Ransomware nədir?
Ransomware, qurbanın məlumatlarını fidyə olaraq saxlamaq üçün quraşdırmadan istifadə edərək işləyən proqramdır. İstifadəçi və ya təşkilatın kritik işləri aparılır ki, onlar fayllara, verilənlər bazalarına və ya proqramlara daxil ola bilməyəcəklər. Daha sonra giriş təmin etmək üçün fidyə tələb olunur. Ransomware tez-tez bir şəbəkə və nəzarət bazası və fayl serverləri arasında yayılmaq üçün saxlanılır və beləliklə, bütün təşkilatı tez bir zamanda bir iflic edə bilər. Bu, kibercinayətkarlara milyardlarla dollar ödənişlər yaradan, biznes və hökumət təşkilatlarına təhlükə və xərclər gətirən artan təhlükədir.
Ransomware necə işləyir?
Ransomware asimmetrik qurğulardan istifadə edir. Bu, faylı istifadə etmək və deşifrə etmək üçün bir cüt açardan istifadə edən kriptoqrafiyadır. İctimai-xüsusi açar cütü nümayişkar qurbanı üçün unikal şəkildə yaradılır, şəxsi açarları izləyənlər serverində təhlükəsizlik fayllarını açır. Təcavüzkar şəxsi açarı qurbana yalnız fidyə təyin edildikdən sonra təqdim edir, baxmayaraq ki, son ransomware kampaniyalarında göründüyü kimi, belə olmur. Şəxsi açara giriş olmadan, fidyə üçün gizli faylların birləşməsini açmaq olar ki, mümkün deyil.
Ransomware-nin bir çox variantı mövcuddur.
Çox vaxt ransomware (və başqa təhlükəli proqramlar) e-poçt spam kampaniyaları və ya hədəflənmiş hücumlar vasitəsilə yayılır. Zərərli proqram son nöqtədə mövcudluğunu etmək üçün hücum vektoruna ehtiyac duyur. Mövcudluq tədqiqindən sonra yüklü proqram öz tapşırığı yerinə yetirilənə qədər sistemdə. Uğurlu istismardan sonra, təhlükə aktyoru yoluxmuş sistemdə təhlükəli binar faylı buraxır və icra edir. Bu binar sonra Microsoft Word sənədləri, şəkillər, verilənlər bazası və s. kimi qiymətli faylları axtarır və axtarır. Ransom proqram təminatı, həmçinin digər sistemlərə və ola bilsin ki, bütün təşkilatlara yayılmaq üçün sistem və şəbəkə zəifliklərindən istifadə edilə bilər. Fayllar işə salındıqdan sonra, rans faylların qurğularını açmaq üçün əldə etmək üçün 24-48 saat ərzində fidyə almaq təklif edir, əks halda onlarlıq itiriləcək. Məlumatların ehtiyat nüsxəsi mövcud deyilsə və ya həmin ehtiyat nüsxələrin köməyi ilə yüklənmişsə, qurban şəxsi faylları bərpa etmək üçün fidyə ödəmək məcburiyyətində qalır.
Ransomware niyə yayılır?
Ransomware proqramları və onların variantları bir neçə səbəbə görə profilaktik texnologiyanın müdafiəsini almaq üçün yeni inkişaf edir: Kibercinayətkarlar əhəmiyyətli maliyyə stimulları ilə idarə olunan yeni təhlükəli kod yaratmaq üçün hazır olan vasitələrdən istifadə edilir. Platformalar arası ransomware üçün yaradılmış ümumi yaxşı tərcüməçilərdən istifadə olunur (Ransom32 JavaScript yükü ilə Node.js-dən istifadə olunur) Seçilmiş faylların tam diskin quraşdırılması kimi yeni üsulların istifadəsi İndiki oğrular texnologiyadan xəbərdar olmaq məcburiyyətində deyillər. Ransomware bazarları onlayn olaraq böyüyərək, hər hansı bir kibertəhlükəsizlik üçün zərərli proqram ştammlarını təklif edir və tez-tez fidyə gəlirlərinin kəsilməsini tələb edən hüquqi proqram müəllifləri üçün əlavə qazanc əldə edir.
