificación de, la propagación de, y anti-AV mecanismo de:

El inicio de la modificación de

Sobrescribir o borrar la información de las garras del Archivo de Arranque (MBR) puede hacer que el sistema no arranca. Dicha funcionalidad se puede agregar otra capa de problema al restaurar el sistema en modo seguro. PETYA es uno explícito variante que tiene esta funcionalidad. Alternativamente, MATSNU ejecuta backdoor instrucciones para limpiar MBR además de bloquear la pantalla de visualización.

Las técnicas de propagación

Ya es molesto para revivir recordsdata en un solo sistema como consecuencia de un algoritmo de cifrado utilizado por ransomware. Extra así, cuando estas amenazas pueden desarrollarse a través desmontable unidades y de la comunidad comparte el lugar diferente información esencial podría ser probablemente cifrados. Uno de ransomware bautizada como Zcryptor (ZCRYPT cripto-ransomware) se propaga a través de unidades desmontable, junto con los recursos compartidos de red.

Anti-mecanismo de detección de

Watchdog supuesto de que normalmente se usa para reaparecer una nueva ocasión de que el malware. Esto se hace copiando el fiable regsvr32.exe o rundll32.exe nombrado como svchost.exe. Mientras que un curso está trabajando para hacer de cifrado, otro supuesto de capacidades como un perro guardián. Otro método empleado por las amenazas de ransomware para mantener lejos de la simple detección es comprobar si funciona en la configuración de VMWare.

Figura 1

Determinar 1. Curso de árbol de CryptXXX una infección, junto con watchdog curso de

VIRLOCK desviado de diferentes amenazas de ransomware por medio de su uso de polimórficas de cifrado mediante el cual la clave de cifrado difiere en cada una de infección. Es, además, podría insertar al azar de basura código y llamadas a la API en el contaminados recordsdata como se ha demostrado por debajo de. Estos 2 los rasgos son empleadas para hacer de archivo basado en la detección de más y mantener lejos de la simple emulación. Es, además, hace uso de un número de capas de cifrado como anti-detección y anti-estrategias de análisis de.

virlock_cropped

Determinar 2. Fragmento de código de VIRLOCK anti-mecanismo de detección de

Diferentes estrategias de

Otro notable enfoque que ha contribuido a la persistencia de la amenaza es la comprobación de la comunidad o de Bloque de Mensaje de Servidor (SMB) acciones vinculadas a la contaminación del sistema. Un ejemplo de lo que es CryptoFortress, que apareció final 12 meses. CRYPWALL variaciones de tres y cuatro también puede enumerar todas las unidades, y si están asignadas, la información puede ser codificada.

Algunas variantes además de abuso de proveedores confiables como el Hogar de windows PowerShell función en el caso de PowerWare y POSHCODER. Vitales distintas rutinas abrazo Área Era Algoritmo (DGA) para el C&C servidor de conexión, como se observa en primer lugar en CryptoLocker. Amenazas como CryptXXX además roba datos, así, los atacantes pueden ganar dinero extra por tráfico de influencias en el mercado clandestino.

Los directores de TI sería, además, descubrir arduo para incluir una infección de ransomware si los atacantes utilizan vulnerabilidades para desplegar la amenaza. Nos dimos cuenta de esto en SAMSAM mediante el cual el atacante aprovecha Jexboss explotar a penetrar en la comunidad a través de la debilidad de los servidores y propagar este ransomware. Por otra parte, infectar a doc y los medios de comunicación recordsdata también puede hacer que la limpieza sea difícil; un ejemplo de lo que es VIRLOCK.

Un multi-capas de protección

Debido a las molestias, problema en la recuperación de información de nuevo, y el potencial de daños, algunas organizaciones de seleccionar el pago. El peligro con el pago que podría ser, sin duda, obtener extra ransomware relacionadas con correos electrónicos de spam, ya está confirmado el pago el comprador. Cuando su recordsdata se encriptados, los atacantes suelen asignar un ID para el descifrado de la página web. Y para que tengan un medio de controlar el correo electrónico de los trastos de los que haga clic en o abrir el archivo adjunto.

