Decyzja o udostępnieniu deszyfratora ransomware wymaga delikatnego wyważenia między pomocą ofiarom w odzyskaniu ich danych a ostrzeganiem przestępców o błędach w ich kodzie
Ransomware – plaga bezpieczeństwa współczesnego, cyfrowego świata – staje się coraz bardziej niebezpieczna. Był edukowanie użytkowników o tym, co mają robić, ale trudno jest wyprzedzić zabójcze szyfrowanie rozproszone wokół warstw zaciemnionych cyfrowych ścieżek, które ukrywają czyny złoczyńców i twoje pliki. Tymczasem myto grzebie przedsiębiorstwa i wiąże ręce prawodawców błagających o rozwiązanie. Ale jeśli złamiemy klucze do oprogramowania ransomware, czy nie pomożemy złoczyńcom ulepszyć go następnym razem?
Wcześniej w tym miesiącu na digital warsztat w samym sercu Republiki Czeskiej twórcy deszyfratorów ransomware opowiedzieli uczestnikom, w jaki sposób złamali część kodu i odzyskali dane użytkowników. Dzięki starannej analizie czasami znajdowali błędy w implementacjach lub operacjach przestępców, co pozwalało im odwrócić proces szyfrowania i przywrócić zaszyfrowane pliki.
Ale kiedy dobrzy faceci ogłaszają publicznie to narzędzie, oszuści szybko rekonfigurują swoje towary za pomocą taktyk, które są „całkowicie niemożliwe do zhakowania”, uniemożliwiając naukowcom złamanie kolejnej partii plików. Zasadniczo badacze debugują dla nich towary oszustów w niecnotliwym cyklu.
Więc nie naprawiamy tego, gonimy za tym, reagujemy na to, malujemy szkody. Jednak jakikolwiek sukces może być przejściowy, ponieważ ożywienie po ogromnej dewastacji pozostaje niemożliwe dla małych firm, które czuły, że musiał zapłacić, aby pozostać w biznesie.
Rządy – mimo dobrych intencji – również reagują. Mogą rekomendować, pomagać w procesie reagowania na incydenty i być może wysyłać wsparcie, ale jest to również reaktywne i nie zapewnia komfortu świeżo wypatroszonemu biznesowi.
Więc przechodzą na śledzenie finansów. Ale źli faceci są zwykle dobrzy w ukrywaniu się – mogą sobie pozwolić na wszystkie dobre narzędzia, płacąc duże pieniądze, które właśnie ukradli. I, szczerze mówiąc, mogą wiedzieć więcej niż wielu aktorów rządowych. To jak ściganie samochodu wyścigowego F1 z dość szybkim koniem.
Tak czy inaczej, badacze muszą być kimś więcej niż tylko beta testerami dla przestępców.
Nie możesz po prostu wykryć narzędzi cyberprzestępców i je zablokować, ponieważ mogą oni wykorzystać standardowe narzędzia systemowe używane do codziennej obsługi komputera; mogą nawet być dostarczane jako część systemu operacyjnego. Narzędzia open-source to spoiwo, które spaja cały system, ale może też być spoiwem, które spaja proces szyfrowania ransomware, który blokuje system.
Więc musisz określić, jak działają przestępcy. Posiadanie młotka w dłoni w warsztacie mechanicznym nie jest złe, dopóki nie uderzysz w okno, aby je rozbić. Podobnie wykrycie podejrzanej akcji może wykryć początek ataku. Ale robienie tego przy szybkości nowych wariantów ataku jest trudne.
Tutaj, w Europie, podejmuje się znaczne wysiłki w celu zwołania rządów z różnych krajów w celu wymiany informacji na temat trendów związanych z oprogramowaniem ransomware, ale grupy, które temu przewodzą, nie są bezpośrednio organami ścigania; mogą tylko mieć nadzieję, że jurysdykcje organów ścigania zaczną działać szybko. Ale to nie dzieje się z prędkością złośliwego oprogramowania.
Chmura zdecydowanie pomogła, ponieważ rozwiązania bezpieczeństwa mogą ją wykorzystać do wypychania najświeższych scenariuszy poprzedzających atak, które komputer powinien uruchomić, aby powstrzymać atak.
I skraca żywotność skutecznych narzędzi i technik ransomware, więc nie zarabiają dużo pieniędzy. Opracowywanie dobrego oprogramowania ransomware kosztuje przestępców, a oni chcą zwrotu pieniędzy. Jeśli ich ładunki działają tylko raz lub dwa razy, to się nie opłaca. Jeśli to się nie opłaca, zajmą się czymś innym, co się opłaca, i być może organizacje będą mogły wrócić do biznesu.