Ransomware cinayətkarlarını tapmaq niyə bu qədər çətindir?
Ransomware proqramlarının arxasında olan şəxslərin əldə edilməsi kibercinayətkarları aşkara çıxarmaq və təqib etmək qoruyan amillərin birləşməsi hücumdan təhlükə bir problemdir. Qlobal dairəsi və yurisdiksiya məsələləri Ransomware hücumçuları dünyanın istənilən kompüterinə yerləşə bilər. Onlar tez-tez güclü kibercinayətkarlıq qanunları olmayan və ya beynəlxalq hüquq-mühafizə orqanları ilə sıx əməkdaşlıq edən bölgələrdə fəaliyyət göstərirlər. Bu, cinayətkarların ekstradisiya riski və ya hüquqi nəticələrinin azaldılması ilə hərəkət etmək imkanı “təhlükəsiz sığınacaqlar” yaradır.
Anonimlik və qaranlıq alətləri
Kibercinayətkarlar Tor şəbəkəsi və başqa qurğular yığılmış rabitə kanalları kimi şəxsiyyətləri gizlətmək üçün təhlükəsizlik texnologiyalarına etibar edirlər. Bu alətlər internet trafikinin mənşəyini gizlədir və bu, onlayn şəxsi konkret şəxs və ya məkanla işləməyi çətinləşdirmək üçün. Kriptovalyuta və çirkli pulların yuyulması Fidyə tələbləri demək olar ki, kriptovalyutada olur (məsələn, Bitcoin, Monero). İzləmək mümkün da, bu valyutalar tez-tez mikserlər və zəif qaydalara malik kriptovalyutalar yuyulur. Bu, pul yolunu izləmək çətindir, lakin qeyri-mümkün deyil. Qarşıdurma və “güllə keçirməz” hostinqdən istifadə olunur Cinayətkarlar tez-tez silinmə sorğularına məhəl qoymayan və ya icra etməkdən hosting provayderlərindən istifadə edilir. Bu “güllə keçirməyən” xidmətlərə nəzarət edən şəxslərə hüquq-mühafizə orqanlarının əli çatmayan qanuni əmr və idarəetmə serverləri və ya məlumatların buraxılması nöqtələrini gizlətməyə imkan verir. Texniki incəlik Ransomware qrupları tez-tez qabaqcıl texnikalardan istifadə etmək üçün resurslara malikdirlər. Onlar çox səviyyəli hücumlardan istifadə edə, sıfır gün zəifliklərindən istifadə etmək və ya təhlükəli proqramları yerləşdirmədən əvvəl hədəflənmiş şəbəkələrdə geniş əməliyyat apara bilər. Bu texniki bacarıq onlara aşkarlanmadan qaçmağa və izlərini örtməyə kömək edir.
İnfrastrukturun tez-tez dəyişdirilməsi
Təcavüzkarlar mütəmadi olaraq infrastrukturlarını (serverlər, domenlər və IP idarələri) köçürür və onlara hərəkət istiqamətləndirir. Hüquq-mühafizə orqanlarının serveri və ya domenilərə görə cinayətkarlar artıq əməliyyatları başqa yerə köçürmüş ola bilər. Mütəşəkkil cinayət şəbəkələri Ransomware üçün daha böyük mütəşəkkil cinayət əməliyyatının bir hissəsidir. Bu tədbirlərdə təmaskarlar yaxşı maliyyələşir, avadanlıqdan təchizat zəncirini (inkişaf etdirənlər, aparan şəxslər, çirklilərin yuyulması) təmin edilən və əməliyyatların bir hissəsi bağlanarsa, təhlükəyə məruz qalmış aktivləri tez bir zamanda əvəz edə bilər.
Gecikmiş hesabat
Reputasiya vasitələrinin məlumatların əldə edilməsi qorxusu və ya hüquqi təsirlərdən (məhz,xfiliyi) narahatçılıq üçün ransware hücumları haqqında məlumatı gecikdirmək və ya yayına. Bu məhdud görünənlərə təqdim edilənlərin köməyini azaldır.
