ランサムウェア復号化機能をリリースする決定には、被害者がデータを回復するのを支援することと、コードのエラーを犯罪者に警告することとの間の微妙なバランスを取る行為が含まれます
ランサムウェア–現代のデジタル世界のセキュリティの惨劇–は、ますます危険になっています。 そうだった 何をすべきかについてユーザーを教育する、しかし、悪者の行為とあなたのファイルを隠す難読化されたデジタルトラックのレイヤーの周りに自由に散らばっているキラー暗号化の先を行くのは難しいです。 その間、通行料は企業を埋め、解決策を懇願する議員の手を結びます。 しかし、ランサムウェアの鍵を開けたら、次回は悪者がそれを改善するのを手伝うだけではありませんか?
今月初めにデジタルで ワークショップ チェコ共和国の中心部では、ランサムウェア復号化機能の開発者が、コードの一部を解読してユーザーのデータを取り戻す方法を出席者と共有しました。 注意深く分析することで、悪意のあるユーザーの実装や操作にエラーが見つかることがあり、暗号化プロセスを逆にしてスクランブルされたファイルを復元することができました。
しかし、善良な人がツールを公開すると、詐欺師は「より完全にハッキングできない」戦術で製品をすばやく再構成し、研究者がファイルの次のバッチをクラックして開くのを防ぎます。 基本的に、研究者は非好循環で詐欺師の製品をデバッグしています。
ですから、私たちはそれを修正するのではなく、それを追いかけ、それに反応し、損傷を塗りつぶします。 しかし、荒廃の大部分からの回復は、彼らを感じた中小企業にとって不可能なままであるため、成功は一時的なものである可能性があります ビジネスを続けるためにお金を払わなければならなかった.
政府は-すべての善意のために-また反応的です。 彼らは、インシデント対応のプロセスを推奨し、支援し、そしておそらく彼らのサポートを送ることができますが、それはまた反応的であり、新鮮な内臓のビジネスにほとんど快適さを提供しません。
だから彼らはに切り替えます 財務の追跡。 しかし、悪者は通常、隠れることが得意です。盗んだばかりの大金を支払うことで、すべての優れたツールを購入することができます。 そして、率直に言って、彼らは多くの政府関係者よりも多くのことを知っているかもしれません。 それは、適度に速い馬でF1レーシングカーを追いかけるようなものです。
いずれにせよ、研究者は悪者のためのベータテスター以上のものである必要があります。
サイバー犯罪者のツールを検出してブロックすることはできません。サイバー犯罪者は、コンピューターの日常の操作に使用される標準のシステムツールを利用できるからです。 オペレーティングシステムの一部として出荷される場合もあります。 オープンソースツールは、システム全体をまとめる接着剤ですが、システムをロックするランサムウェア暗号化プロセスをまとめる接着剤にすることもできます。
したがって、犯罪者がどのように行動するかを決定する必要があります。 整備士の店でハンマーを手に持っていることは、窓を振ってそれを壊すまで悪くはありません。 同様に、疑わしいアクションを検出すると、攻撃の開始を検出できます。 しかし、新しい攻撃バリアントの速度でこれを行うのは困難です。
ここヨーロッパでは、ランサムウェアの傾向に関する情報を共有するためにさまざまな国の政府を召集することに多大な努力が払われていますが、これを主導するグループは直接法執行機関ではありません。 彼らは、法執行管轄が迅速に行動することを期待することしかできません。 しかし、それはマルウェアの速度では起こりません。
クラウドは間違いなく役立ちました。セキュリティソリューションはクラウドを活用して、攻撃を阻止するためにコンピューターがトリガーする必要のある最新の攻撃前シナリオをプッシュできるからです。
そして、それは効果的なランサムウェアのツールとテクニックの寿命を縮め、彼らがあまりお金を稼がないようにします。 悪者が優れたランサムウェアを開発するにはお金がかかり、彼らは見返りを求めています。 それらのペイロードがXNUMX回かXNUMX回しか機能しない場合、それは報われません。 それが支払われない場合、彼らは何か他のことをするでしょう、そして多分組織はビジネスに戻ることができます。
ドライブをバックアップします
会議からのXNUMXつのプロのヒント:ランサムウェアに見舞われた場合は、暗号化されたデータをバックアップしてください。 復号化機能が最終的にリリースされた場合でも、将来失われたファイルを復元できる可能性があります。 それが今あなたを助けるというわけではありません。
もちろん、物事をバックアップするのに最適な時期は、ランサムウェアに恐喝されていないときですが、開始するのに遅すぎることはありません。 この時点でXNUMX年以上経過していますが、WeLiveSecurityのガイド バックアップの基本 まだ実用的な情報を提供します問題にアプローチし、あなたの家や中小企業のために働く解決策を開発する方法についての実用的な情報を提供します。
ESETとランサムウェア
ESETがランサムウェア復号化ツールの作成にどのような立場をとっているのか疑問に思われる場合は、混合アプローチを採用します。ランサムウェア(DiskcoderまたはFilecoderマルウェアとして分類されることが多い)から人々を保護し、データを回復する方法を提供します。 同時に、この惨劇の背後にいる犯罪組織に、一連のデジタルロックピックで施錠されたドアを開けるのと技術的に同等のことを行ったことを警告したくありません。
場合によっては、復号化機能が公開され、ESETナレッジベースの記事を通じて一般に公開されることがあります。 スタンドアロンのマルウェア除去ツール。 公開の時点で、現在、約XNUMXつの復号化ツールが利用可能です。 他のそのようなツールはで利用可能です NoMoreRansomイニシアチブのウェブサイト、ESETは2018年からアソシエイトパートナーになっています。ただし、それ以外の場合は、復号化機能を作成しますが、それらに関する情報を公開することはありません。
デクリプタがリリースされたことを発表するかどうかの基準は、ランサムウェアごとに異なります。 これらの決定は、ランサムウェアの繁殖力、深刻度、ランサムウェアの作成者が自身のソフトウェアのコーディング バグや欠陥にパッチを当てる速さなど、多くの要因の慎重な評価に基づいています。
当事者が ESET に連絡してデータの復号化に関する支援を受ける場合でも、復号化が可能な限り長く機能するようにするために、復号化がどのように実行されたかに関する特定の情報は公開されません。 これにより、お客様をランサムウェアから保護しながら、ランサムウェアに感染したファイルの復号化を可能な限り長く支援できるという最善のトレードオフが得られると考えています。 犯罪者が暗号化に穴があることに気付いたら、それを修正する可能性がありますが、所有者が強要されることなくデータを復元できる他の欠陥が見つかるまでには、長い時間がかかる可能性があります。
ランサムウェア(そのオペレーターとランサムウェアコード自体の両方)を処理することはトリッキーなプロセスであり、善人が悪人と戦うときにプレイするのに数週間、数か月、さらには数年かかるチェスのゲームであることがよくあります。 ESETはこれを最大限に活用することを目指しています。つまり、可能な限り多くの人々を可能な限り長く支援することを意味します。 また、ランサムウェアの影響を受けるシステムに遭遇した場合でも、希望をあきらめないでください。ESETがデータの復元を支援できる可能性があります。
ランサムウェアはすぐには解消されない問題かもしれませんが、ESETはそれからあなたを守る準備ができています。 とはいえ、そもそもそれを防ぐことは、それを治すよりもはるかに優れています。
