Το μειονέκτημα του 'debugging' ransomware

Το Ransomware – η μάστιγα ασφαλείας του σύγχρονου, ψηφιακού κόσμου – γίνεται όλο και πιο επικίνδυνο. είμαστε εκπαίδευση των χρηστών για το τι πρέπει να κάνουν, αλλά είναι δύσκολο να μείνεις μπροστά από τη δολοφονική κρυπτογράφηση πασπαλισμένη άφθονα γύρω από στρώματα συγκεχυμένων ψηφιακών κομματιών που κρύβουν τις πράξεις των κακών και τα αρχεία σου. Εν τω μεταξύ, τα διόδια θάβουν τις επιχειρήσεις και δένουν τα χέρια των νομοθετών που εκλιπαρούν για λύση. Αλλά αν ανοίξουμε τα κλειδιά για το ransomware, δεν βοηθάμε απλώς τους κακούς να το κάνουν καλύτερα την επόμενη φορά;

Νωρίτερα αυτό το μήνα σε ένα ψηφιακό συνεργείο στην καρδιά της Τσεχικής Δημοκρατίας, οι προγραμματιστές αποκρυπτογράφησης ransomware μοιράστηκαν με τους παρευρισκόμενους πώς έσπασαν μέρος του κώδικα και πήραν πίσω τα δεδομένα των χρηστών. Μέσω προσεκτικής ανάλυσης, μερικές φορές εντόπιζαν σφάλματα στις υλοποιήσεις ή τις λειτουργίες των κακών, που τους επέτρεπε να αντιστρέψουν τη διαδικασία κρυπτογράφησης και να επαναφέρουν τα κωδικοποιημένα αρχεία.

Αλλά όταν τα καλά παιδιά ανακοινώνουν το εργαλείο στο κοινό, οι απατεώνες αναδιαρθρώνουν γρήγορα τα προϊόντα τους με τακτικές που είναι «πιο εντελώς απαράδεκτες», εμποδίζοντας τους ερευνητές να ανοίξουν την επόμενη παρτίδα αρχείων. Βασικά, οι ερευνητές διορθώνουν τα προϊόντα των απατεώνων για αυτούς σε έναν μη ενάρετο κύκλο.

Άρα δεν το φτιάχνουμε, το κυνηγάμε, αντιδρούμε σε αυτό, ζωγραφίζουμε πάνω από τη ζημιά. Ωστόσο, οποιαδήποτε επιτυχία μπορεί να είναι παροδική, καθώς η ανάκαμψη από το μεγαλύτερο μέρος της καταστροφής παραμένει αδύνατη για τις μικρές επιχειρήσεις που αισθάνθηκαν ότι έπρεπε να πληρώσει για να παραμείνει στην επιχείρηση.

Οι κυβερνήσεις – παρ’ όλη την καλή τους πρόθεση – είναι επίσης αντιδραστικές. Μπορούν να συστήσουν, να βοηθήσουν στη διαδικασία αντιμετώπισης περιστατικών και ίσως, να στείλουν την υποστήριξή τους, αλλά αυτό είναι επίσης αντιδραστικό και προσφέρει λίγη άνεση σε μια επιχείρηση που έχει ξεσπάσει πρόσφατα.

Έτσι αλλάζουν σε παρακολούθηση των οικονομικών. Αλλά οι κακοί είναι συνήθως καλοί στο να κρύβονται – μπορούν να αντέξουν οικονομικά όλα τα καλά εργαλεία πληρώνοντας τα μεγάλα δολάρια που μόλις έκλεψαν. Και, ειλικρινά, μπορεί να γνωρίζουν περισσότερα από πολλούς κυβερνητικούς παράγοντες. Είναι σαν να κυνηγάς ένα αγωνιστικό αυτοκίνητο της F1 με ένα αρκετά γρήγορο άλογο.

Είτε έτσι είτε αλλιώς, οι ερευνητές πρέπει να είναι κάτι περισσότερο από δοκιμαστές beta για τους κακούς.

Δεν μπορείτε απλώς να εντοπίσετε τα εργαλεία των κυβερνοεγκληματιών και να τα αποκλείσετε, καθώς μπορούν να αξιοποιήσουν τυπικά εργαλεία συστήματος που χρησιμοποιούνται για την καθημερινή λειτουργία του υπολογιστή σας. μπορεί ακόμη και να αποστέλλονται ως μέρος του λειτουργικού συστήματος. Τα εργαλεία ανοιχτού κώδικα είναι η κόλλα που συγκρατεί ολόκληρο το σύστημα, αλλά μπορεί επίσης να είναι η κόλλα που συγκρατεί τη διαδικασία κρυπτογράφησης ransomware που κλειδώνει το σύστημα.

