Ulempen med å "feilsøke" løsepengeprogramvare

Ransomware – sikkerhetsplagen i den moderne, digitale verden – blir bare stadig farligere. Det er vi opplæring av brukere om hva de skal gjøre, men det er vanskelig å ligge i forkant av morderisk kryptering drysset rikelig rundt lag med skjulte digitale spor som skjuler skurkenes gjerninger og filene dine. I mellomtiden begraver bompengene bedrifter og binder hendene til lovgivere som ber om en løsning. Men hvis vi åpner nøklene til løsepengevare, hjelper vi ikke bare de slemme med å gjøre det bedre neste gang?

Tidligere denne måneden på en digital verksted i hjertet av Tsjekkia delte utviklere av løsepengevare-dekryptering med deltakerne hvordan de knekket noe av koden og fikk tilbake brukernes data. Gjennom nøye analyse fant de noen ganger feil i skurkenes implementeringer eller operasjoner, noe som gjorde at de kunne reversere krypteringsprosessen og gjenopprette de krypterte filene.

Men når flinke gutter kunngjør verktøyet for offentligheten, rekonfigurerer svindlerne raskt varene sine med taktikker som er "mer fullstendig unhackable", og hindrer forskere fra å åpne neste bunke med filer. I utgangspunktet feilsøker forskerne svindlernes varer for dem i en ikke-dydig syklus.

Så vi fikser det ikke, vi jager det, reagerer på det, maler over skaden. Men enhver suksess kan være forbigående, ettersom utvinning fra hoveddelen av ødeleggelsene fortsatt er umulig for de små bedriftene som følte at de måtte betale for å holde seg i virksomhet.

Regjeringene – til tross for sin gode hensikt – er også reaktive. De kan anbefale, bistå med prosessen med å reagere på hendelser, og kanskje sende deres støtte, men det er også reaktivt og gir lite trøst til en nyslått virksomhet.

Så de bytter til sporing av økonomi. Men de slemme gutta er vanligvis flinke til å gjemme seg – de har råd til alle de gode verktøyene ved å betale de store pengene de nettopp stjal. Og helt ærlig kan de kanskje vite mer enn mange offentlige aktører. Det er som å jage en F1-racerbil med en rimelig rask hest.

Uansett må forskere være mer enn betatestere for de slemme gutta.

Du kan ikke bare oppdage nettkriminelles verktøy og blokkere dem heller, siden de kan utnytte standard systemverktøy som brukes til daglig drift av datamaskinen din; de kan til og med sendes som en del av operativsystemet. Åpen kildekode-verktøy er limet som holder hele systemet sammen, men kan også være limet som holder sammen ransomware-krypteringsprosessen som låser systemet.

Så da sitter du igjen med å bestemme hvordan de kriminelle handler. Å ha en hammer i hånden i et mekanikerverksted er ikke dårlig før du svinger mot et vindu for å knuse det. På samme måte kan det å oppdage en mistenkelig handling oppdage begynnelsen av et angrep. Men å gjøre dette med hastigheten til nye angrepsvarianter er tøft.

Her i Europa er det en betydelig innsats for å kalle inn regjeringer fra forskjellige land for å dele informasjon om løsepengevaretrender, men gruppene som leder dette er ikke rettshåndhevelse direkte; de kan bare håpe at rettshåndhevelsesjurisdiksjoner handler raskt. Men det skjer ikke i hastigheten til skadelig programvare.

Skyen har definitivt hjulpet, siden sikkerhetsløsninger kan utnytte den til å presse ut oppdaterte scenarier før angrep datamaskinen din burde utløse for å stoppe et angrep.

Og det reduserer levetiden til effektive løsepengevareverktøy og -teknikker, slik at de ikke tjener mye penger. Det koster penger for de slemme gutta å utvikle god løsepengevare, og de vil ha tilbakebetaling. Hvis nyttelasten deres bare fungerer en eller to ganger, lønner det seg ikke. Hvis det ikke lønner seg, vil de gjøre noe annet som gjør det, og kanskje organisasjoner kan gå tilbake til virksomheten.