Ransomware-as-a-service (RaaS) nədir?
Ransomware-as-a-service kibercinayətkarlıq iqtisadi modeldir ki, bu da hüquqi proqram tərtibatçılarına təhdidlərini yaymağa ehtiyac olmadan öz yaradıcılıqları üçün pul qazanmağa imkan verir. Digər cinayətkarlar mallarını alır və eyni cinayətləri işə salır, zamanda tərtibatçılara aldıqları müəyyən faizini ödəyirlər. Tərtibatçılar görür az risklə işləyənlər və işin çoxunu onların sifarişi. Ransomware-as-a-xidmətinin bəzi halları abunəliklərdən istifadə edir, digərləri üçün ransomware-ə giriş əldə etmək üçün qeydiyyat tələb olunur. əsas
Ransomware ilə bağlı qorxular hansılardır?
Ransomware hücumları hədəf alındı və qəsb risklər bizneslərin həyata keçirdiyi əməliyyatlar və mürəkkəb inkişaf yaradır:
məlumatların saxlanması və itkisi
Ransomware kritik xəbərdarlıq şifrləyir və onu deşifrə açarı olmadan əlçatmaz edir ki, bu da müşahidəkarların çox vaxt yalnız ödəniş aldıqdan sonra təmin edir. Fidyəni yerinə yetirmək belə, məlumatlarınızı tam bərpa etmək üçün heç bir zəmanət yoxdur və bəziləri yeniləmək itirilə bilər.
İkiqat qəsb
Bir ransomware hücumları indidən əməliyyatlardan əvvəl məlumatların oğurlanmasını araşdırır. Təcavüzkarlar daha sonra fidyə kömək etməsə, oğurlanmış xəbərdarlıq buraxmaqla hədələyirlər ki, bu da qurbanlara təzyiqi artırır.
Biznesin pozulması
Ransomware hücumları kritik sistemlərə və məlumatlara girişin qarşısını almaq əməliyyatları poza bilər, məhsuldarlığın itirilməsinə və potensial potensiala səbəb ola bilər.
Reputasiyaya zərbə
Ransomware hücumunun üzə çıxmasına səbəb ola bilər.
Hüquqi və tənzimləyici təsirlər
Ransomware hücumunda pozulan məlumat növündən asılı olaraq, şirkətlər məlumatların təsirinə görə hüquqi təsirlə və tənzimləyicilərlə bacarıqlara görə bilər.
Ransomware-dən necə qorunmaq olar?
Ransomware-dən qaçınmaq və hücuma məruz qaldığınız zaman zərəri azaltmaq üçün bu ipuçlarına əməl edin:
İşçiləri Maarifləndirin və Təlim Kecin:
İşçilər ransomware-dən müdafiənin ilk istiqamətidir. Potensial təhlükələri aşkar etmək üçün güclü kibergigiyəna və sayıqlığını vurğulayın. İşçilərin fişinqlərini və birləşməli e-poçtları tanımağa öyrətmək riskli hərəkətlərdəndir və təhlükəsiz onlayn davranışı məhdudlaşdırmaq üçün ciddi təlim proqramları həyata keçirir. Sıfır Güvən Strategiyasını keçirin:
Təhlükəsizliyə sıfır inam yanaşmasını qəbul etmək, standart olaraq heç kimə etibar etməmək. Doğrulama və davamlı autentifikasiya bu strategiyanın əsas komponentləridir və mikro-seqmentasiya kritik aktivləri potensial təhlükələrdən təcrid etməyə kömək edə bilər.
E-poçt Təhlükəsizliyini Təkmilləşdirin:
E-poçt ransomware hücumlarında ilkin giriş üçün əsas vektordur. E-poçt təhlükəsizliyini təmin etmək üçün e-poçt filtri və anti-fişinq tədbirləri tətbiq edin. Təhlükələri artırmaq və onlara effektiv cavab vermək üçün işçilərə e-poçt təhlükəsizliyinin ən yaxşı təcrübələri üzrə təlim keçin.