Έτσι, μένεις να αποφασίσεις πώς θα ενεργήσουν οι εγκληματίες. Το να έχεις ένα σφυρί στο χέρι σε ένα μηχανουργείο δεν είναι κακό μέχρι να κουνηθείς σε μια βιτρίνα για να το σπάσεις. Ομοίως, η ανίχνευση μιας ύποπτης ενέργειας μπορεί να ανιχνεύσει την έναρξη μιας επίθεσης. Αλλά το να το κάνεις αυτό με την ταχύτητα των νέων παραλλαγών επίθεσης είναι δύσκολο.

Εδώ στην Ευρώπη γίνεται σημαντική προσπάθεια για τη σύγκληση κυβερνήσεων από διάφορες χώρες για να μοιραστούν πληροφορίες σχετικά με τις τάσεις του ransomware, αλλά οι ομάδες που ηγούνται αυτού δεν είναι άμεσα οι αρχές επιβολής του νόμου. μπορούν μόνο να ελπίζουν ότι οι δικαιοδοσίες επιβολής του νόμου θα δράσουν γρήγορα. Αλλά αυτό δεν συμβαίνει με την ταχύτητα του κακόβουλου λογισμικού.

Το σύννεφο σίγουρα βοήθησε, καθώς οι λύσεις ασφαλείας μπορούν να το αξιοποιήσουν για να προωθήσουν τα πιο πρόσφατα σενάρια πριν από την επίθεση που θα έπρεπε να ενεργοποιήσει ο υπολογιστής σας για να σταματήσει μια επίθεση.

Και μειώνει τη διάρκεια ζωής των αποτελεσματικών εργαλείων και τεχνικών ransomware, ώστε να μην κερδίζουν πολλά χρήματα. Κοστίζει χρήματα για τους κακούς να αναπτύξουν καλό ransomware και θέλουν μια απόσβεση. Εάν τα ωφέλιμα φορτία τους λειτουργούν μόνο μία ή δύο φορές, αυτό δεν πληρώνει. Εάν δεν πληρώσει, θα πάνε να κάνουν κάτι άλλο που να κάνει, και ίσως οι οργανισμοί μπορούν να επιστρέψουν στις δραστηριότητές τους.

Δημιουργήστε αντίγραφα ασφαλείας της μονάδας δίσκου

Μια επαγγελματική συμβουλή από το συνέδριο: Δημιουργήστε αντίγραφα ασφαλείας των κρυπτογραφημένων δεδομένων σας εάν χτυπηθείτε από ransomware. Σε περίπτωση που τελικά κυκλοφορήσει ένας αποκρυπτογραφητής, μπορεί να έχετε ακόμα την ευκαιρία να επαναφέρετε τα χαμένα αρχεία στο μέλλον. Όχι ότι σε βοηθάει τώρα.

Η καλύτερη στιγμή για να δημιουργήσετε αντίγραφα ασφαλείας είναι, φυσικά, όταν δεν εκβιάζεστε από ransomware, αλλά ποτέ δεν είναι αργά για να ξεκινήσετε. Αν και είναι πάνω από μια δεκαετία σε αυτό το σημείο, ο οδηγός του WeLiveSecurity για Βασικά αντίγραφα ασφαλείας εξακολουθεί να παρέχει πρακτικές πληροφορίες παρέχει πρακτικές πληροφορίες σχετικά με το πώς να προσεγγίσετε το πρόβλημα και να αναπτύξετε μια λύση που να λειτουργεί για το σπίτι ή τη μικρή σας επιχείρηση.

ESET έναντι ransomware

Σε περίπτωση που αναρωτιέστε ποια είναι η θέση της ESET στη δημιουργία αποκρυπτογραφητών ransomware, ακολουθούμε μια μικτή προσέγγιση: θέλουμε να προστατεύσουμε τους ανθρώπους από ransomware (το οποίο συχνά ταξινομούμε ως κακόβουλο λογισμικό Diskcoder ή Filecoder), καθώς και να παρέχουμε τρόπους ανάκτησης δεδομένων. Ταυτόχρονα, δεν επιθυμούμε να ειδοποιήσουμε τις εγκληματικές συμμορίες πίσω από αυτή τη μάστιγα ότι έχουμε κάνει το τεχνολογικό ισοδύναμο να ανοίξουμε τις κλειδωμένες πόρτες τους με ένα σετ ψηφιακών κλειδαριών.