Sikkerhetskopier stasjonen

Ett profftips fra konferansen: Sikkerhetskopier de krypterte dataene dine hvis du blir rammet av løsepengeprogramvare. I tilfelle en dekryptering til slutt blir utgitt, kan du fortsatt ha en sjanse til å gjenopprette tapte filer i fremtiden. Ikke at det hjelper deg akkurat nå.

Den beste tiden å sikkerhetskopiere ting er selvfølgelig når du ikke blir presset av løsepengevare, men det er aldri for sent å begynne. Selv om den er over et tiår gammel på dette tidspunktet, er WeLiveSecuritys guide til Grunnleggende om sikkerhetskopiering gir fortsatt praktisk informasjon gir praktisk informasjon om hvordan du kan nærme deg problemet og utvikle en løsning som fungerer for ditt hjem eller en liten bedrift.

ESET versus løsepengevare

I tilfelle du lurer på hvor ESET står for å lage løsepengevaredekryptering, har vi en blandet tilnærming: vi ønsker å beskytte folk mot løsepengevare (som vi ofte klassifiserer som Diskcoder eller Filecoder malware), samt tilby måter å gjenopprette data. Samtidig ønsker vi ikke å varsle de kriminelle gjengene bak denne plagen om at vi har gjort det teknologiske tilsvarer å åpne deres låste dører med et sett med digitale låsehakker.

I noen tilfeller kan en dekryptering publiseres og gjøres tilgjengelig for allmennheten gjennom ESET Knowledgebase-artikkel Frittstående verktøy for fjerning av skadelig programvare. På publiseringstidspunktet har vi omtrent et halvt dusin dekrypteringsverktøy tilgjengelig der. Andre slike verktøy er tilgjengelige på nettstedet til No More Ransom-initiativet, som ESET har vært en assosiert partner for siden 2018. I andre tilfeller skriver vi imidlertid dekrypteringer, men legger ikke ut informasjon om dem offentlig.

Kriteriene for om man skal kunngjøre at en dekryptering har blitt utgitt varierer med hver del av løsepengevare. Disse avgjørelsene er basert på en nøye vurdering av mange faktorer, for eksempel hvor produktiv løsepengevaren er, dens alvorlighetsgrad, hvor raskt løsepengevareforfatterne retter kodefeil og feil i sin egen programvare, og så videre.

Selv når partene kontakter ESET for å få hjelp med å dekryptere dataene deres, deles ikke spesifikk informasjon om hvordan dekrypteringen ble utført offentlig offentlig for å la dekrypteringen fungere så lenge som mulig. Vi føler at dette gir den beste avveiningen mellom å beskytte kunder mot løsepengevare, samtidig som de kan hjelpe til med å dekryptere løsepengefiler i lengst mulig tid. Når kriminelle er klar over at det er hull i krypteringen deres, kan de fikse dem, og det kan ta lang tid før andre feil kan bli funnet som gjør at data kan gjenopprettes uten at eieren blir presset ut.

Å håndtere løsepengevare, både operatørene og løsepengekoden i seg selv, er en vanskelig prosess, og det er ofte et sjakkspill som kan ta uker eller måneder eller til og med år å spille når de gode gutta kjemper mot de slemme. ESETs oppfatning av dette er å prøve å gjøre maksimalt godt, noe som betyr å hjelpe så mange mennesker som mulig i lengst mulig tid. Det betyr også at hvis du kommer over et løsepengevare-påvirket system, ikke gi opp håpet, det er fortsatt en ekstern sjanse for at ESET kan være i stand til å hjelpe deg med å få tilbake dataene dine.

Ransomware kan være et problem som ikke forsvinner med det første, men ESET står klar til å beskytte deg mot det. Å forhindre det i utgangspunktet er likevel langt bedre enn å kurere det.