Oflayn ehtiyat nüsxələrini qeyd edin:
Mütəmadi olaraq kritik məlumatların ehtiyat nüsxəsini çıxararaq, ransomware hücumu zamanı məlumatların bərpasını təmin edin. Bu nüsxələri oflay və təcrid olunmuş vəziyyətdə saxlan, təhlükəyə məruz qalmasın. Onlar tərəfindən tutulduğu kimi işləməsini təmin etmək üçün məlumatların bərpası prosedurlarını mütəmadi olaraq sınaqdan keçirin.
Hadisəyə Cavab Planı yaradın:
Ransomware insidentinə tez və effektiv cavab hazırlamaq çox vacibdir. Rol və məsuliyyətləri əks etdirən aydın hadisəyə cavab planı hazırlayın. Böhran zamanı tutulduğu kimi təmirini təmin etmək üçün planı mütəmadi olaraq yeniləyin və sınaqdan keçirin.
Son nöqtə üzrə EDR (Endpoint Detection and Response) ilə gücləndirin:
Qabaqcıl son təhlükəsizlik ilə cihazlarınızı və təhlükəsiz qoruyun. Real vaxt rejimində monitorinq və cavab imkanlarını əldə etmək mümkündür, davranışa əsaslanan təhlükənin aşkarlanmasından istifadə və şəbəkəniz üçün yanal hərəkətin qarşısını almaq üçün yoluxmuş cihazlar təcrid etməyə hazır olun.
Sistemləri Güncəl Edin və Bilinən Zəiflikləri Yamaqlayın:
Təcavüzkarları qabaqlamaq üçün proqram və sistem mütəmadi olaraq yeniləyin. Məlum zəifliyin skanını və qiymətləndirilməsini həyata keçirin. Əsas daxili reaksiyası ransomware məlumat nöqtələri Aşağıdakı tendensiyalar ransomware-nin tədqiqi və aradan qaldırılması zamanı zonasında insidentlərə cavab olaraq ilkin olaraq tez-tez müşahidə olunur.
Ransomware hücumuna cavab vermək üçün 9 addım
Ransomware hücumuna məruz qaldığınızdan yaranır, tez hərəkət etmək vacibdir. Xoşbəxtlikdən, zərəri minimuma endirmək və ən təhlükəsiz kimi tez bir zamanda işə qayıtmaq üçün sizə mümkün olan yaxşı şansı vermək üçün bir neçə addım atmalısınız.
Yoluxmuş cihazı təcrid edin:
Bir cihaza təsir edən ransomware orta təhlükə yaradır. Müəssisələrin bütün cihazlarını yoluxdurmağa icazə verilir böyük ransomware bir fəlakətdir və sizi genişləndirməkdən kənarlaşdırmaqa. İkisi fərq çox vaxt reaksiyasına düşür. Şəbəkənizin, paylaşılan disk və digər qurğuların təhlükəsizliyini təmin etmək üçün təsirlənmiş cihaz şəbəkəsindən, internetdən və digər cihazlardan mümkün qədər tez ayırma işləri aparılır. bunu nə qədər tez et, başqa cihazların yoluxma ehtimalı bir o qədər az olar.
Yayılmanı dayandırın:
Çünki ransomware infeksiyası ilə bağlı hərəkət edir və ransomware ilə cihaz vasitəsilə xəstə Sıfır deyil – yoluxmuş cihazdır. Onun idarəetmə idarəsini effektiv şəkildə məhdudlaşdırmaq üçün siz bir şəkildə davranan bütün cihazlar, o əlavə binadan kənarda işləyən qurğular şəbəkədən ayırmalısınız – əgər onlar şəbəkəyə qoşulublarsa, harada olmalarından asılı olaraq risk yaradırlar. Bu nöqtədə simsiz əlaqəni (Wi-Fi, Bluetooth və s.) bağlamaq da yaxşı fikirdir.
Dəymiş Zərərinin qiymətləndirilməsi:
Hansı qurğuların xüsusunu etmək üçün xüsusi fayl uzantısı olan bu yaxınlarda quraşdırılmış faylları yoxlayın və qəribə fayl adları və ya faylları açmaqda yolu açılan məlumatlara baxın. Tamamilə təchiz edilmiş hər hansı bir cihaz aşkar etsə, hücumun qarşısını almaq və əlavə xəbərdarlıq itkisinin qarşısını almaq üçün onlar təcrid olunmalı və söndürülməlidir. Məqsədiniz şəbəkə saxlama qurğuları, bulud yaddaşı, xarici disk yaddaşı (USB baş sabit barmaqları daxil olmaqla), noutbuklar, smartfonlar və hər hansı digər mümkün vektorlar daxil olmaqla, təsirə məruz qalan bütün sistemlərin bəzi hissələrini dəyişdirir. Bu nöqtədə səhmləri bağlamaq ehtiyatlıdır. Mümkünsə, onların hamısı məhdudlaşdırılmalıdır; deyilsə, bacardığınız qədər dayandırın. Bunu etmək, hər hansı davam edən maddələrlə işləmə prosesini dayandıracaq və əlavə remediasiya baş verərkən əlavə paylaşımların yoluxmasına mane olacaq. Ancaq bunu etməzdən əvvəl yaradılmış paylaşımlara nəzər salmaq istərdiniz.
Bunu faydalı məlumat əldə edə bilərsiniz:
Əgər bir cihazda adi haldan daha çox açıq fayl varsa, siz indicə Xəstə Sıfırını tapmış ola bilərsiniz. Əks halda…
İnfeskiyanın harda olduğu tapın:
Mənbəni etmədən sonra hücumnı izləmək xeyli asanlaşır. Bunu etmək üçün antivirus anti-antimal proqram, EDR və ya hər hansı monitor aktivinq platformanızdan gələn hər hansı məhsulu yoxlayın. Bəzi ransomware proqram təminatının son istifadəçilərinin hərəkətini tələb etmək olar. Nəhayət, faylların öz xüsusiyyətlərinə nəzər salmaq da bir ipucu verə bilər – sahibi kimi qeyd olunan şəxs, ehtimal ki, giriş nöqtəsidir. (Yadda məlumat ki, birdən çox xəstəlik mənbəsi ola bilər!)
Ransoware proqramı haqqında şəxslərə məlumat verin:
Ransomware olan kimi, bir neçə səbəbə görə hüquq-mühafizə orqanları ilə əlaqə saxlamaq istəyə bilərsiniz. Əvvəllər, ransomware qanuna ziddir və hər hansı digər cinayət kimi, bu barədə aşkar orqanlara məlumat verilməlidir. İkincisi, Birləşmiş Ştatların Federal Təhqiqat Bürosuna görə, “Hüquq-mühafizə orqanları təşkilatlar üçün əlçatmaz olan hüquqi orqanlardan və vasitələrdən istifadə etmək olar”. Beynəlxalq hüquq-mühafizə orqanları ilə iş oğurlanmış və ya yığılmış məlumatların tapılmasına və günahkarların məsuliyyətə cəlb edilməsinə kömək etmək üçün istifadə edilə bilər. Nəhayət, hücumun uyğunluq nəticələri ola bilər: Təşkilatlar GDPR kimi qaydalara uyğunluq əsasında xəbərdar olmalıdırlar ki, bu da əhəmiyyətli amillərin alınması üçün ciddi təhlükəsizlik tədbirləri haqqında məlumatların tənzimlənməsi qaydaları tənzimləyici orqanlara (məlumat, ICO kimi) məlumat verməyi tələb edə bilər.”