Σε ορισμένες περιπτώσεις, ένας αποκρυπτογραφητής μπορεί να δημοσιευτεί και να διατεθεί στο κοινό μέσω του άρθρου της Γνωσιακής Βάσης της ESET Αυτόνομα εργαλεία αφαίρεσης κακόβουλου λογισμικού. Κατά τη στιγμή της δημοσίευσης, έχουμε περίπου μισή ντουζίνα εργαλεία αποκρυπτογράφησης διαθέσιμα αυτήν τη στιγμή εκεί. Άλλα τέτοια εργαλεία είναι διαθέσιμα στο ιστοσελίδα της πρωτοβουλίας No More Ransom, του οποίου η ESET είναι συνεργάτης από το 2018. Σε άλλες περιπτώσεις, ωστόσο, γράφουμε αποκρυπτογραφητές αλλά δεν δημοσιεύουμε δημόσια πληροφορίες σχετικά με αυτούς.

Τα κριτήρια για το αν θα ανακοινωθεί ότι κυκλοφόρησε ένας αποκρυπτογραφητής ποικίλλουν με κάθε κομμάτι του ransomware. Αυτές οι αποφάσεις βασίζονται σε μια προσεκτική αξιολόγηση πολλών παραγόντων, όπως το πόσο παραγωγικό είναι το ransomware, η σοβαρότητά του, πόσο γρήγορα οι συντάκτες του ransomware επιδιορθώνουν σφάλματα κωδικοποίησης και ελαττώματα στο δικό τους λογισμικό κ.λπ.

Ακόμη και όταν τα μέρη επικοινωνούν με την ESET για να λάβουν βοήθεια σχετικά με την αποκρυπτογράφηση των δεδομένων τους, συγκεκριμένες πληροφορίες σχετικά με τον τρόπο με τον οποίο πραγματοποιήθηκε η αποκρυπτογράφηση δεν κοινοποιούνται δημόσια, προκειμένου να επιτραπεί η αποκρυπτογράφηση να λειτουργήσει για όσο το δυνατόν περισσότερο. Πιστεύουμε ότι αυτό παρέχει τον καλύτερο συμβιβασμό μεταξύ της προστασίας των πελατών από ransomware, ενώ εξακολουθεί να είναι σε θέση να βοηθήσει στην αποκρυπτογράφηση αρχείων που έχουν υποστεί λύτρα για το μεγαλύτερο δυνατό χρονικό διάστημα. Μόλις οι εγκληματίες αντιληφθούν ότι υπάρχουν τρύπες στην κρυπτογράφηση τους, μπορεί να τις διορθώσουν και μπορεί να χρειαστεί πολύς χρόνος μέχρι να βρεθούν άλλα ελαττώματα που επιτρέπουν την αποκατάσταση δεδομένων χωρίς να εκβιαστεί ο ιδιοκτήτης τους.

Η αντιμετώπιση του ransomware, τόσο των χειριστών του όσο και του ίδιου του κώδικα ransomware, είναι μια δύσκολη διαδικασία και συχνά είναι ένα παιχνίδι σκάκι που μπορεί να πάρει εβδομάδες ή μήνες ή και χρόνια για να παίξει, καθώς οι καλοί μάχονται με τους κακούς. Η άποψη της ESET για αυτό είναι να προσπαθεί να κάνει το μέγιστο καλό, πράγμα που σημαίνει να βοηθά όσο το δυνατόν περισσότερους ανθρώπους για το μεγαλύτερο δυνατό χρονικό διάστημα. Σημαίνει επίσης ότι εάν συναντήσετε ένα σύστημα που επηρεάζεται από ransomware, μην εγκαταλείπετε την ελπίδα σας, υπάρχει ακόμα μια εξωτερική πιθανότητα η ESET να μπορέσει να σας βοηθήσει στην ανάκτηση των δεδομένων σας.

Το Ransomware μπορεί να είναι ένα πρόβλημα που δεν θα εξαφανιστεί σύντομα, αλλά η ESET είναι έτοιμη να σας προστατεύσει από αυτό. Ωστόσο, η πρόληψή της είναι πολύ καλύτερη από τη θεραπεία της.