Ransomware: Utpressing via Internett

Ransomware startet i 1989. Den gang var den relativt ineffektiv. Det endrer seg, noe som er dårlige nyheter for oss.

-------------------------------------------------- -------------------------------------------------- ----------

En av naboene mine opplevde nylig ransomware fra første hånd. Inntil da ante han ikke at det eksisterte. På grunn av det virker det som viktig å gå tilbake til programvare for utpressing, forklare nøyaktig hva det er og hvordan du kan unngå det.

Ransomware debuterte med en trojan kalt PC Cyborg, hjernebarn til Dr. Joseph Popp. Utpressingen begynner med at en sårbar datamaskin blir smittet. Når skadelig programvare er bosatt i, skjuler malware alle mapper og krypterer filnavn på C: -stasjonen. Deretter åpnes en dialogboks som forkynner at offeret må sende PC Cyborg Corporation $ 189 US, fordi lisensen var utløpt.

Inntil løsepenger er mottatt og skadelig programvare blir reversert, har offeret en datamaskin som ikke fungerer. Heldigvis hadde legens trojan en svakhet. Den krypterte filnavnene ved hjelp av symmetrisk kryptografi. Når eksperter hadde en sjanse til å analysere malkoden og krypterte tabeller, ble det enkelt å reversere og bestemme hvem som opprettet ransomware.

Det ser ut til at legen følte at han gjorde noe verdt (til slutt erklært mentalt uegnet). Under rettsaken sin nevnte han at løsepengene skulle brukes til aids-forskning.

Offentlig nøkkel og kryptovirologi

I 1996 fikset to forskere Adam Young og Moti Yung tilsyn med Dr. Popps, og forklarte hvordan det i papiret ble skrevet: Cryptovirology: Extortion-Based Security Threats and Countermeasures (PDF). Jeg tror det også er hvor begrepet Cryptovirology ble myntet.

Young og Yung fant ut hvordan de skulle bruke offentlig nøkkelkryptografi i ransomware, noe som gjorde omvendt engineering nesten umulig. Krypto-viruset krypterer offerets filer ved å bruke den offentlige nøkkelen til skadelig programvare. Utpressingen kommer i spill når offeret blir bedt om å betale løsepenger for å få den private nøkkelen for å dekryptere filene.

Hvordan det fungerer

Young og Yung kaller denne typen ransomware krypto-viral utpressing. Gi følgende definisjon:

"Krypto-viral utpressing, som bruker offentlig nøkkelkryptografi, er et fornektelse av ressursangrep. Det er en tre-runde protokoll som utføres av en angriper mot et offer. Angrepet utføres via et krypto-virus som bruker en hybrid kryptosystem for å kryptere vertsdata mens du sletter eller overskriver de opprinnelige dataene i prosessen. "

Tre-runde-protokollen er interessant. Det består av følgende:

  • Krypto-virus er installert : Ved bruk av en rekke teknikker, vanligvis drive-by dropper plattformer; krypto-viruset blir installert på sårbare datamaskiner. Når viruset aktiveres, skaper det en symmetrisk nøkkel og initialiseringsvektor (IV). Krypto-viruset fortsetter med å kryptere datafiler ved hjelp av den symmetriske nøkkelen og IV. Deretter sammenkaster krypto-viruset IV med den symmetriske nøkkelen. Til slutt blir den sammenlagte strengen kryptert ved å bruke den offentlige nøkkelen til skadelig programvare. Med alt nå på plass åpner krypto-viruset et vindu som forklarer løsepengekravene til offeret.
  • Offerets svar : Hvis offeret bestemmer seg for å betale løsepenger. Det er flere måter som kan skje. Vi vil se på de om litt. Offeret må også sende den krypterte sammenlagte strengen til nettkriminellen.
  • Angriperens svar : Utpresseren dekrypterer deretter strengen ved å bruke den private nøkkelen, som avslører den symmetriske nøkkelen og IV. Til slutt, sender begge tilbake til offeret. Hvem vil bruke dem til å dekryptere datafilene.
Dekker sporene deres

