Beslutet att släppa en ransomware-dekryptering innebär en delikat balansgång mellan att hjälpa offer att återställa sina data och att uppmärksamma brottslingar på fel i deras kod
Ransomware – den moderna digitala världens säkerhetsgissel – blir bara farligare. Det är vi utbilda användare om vad de ska göra, men det är svårt att ligga steget före den mördande kryptering som spritsas frikostigt runt lager av obfuskerade digitala spår som döljer skurkarnas gärningar och dina filer. Samtidigt begraver avgiften företag och binder händerna på lagstiftare som ber om en lösning. Men om vi öppnar nycklarna till ransomware, hjälper vi inte bara de onda att göra det bättre nästa gång?
Tidigare denna månad på en digital verkstad i hjärtat av Tjeckien delade utvecklare av ransomware-dekrypteringar med deltagarna hur de knäckte en del av koden och fick tillbaka användarnas data. Genom noggrann analys kunde de ibland hitta fel i skurkarnas implementeringar eller operationer, vilket gjorde att de kunde vända krypteringsprocessen och återställa de kodade filerna.
Men när bra killar tillkännager verktyget för allmänheten, konfigurerar bedragarna snabbt om sina varor med taktik som är "mer fullständigt ohackbar", vilket hindrar forskare från att öppna nästa parti filer. I grund och botten felsöker forskarna bedragarnas varor åt dem i en icke-dygdig cykel.
Så vi fixar det inte, vi jagar det, reagerar på det, målar över skadan. Men varje framgång kan vara övergående, eftersom återhämtning från huvuddelen av förödelsen fortfarande är omöjlig för de små företagen som kände att de var tvungen att betala för att stanna i verksamheten.
Regeringar – trots sina goda avsikter – är också reaktiva. De kan rekommendera, hjälpa till med processen för incidentrespons och kanske skicka sitt stöd, men det är också reaktivt och ger lite tröst för en nyskadad verksamhet.
Så de byter till spåra ekonomi. Men de onda är oftast bra på att gömma sig – de har råd med alla bra verktyg genom att betala de stora pengarna de just stal. Och ärligt talat kan de veta mer än många statliga aktörer. Det är som att jaga en F1-racingbil med en lagom snabb häst.
Oavsett vilket måste forskare vara mer än betatestare för skurkarna.
Du kan inte bara upptäcka cyberbrottslingarnas verktyg och blockera dem heller, eftersom de kan utnyttja standardsystemverktyg som används för den dagliga driften av din dator; de kan till och med levereras som en del av operativsystemet. Verktyg med öppen källkod är limmet som håller ihop hela systemet, men kan också vara limmet som håller ihop ransomware-krypteringsprocessen som låser systemet.
Så då har du kvar att bestämma hur brottslingarna agerar. Att ha en hammare i handen i en mekanikerverkstad är inte dåligt förrän du svänger mot ett fönster för att krossa det. På samma sätt kan upptäcka en misstänkt handling upptäcka början av en attack. Men att göra detta i takt med nya attackvarianter är tufft.
Här i Europa görs betydande ansträngningar för att sammankalla regeringar från olika länder för att dela information om ransomware-trender, men de grupper som leder detta är inte direkt brottsbekämpande; de kan bara hoppas att brottsbekämpande jurisdiktioner agerar snabbt. Men det händer inte i hastigheten med skadlig programvara.
Molnet har definitivt hjälpt, eftersom säkerhetslösningar kan utnyttja det för att driva ut aktuella scenarier före attacken som din dator borde utlösa för att stoppa en attack.
Och det minskar livslängden för effektiva verktyg och tekniker för ransomware så att de inte tjänar mycket pengar. Det kostar pengar för skurkarna att utveckla bra ransomware, och de vill ha en återbetalning. Om deras nyttolaster bara fungerar en eller två gånger, lönar det sig inte. Om det inte lönar sig, kommer de att göra något annat som gör det, och kanske organisationer kan gå tillbaka till verksamheten.
Säkerhetskopiera enheten
Ett proffstips från konferensen: Säkerhetskopiera din krypterade data om du drabbas av ransomware. Om en dekryptering så småningom släpps, kan du fortfarande ha en chans att återställa förlorade filer i framtiden. Inte för att det hjälper dig just nu.
Den bästa tiden att säkerhetskopiera saker är naturligtvis när du inte utpressas av ransomware, men det är aldrig för sent att börja. Även om det är över ett decennium gammalt vid det här laget, WeLiveSecuritys guide till Grundläggande säkerhetskopiering ger fortfarande praktisk information ger praktisk information om hur man griper sig an problemet och utvecklar en lösning som fungerar för ditt hem eller småföretag.
ESET kontra ransomware
Om du undrar var ESET står för att skapa ransomware-dekrypteringar, har vi ett blandat tillvägagångssätt: vi vill skydda människor mot ransomware (som vi ofta klassificerar som Diskcoder eller Filecoder malware), samt tillhandahålla sätt att återställa data. Samtidigt vill vi inte varna de kriminella gängen bakom detta gissel om att vi har gjort den tekniska motsvarigheten till att öppna deras låsta dörrar med en uppsättning digitala låsplockar.
I vissa fall kan en dekryptering publiceras och göras tillgänglig för allmänheten via ESET Knowledgebase-artikel Fristående verktyg för borttagning av skadlig programvara. Vid tidpunkten för publicering har vi för närvarande ett halvdussin dekrypteringsverktyg tillgängliga där. Andra sådana verktyg finns tillgängliga på webbplatsen för initiativet No More Ransom, som ESET har varit en associerad partner till sedan 2018. I andra fall skriver vi dock dekrypteringar men publicerar inte information om dem offentligt.
Kriterierna för om man ska meddela att en dekryptering har släppts varierar med varje del av ransomware. Dessa beslut är baserade på en noggrann bedömning av många faktorer, såsom hur produktiv ransomware är, dess svårighetsgrad, hur snabbt ransomware-författarna korrigerar kodningsbuggar och brister i sin egen programvara, och så vidare.
Även när parter kontaktar ESET för att få hjälp med att dekryptera deras data, delas inte specifik information om hur dekrypteringen utfördes offentligt för att tillåta dekrypteringen att fungera så länge som möjligt. Vi anser att detta ger den bästa avvägningen mellan att skydda kunder mot ransomware samtidigt som de fortfarande kan hjälpa till med att dekryptera ransomware-filer under så lång tid som möjligt. När brottslingar väl är medvetna om att det finns hål i deras kryptering, kan de fixa dem, och det kan ta lång tid innan andra brister kan hittas som gör att data kan återställas utan att dess ägare utpressas.
Att hantera ransomware, både dess operatörer och själva ransomware-koden, är en knepig process, och det är ofta ett schackspel som kan ta veckor eller månader eller till och med år att spela ut när de goda kämpar mot de onda. ESET:s syn på detta är att försöka göra så mycket nytta som möjligt, vilket innebär att hjälpa så många människor som möjligt under så lång tid som möjligt. Det betyder också att om du stöter på ett ransomware-påverkat system, ge inte upp hoppet, det finns fortfarande en extern chans att ESET kan hjälpa dig att få tillbaka din data.
Ransomware kan vara ett problem som inte försvinner snart, men ESET står redo att skydda dig mot det. Att förhindra det i första hand är fortfarande mycket bättre än att bota det.