Utwórz kopię zapasową dysku
Jedna profesjonalna wskazówka z konferencji: wykonaj kopię zapasową zaszyfrowanych danych, jeśli zostaniesz trafiony przez oprogramowanie ransomware. W przypadku, gdy deszyfrator zostanie ostatecznie wydany, nadal możesz mieć szansę na przywrócenie utraconych plików w przyszłości. Nie żeby ci to teraz pomogło.
Najlepszy czas na tworzenie kopii zapasowych jest oczywiście wtedy, gdy nie jesteś wyłudzany przez oprogramowanie ransomware, ale nigdy nie jest za późno, aby zacząć. Chociaż w tym momencie ma ponad dekadę, przewodnik WeLiveSecurity Podstawy tworzenia kopii zapasowych nadal dostarcza praktycznych informacji zawiera praktyczne informacje o tym, jak podejść do problemu i opracować rozwiązanie, które sprawdzi się w Twoim domu lub małej firmie.
ESET kontra ransomware
Jeśli zastanawiasz się, jak firma ESET zajmuje się tworzeniem narzędzi deszyfrujących ransomware, stosujemy podejście mieszane: chcemy chronić ludzi przed oprogramowaniem ransomware (które często klasyfikujemy jako złośliwe oprogramowanie Diskcoder lub Filecoder), a także zapewniać sposoby odzyskiwania danych. Jednocześnie nie chcemy ostrzegać gangów przestępczych stojących za tą plagą, że dokonaliśmy technologicznego odpowiednika otwarcia ich zamkniętych drzwi za pomocą zestawu cyfrowych wytrychów.
W niektórych przypadkach narzędzie do odszyfrowywania może zostać opublikowane i udostępnione publicznie w artykule bazy wiedzy firmy ESET Samodzielne narzędzia do usuwania złośliwego oprogramowania. W momencie publikacji dostępnych jest tam około pół tuzina narzędzi deszyfrujących. Inne tego typu narzędzia są dostępne na stronie strona internetowa inicjatywy No More Ransom, którego ESET jest partnerem stowarzyszonym od 2018 roku. Jednak w innych przypadkach piszemy deszyfratory, ale nie publikujemy o nich informacji.
Kryteria ogłaszania udostępnienia narzędzia deszyfrującego różnią się w zależności od oprogramowania ransomware. Decyzje te opierają się na dokładnej ocenie wielu czynników, takich jak rozpowszechnienie oprogramowania ransomware, jego powaga, szybkość, z jaką autorzy oprogramowania ransomware łatają błędy w kodzie i luki w swoim własnym oprogramowaniu itd.
Nawet jeśli strony kontaktują się z firmą ESET w celu uzyskania pomocy przy odszyfrowaniu danych, szczegółowe informacje na temat sposobu przeprowadzenia odszyfrowania nie są udostępniane publicznie, aby umożliwić jak najdłuższe działanie odszyfrowywania. Uważamy, że zapewnia to najlepszy kompromis pomiędzy ochroną klientów przed oprogramowaniem ransomware, a jednocześnie możliwością pomocy w odszyfrowaniu plików zawierających oprogramowanie ransomware przez możliwie najdłuższy czas. Gdy przestępcy zorientują się, że w ich szyfrowaniu występują luki, mogą je naprawić, a wykrycie innych luk umożliwiających przywrócenie danych bez wyłudzania ich właściciela może zająć dużo czasu.
Radzenie sobie z oprogramowaniem ransomware, zarówno jego operatorami, jak i samym kodem ransomware, jest trudnym procesem i często jest to gra w szachy, która może trwać tygodnie, miesiące, a nawet lata, gdy dobrzy walczą ze złymi. Celem firmy ESET jest próba czynienia jak największej ilości dobra, co oznacza pomaganie jak największej liczbie osób przez jak najdłuższy czas. Oznacza to również, że jeśli natkniesz się na system dotknięty oprogramowaniem ransomware, nie trać nadziei, nadal istnieje zewnętrzna szansa, że firma ESET może pomóc w odzyskaniu danych.
Oprogramowanie ransomware może stanowić problem, który nie zniknie w najbliższym czasie, ale firma ESET jest gotowa chronić Cię przed nim. Przede wszystkim zapobieganie jest jednak o wiele lepsze niż leczenie.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- ransomware
- VPN
- Żyjemy w bezpieczeństwie
- zabezpieczenia stron internetowych
- zefirnet