På nettstedet deres snakker Young og Yung om innsatsen som cyberkriminelle går gjennom for å beskytte seg selv. De lagrer de offentlige og private nøklene på et smartkort og kjenner ikke personlig representasjonen av den private nøkkelen:

"Ideelt sett vil smartkortet implementere tofaktors sikkerhet: noe virusforfatteren vet (et PIN-nummer) og noe virusforfatteren har (smartkortet som inneholder den private nøkkelen). I tillegg vil kortet ideelt sett være immun mot differensial maktanalyse, tidsangrep osv. for å forhindre at virusforfatteren noen gang lærer bitene av den private nøkkelen. "

Nettstedet fortsetter med å forklare hvorfor extortionists gjør dette:

"I USA kan ikke virusforfatteren bli tvunget til å vitne mot seg selv (femte endring), og dermed kan PIN-koden forbli konfidensiell. Hensikten med denne installasjonsfasen er å begrense effektiviteten av å gripe og analysere smartkortet under stevning eller garanti (kompetent bevis). "

Betalingsteknikker

I det siste har ikke ransomware vært den valgte malware. Det er fordi nettkriminelle er bekymret for pengesporet som sender løsepenger. Jeg nevnte tidligere at mange tilnærminger har blitt prøvd. Her er noen av dem:

  • Trojan. Ransom-A erklærer at den vil ødelegge en datafil hvert 30. minutt med mindre USD 10, 99 i USA sendes til en spesifikk konto via Western Union.
  • Trojan.Archiveus er litt mer kreativ. Løsningsnotatet erklærer at dekrypteringspassordet vil bli sendt. Hvis offeret kjøper noe fra et spesifikt nettsted, vanligvis i Russland.
  • Win32.Ransom bruker en ny måte å skaffe løsepenger på. Krypto-viruset blokkerer Internett-tilgang til offeret sender en premium SMS-melding. Denne tilnærmingen blir den foretrukne betalingsmåten.
Eksempel

For å forstå hele prosessen, la oss se på hva mange vurderer nyskapende ransomware. F-Secure har nettopp gitt ut informasjon om Trojan: W32 / DatCrypt. Slik fungerer det.

Trojanen tar seg inn på offerets datamaskin. Deretter gir det illusjonsdatafiler som Office-dokumenter, musikk, lyd og video er korrupte. Som vist i følgende lysbilde (med tillatelse fra F-Secure):

I virkeligheten har filene blitt kryptert av trojaneren. Den neste meldingen åpnet av DatCrypt informerer offeret om å laste ned spesifisert filreparasjonsprogramvare. Legg merke til hvordan vinduet opprettet av skadelig programvare ser ut til å være en melding fra Security Center (med tillatelse fra F-Secure):

Det som faktisk lastes ned er Rogue: W32 / DatDoc. Malware som ser ut til å løse problemet. Men bare en fil kan fikses med gratisversjonen (med tillatelse av F-Secure):

Angriperne prøver å lurre offeret til å tro at programvaren faktisk fungerer. De håper offeret vil bruke 89, 95 dollar i USA for den registrerte versjonen. I virkeligheten betaler ofre løsepenger for å få tilbake egne filer.

Løsning

Det er ingen magisk formel for å unngå krypto-viral utpressing. Det er bare malware som leter etter sårbare datamaskiner å utnytte. Å holde operativsystem og applikasjonsprogramvare oppdatert, sammen med en anstendig antivirus-applikasjon, vil gi beskyttelse. Det er en god idé å ha aktuelle sikkerhetskopier av alle viktige data, bare i tilfelle.

Siste tanker

Ransomware gjør en gjenoppblomstring. Det er vanskelig å spore betalingsmetoder på nettet som utmerker nettkriminelle.

To tanker dukker øyeblikkelig opp. Når extortionist har pengene, hvorfor sende tilbake dekrypteringsinformasjonen? Hvilket bevis har offeret på at hele prosessen ikke starter på nytt?

© Copyright 2020 | mobilegn.com