La comprensión de ransomware puede ayudar a las empresas a la seguridad de sus ambiente. Copia de seguridad de recordsdata es muy beneficioso, sin embargo esto no es una prueba de tontos/única respuesta, ya que existen variantes que, además, pueden cifrar las copias de seguridad. Lo que las empresas y las pequeñas empresas desean es de varias capas de protección que la seguridad de sus entornos desde los extremos de redes y servidores.

Desarrollo de la Micro asegura organizaciones en oposición a los peligros que ransomware plantean por medio de sus capas de seguridad. Nuestra sólida extremo respuesta, Trend Micro Smart Protection Suites puede detener la ejecución de la malicioso rutinas y acciones que destacó en esta entrada a través de nuestros hábitos de monitoreo, software de gestión, y la vulnerabilidad de blindaje. Nuestro Anti-Ransomware función de detectar de manera proactiva & bloque de ransomware ejecución. Como tal, no recordsdata podría ser cifrados; y el riesgo de ganado no se desarrollan en diferentes técnicas dentro de la comunidad o alcanzar servidores.

Sin embargo, más que la defensa de sus extremos, es mejor dejar de ransomware en el grado de publicidad—internet y correo electrónico. Principalmente se basa en nuestras últimas de muestreo, mayor que 96% de la mayoría de ransomware puede ser detenido en correo electrónico de internet y de los rangos de. Las empresas pueden depender de Trend Micro™ Deep Discovery™ de Correo electrónico del Inspector de la presa y detectar ransomware-mails relacionados con la, junto con archivos adjuntos maliciosos. Su medida sandbox experiencia puede detectar variantes de ransomware que, además, aprovechar las macros. Nuestra IP y el estado de internet incluido en esta respuesta también puede mitigar los peligros de ransomware en el e-mail y de internet rangos.

Para la seguridad de la comunidad, nuestro Trend Micro Deep Discovery Inspector puede detectar y bloquear ransomware en las redes de malware a través de su caja de arena y la comunidad opciones de escaneo. Además, cualquier movimiento lateral para lograr diferentes componentes de la comunidad puede ser impedido por nuestro producto.

Desde ransomware como SAMSAM presenta peligros para sus servidores, nuestro Trend Micro Deep Security™ y su vulnerabilidad blindaje puede dejar este o cualquier relacionadas con el ransomware de llegar a los servidores de la empresa–ya sea o no corporales, digital o en la nube.

Para las pequeñas empresas, Trend Micro worry-Free Avanzado de Servicios ofrece la nube-basado en el correo electrónico de la puerta de enlace de seguridad por correo electrónico Hospedado Seguridad. Su punto final de seguridad, además, ofrece una serie de capacidades que recuerda de hábitos de monitoreo en tiempo real y la reputación en internet con la intención de detectar y bloquear el ransomware.

Para la vivienda de los clientes, Trend Micro Security 10 da fuerte de seguridad en oposición a ransomware, mediante el bloqueo de sitios web maliciosos., los correos electrónicos, y recordsdata relacionados con este riesgo.

Los clientes pueden utilizar nuestras herramientas gratuitas tales, porque la Tendencia Micro de la Pantalla de Bloqueo de Ransomware Herramienta de, que está diseñado para detectar y tomar distancia de la pantalla-locker ransomware; además de Trend Micro Cripto-Ransomware Archivo Decryptor Herramienta, que puede descifrar seguro de variantes de cripto-ransomware con pagar por el uso de la clave de descifrado.


Por favor revise esta gran servicio a: http://www.test-net.org/services/ping/ o visite los SERVICIOS GRATUITOS de menú

[Total:0    Promedio:0/5]

Deja una Respuesta

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *