Come fa il ransomware a entrare nei computer delle persone?

123

Ho notato una maggiore frequenza di domande ransomware su Stack Exchange. Alcune delle persone che ho conosciuto a distanza hanno recentemente infettato anche i loro dispositivi.

Sto iniziando a preoccuparmi. Quando le persone mi chiedono come evitare i virus, di solito dico loro cose come non scaricare file da siti Web sospetti e allegati diversi dai documenti. Ma è davvero corretto da parte mia presumere che le persone che si infettano abbiano eseguito file sospetti sul loro computer?

Questa preoccupazione aumenta soprattutto ora quando vedo le domande di persone che sono state infettate qui su Stack Exchange - il che significa che le persone tecnicamente consapevoli sono ovviamente altrettanto vulnerabili.

Come può il ransomware avere sui loro computer? Qual è un buon modo per evitare che ciò accada?

    
posta Tomáš Zato 13.04.2016 - 10:43
fonte

4 risposte

73

Secondo il report trimestrale sull'intelligence delle minacce X-Force di IBM, il quarto trimestre 2015, le fonti primarie di attacco ransomware sono vulnerabilità prive di patch, infezioni drive-by e e-mail di spear-phishing:

Fonte: IBM X-Force

Come prevenire gli attacchi di ransomware

Formazione degli utenti

Educa i tuoi utenti a non scaricare file da contatti sconosciuti. Solitamente il ransomware viene inviato in e-mail che richiedono fatture in sospeso con documenti Word. Quando apri il documento, ransomware verrà installato e inizierà a fare il suo lavoro.

Scansione e filtraggio dei server di posta

Scansiona i tuoi server di posta per impedire che i tentativi di phishing raggiungano i destinatari previsti.

Dati di backup regolarmente

Assicurati di eseguire regolarmente il backup dei dati critici e di proteggerli. Ciò ti aiuterà a evitare il pagamento del riscatto e a ridurre i tempi di recupero.

vulnerabilità? Patch software e OS critici subito

Racchiudi i tuoi software critici come browser, plug-in del browser, client di posta elettronica e sistemi operativi subito dopo aver ricevuto una notifica. Sapevi che la perdita di Panama Papers (2,6 TB di dati) è avvenuta perché di server Web vulnerabili e server di posta ?

Guarda la crescita del ransomware negli ultimi tre anni:

Fonte: McAfee Labs, 2015.

    
risposta data 13.04.2016 - 12:46
fonte
45

Anche se le misure che descrivi nella tua domanda non sono sbagliate, non sono nemmeno corrette:

  • Anche i documenti non sono sicuri.

    • Spesso, gli exploit si presentano sotto forma di interestingFile.txt.exe .

      Windows nasconde il .exe per impostazione predefinita porta gli utenti a pensare che sia solo un file di testo quando effettivamente eseguono il codice.

      Esistono altri modi per impedire che il codice eseguibile venga riconosciuto come tale anche dall'utente. Ad esempio, utilizzando Unicode e il marchio da destra a sinistra , come suggerito dai PlasmaHH nei commenti.

    • Esiste una varietà di malware macro per i prodotti Office.

  • Drive-by exploits

    Quelle sono una minaccia reale per tutti, non solo usando 2-3 siti web e tutti seguono ciecamente i link.

    Questo è particolarmente vero in quanto ci sono (molti?) exploit zero day che sono sconosciuti al pubblico e quindi non ancora risolti. Ci sono anche eventi come pwn2own , che mostrano tali exploit dal vivo - andando su un sito web preparato, che può essere.

Infatti, come Philipp indica correttamente nei commenti, le infezioni possono accadere su qualsiasi sito web in contenuto incluso da qualcos'altro - ad esempio annunci.

L'altra parte della tua domanda tende ad essere

Why is there so much ransomware now and there weren't so many infections before?

Bene, perché il ransomware tende ad essere più redditizio rispetto all'utilizzo di infezioni per stabilire una rete bot - che di solito passava inosservata alla maggior parte degli utenti (come era il punto).

Quindi non c'è stato un aumento reale delle infezioni - solo un aumento della visibilità delle infezioni.

Per indirizzare la domanda del sistema operativo dai commenti

Windows di solito è - come ha la più grande quota di mercato - il più mirato (da tutti i malware), ma il ransomware esiste anche per i gusti * NIX. Questo include Mac OS X e Linux.

Mac OS X che viene sfruttato come drive-by è stato mostrato in questi anni in Pwn2Own se non sbaglio.

    
risposta data 13.04.2016 - 10:54
fonte
11

Sei al sicuro dal ransomware semplicemente non scaricando file sospetti?

Sfortunatamente, è un errore presumere di essere al sicuro dal ransomware semplicemente non scaricando file da siti Web sospetti.

Ad esempio, proprio il mese scorso, la versione OS X del popolare client BitTorrent Transmission (v2.90) era infetto con ransomware. Questa versione infetta di Transmission è stata distribuita attraverso il sito Web ufficiale di Transmission (il loro server principale è stato compromesso) per un giorno o due, quindi chiunque lo abbia scaricato sarebbe stato infetto. Sorprendentemente, il fatto di dover aggiornare l'app (la trasmissione utilizza il framework Sparkle ) sarebbe stato sicuro, dato che apparentemente gli aggressori non si aggiornavano il checksum per Sparkle nella versione compromessa, causando l'aggiornamento in-app (potenzialmente automatico) fallito con una mancata corrispondenza della firma.

Sfortunatamente, sono stato quasi catturato da questo ransomware. A causa di una vulnerabilità nel framework Sparkle che è stato recentemente divulgato all'epoca, I stava aggiornando manualmente tutte le mie applicazioni che utilizzavano il framework Sparkle invece di aggiornarle in-app, e che includeva l'aggiornamento a Transmission v2.90 scaricandolo manualmente dal sito web ufficiale. Sono riuscito a scappare solo illeso grazie a scaricarlo qualche giorno prima che si verificasse il compromesso del server. Onestamente, ero abbastanza spaventato quando ho scoperto il compromesso qualche giorno dopo. Direi che ho imparato una lezione preziosa qui, che è che puoi mai fidarti ciecamente di un'applicazione che hai scaricato da Internet, anche da parte degli sviluppatori di cui ti fidi (a meno che tu non controlli personalmente il codice sorgente) .

Mitigazione del danno di Ransomware

Il problema con ransomware è che crittografa tutti i tuoi file. Se si dispone di un modo per impedire alle applicazioni di essere in grado di leggere o scrivere su qualsiasi file arbritrary sul proprio sistema (eseguendo tutte le applicazioni scaricate in una sandbox, ad esempio), ciò dovrebbe rendere il ransomware sostanzialmente positivo. Su Windows, è possibile eseguire applicazioni sandbox con Sandboxie . Su OS X, puoi intercettare tutte le operazioni di lettura e scrittura dalle applicazioni in esecuzione sul tuo sistema con Hands Off! (dimostrato qui ).

Un'altra soluzione è utilizzare il sistema operativo di Qubes , che è un sistema operativo che essenzialmente ti consente di svolgere attività diverse / applicazioni all'interno di diverse macchine virtuali in un modo molto elegante. Supporta anche l'uso di Windows 7 all'interno di una di quelle macchine virtuali.

    
risposta data 14.04.2016 - 07:26
fonte
10

Il modo in cui arriva a una parte della tua domanda è già stato ben risposto, quindi cercherò alcuni modi per proteggerti, anche se l'unico modo per essere veramente sicuri è non usare un computer connesso a Internet, come anche i seguenti non sono sicuri al 100%.

  • Non aprire alcun documento da nessuna parte a meno che non ti aspetti di riceverlo e da quella persona / azienda specifica.
  • Se non vuoi essere quel paranoico, apri solo documenti da fonti fidate, ad es. persone che conosci e comunichi frequentemente *, o da un sito web di cui ti fidi e hai chiesto esplicitamente un documento da scaricare (o ne hai inviato uno a te).
  • Quando navighi in Internet, fallo su una macchina virtuale ^. Avere un'immagine standard che si clona prima di eseguire qualsiasi navigazione, indipendentemente dal fatto che si tratti di siti Web di cui si ha sempre fiducia. Una volta terminato, elimina il clone in modo da eliminare qualsiasi infezione che potresti aver raccolto e hai ancora l'installazione standard.
  • Tieni una copia di tutto ciò che ti è caro. Non affidarti sempre a fornitori di servizi cloud esterni perché potrebbero non conservare i documenti per tutto il tempo in cui dichiarano o persino disporre di versioni per tornare indietro a un punto nel tempo in cui non eri infetto.
  • Mantieni aggiornato il tuo computer. Un sacco di attacchi si baserà sulle vulnerabilità in alcune applicazioni. Se questi vengono riparati, non possono funzionare tramite quel vettore. Se non aggiorni il software, lasci quei buchi aperti.

Probabilmente ce ne sono molti di più, ma questi sono quelli che ti vengono in mente immediatamente.

* Cito la parte della comunicazione frequente per le persone che conosci, come se fossero infettate potrebbero finire per inviare e-mail con allegati infetti a loro insaputa. Se normalmente non ricevi email o allegati da loro, non fidarti di questo.

^ Questa è una lunghezza piuttosto lunga da percorrere, e non un'opzione per molte persone, o non è auspicabile dalla maggior parte di

    
risposta data 13.04.2016 - 12:23
fonte

Leggi altre domande sui tag