Ehtiyyat sürət cıxarmalarınızı qiymətləndirin:
İndi cavab prosesinə başlamağın vaxtıdır. Bunun ən sürətli və asan yolu sistem ehtiyatı nüsxədən bərpa etməkdir. İdeal, faydalı olmaq üçün çox yaxınlarda, yoluxmamış və tam ehtiyat nüsxəniz olacaq. Əgər belədirsə, yeni addım bütün yoluxmuş sistemlərin və cihazların ransomware-dən təmizləndiyini təmin etmək üçün antivirus/antimal proqram həllindən istifadə etməkdir – əks halda o, sisteminizi kilidləməyə və fayllarınızı bərpa etməyə davam edə bilər, potensial olaraq ehtiyat nüsxənizi korlaya bilər. Zərərli proqramların bütün izləri aradan qaldırıldıqdan sonra siz sistemə ehtiyat bu ehtiyatı nüsdən bərpa edə bilərsiniz və (bütün məlumatların bərpasını və bütün proqramlarını bərpa edin və nəticədə yedəkləndiyini və normal işlədiyini etmədikdən sonra) ehtiyat kimi işə qayıdın. Təəssüf ki, bir çox ehtiyat nüsxələrinin yaradılması və saxlanmasının vacibliyini onlara ehtiyac duyana və onlar orada olmayana qədər dərk etmir. Müasir ransomware getdikcə daha mürəkkəb və davamlı olduğundan, ehtiyat nüsxələri yaradan bəzəkləri başa düşürlər ki, ransomware onları da korlayıb və ya proqramlaşdırıb və onları müəyyən yararsız hala salıb.
Şifrə açma seçiminin:
Əgər şəxsən ehtiyatlı ehtiyat nüsxəsiz görürsünüzsə, məlumatlarınızı geri qaytarmaq şansınız hələ də var. Getdikcə artan sayda pulsuz açar açarları No More Ransom-da tapıla bilər. Qarşılaşdığınız ransomware variantı üçün onlardan biri mövcuddur (və indiyə qədər sistemlərinizdən zərərli proqramların bütün izlərini silmisiniz), siz məlumatlarınızın kilidini açmaq üçün açar açma açarından istifadə edə bilərsiniz. Şifrə açan iş üçün çox şanslı olsanız belə, hələ işiniz bitmədi – təmir işləri hələ də saatlar və ya günlər dayana bilər. Yenidən qurma:
Təəssüf ki, etibarlı ehtiyat nüsxələriniz yoxdursa və açar açma açarını tapa bilmirsinizsə, yalnız seçiminizi azaltmaq və sıfırdan başlaya bilərsiniz. Yenidənqurma tez və ya ucuz proses olmayacaq, lakin başqa seçimlər tükətdikdən sonra təmiriniz ən yaxşısı budur.
Nə üçün sadəcə fidyə ödəmək məqsədəuyğun deyl?
Həftələrlə və ya aylarla bərpa ehtimalı ilə birlikdə, fidyə tələbinə boyun əymək cazibədar ola bilər. Ancaq bunun pis fikir olmasının bir səbəbi var:
Heç vaxt açar açarı əldə edə bilməzsiniz.
Bir ransomware tələbini ödədiyiniz zaman bunun müqabilində deşifrə açarı almalısınız. Ancaq ransomware əməliyyatı apardığınız zaman cinayətkarların üstündən asılı olursunuz. Bir çox insanlar və təşkilatlar fidyəni ancaq əvəzində heç nə almamaq üçün ödəyiblər – o zaman onlarla, yüzlərlə və ya quraşdırma dollar pulu var və hələ də öz sistemlərini sıfırdan yenidən qurmaq məcburiyyətindədirlər.
Siz təkrar fidyə tələbləri ala bilərsiniz.
Fidyə ödədikdən sonra ransomware-i yerləşdirən kibercinayətkarlar onların mərhəmətindən asılı olmayaraq bilirlər. Bir az (və ya çox) daha çox işləməyə hazırsınızsa, onlar sizə işlək açar verə bilər.
Siz işləyən bir deşifrə açarı ala bilərsiniz – bir növ.
Ransomware yaradıcıları faylların bərpası maraqlı deyil; onlar pul qazanma maraqlidir. Başqa sözlə, deşifrə cinayətkarların sövdələşmənin sonunu saxladıqlarını söyləmək üçün çox yaxşı ola bilər. Üstəlik, işləmə prosesinin özünün kiçik faylları təmir oluna bilər şəkildə korlaması eşidilən deyil. Bu baş verərsə, çox yaxşı deşifrə açarı da fayllarınızın kilidini aça bilməyəcək – onlar artıqlik yox olacaq.
