Programovanie

Ako zistiť, či vás nezasiahol falošný ransomvér

Na rozdiel od väčšiny škodlivého softvéru nie je ransomvér nenápadný. Je to nahlas a nepríjemné a ak ste boli infikovaní, útočníci vám to povedia neistým spôsobom. Koniec koncov, chcú byť platení.

„Vaše osobné súbory sú šifrované,“ ozve sa správa v počítači. „Fotografie, databázy a ďalšie dôležité súbory vašich dokumentov boli šifrované pomocou najsilnejšieho šifrovania a jedinečného kľúča vygenerovaného pre tento počítač.“ Aj keď sa jazyk môže líšiť, podstata je rovnaká: Ak nezaplatíte výkupné - zvyčajne do 48 až 72 hodín -, vaše súbory sú uložené.

Alebo sú? Existuje malá možnosť, že sa vás páchatelia snažia predstierať, a súbory neboli zašifrované. Aj keď nejde o bežný scenár, podľa odborníkov v priemysle sa to stáva. Namiesto platenia môžete obísť strašidelnú falošnú správu a pokračovať vo svojom dni.

„Existuje niekoľko príkladov, keď k skutočnému šifrovaniu nedochádza. Namiesto toho sa počítačoví zločinci spoliehajú na hranicu útoku na sociálne inžinierstvo, aby presvedčili ľudí, aby zaplatili, “varuje Grayson Milbourne, riaditeľ bezpečnostného spravodajstva spoločnosti Webroot.

Je to skutočné alebo falošné?

Potvrdenie, či ide o skutočnú infekciu alebo podvod v oblasti sociálneho inžinierstva, trvá len pár sekúnd.

Ak dopyt po výkupnom obsahuje názov ransomvéru, potom neexistuje žiadna záhada a máte problémy. Medzi rodiny ransomware, ktoré sa identifikujú, patrí Linux.Encoder - prvý ransomvér založený na systéme Linux - ktorý jasne hovorí „Šifrované pomocou Linux.Encoder.“ CoinVault sa identifikuje uvedením e-mailovej adresy podpory. TeslaCrypt a CTB-Locker patria tiež k známym rodinám ransomware, ktoré vám povedia, kto drží vaše súbory ako rukojemníkov.

Ale existuje veľa výkupných hier, ktoré sa netrápia s menami. Napríklad CryptoLocker jednoducho varoval, že vaše súbory boli šifrované, a nikdy neuvádzali svoje meno. Namiesto toho budete musieť hľadať ďalšie indície: Existuje e-mailová adresa podpory? Vyhľadajte na internete platobnú adresu bitcoinu alebo skutočnú správu o výkupnom a uvidíte, čo sa objaví na fórach alebo od bezpečnostných výskumníkov.

Ak nemôžete identifikovať ransomvér, existuje šanca, že môže byť falošný. V takýchto prípadoch vaše súbory nie sú skutočne šifrované; útočník jednoducho objaví strašidelnú správu a uzamkne obrazovku. Dopyt po výkupnom sa zvyčajne zobrazuje vo vnútri okna prehliadača a neumožňuje používateľovi odísť preč, prípadne uzamkne obrazovku a zobrazí dialógové okno so žiadosťou o šifrovací kľúč. Pretože obeť nemôže správu uzavrieť, vyzerá to skutočne.

Ak je možné obrazovku zatvoriť pomocou kľúčových príkazov, ako sú napríklad Alt-F4 v systéme Windows a Command-W v systéme Mac OS X, je dopyt po výkupnom falošný. Alebo skúste vynútené reštartovanie zariadenia a zistite, či správa zmizne.

Ransomvér má tendenciu meniť názov súboru ako súčasť procesu šifrovania. Locky pridáva do všetkých dokumentov príponu .lock, zatiaľ čo CryptXXX používa príponu .crypt. Prezrite si súbory a zistite, ktoré súbory boli upravené. Skontrolujte, či ich stále môžete otvoriť alebo či môžete zmeniť prípony súborov a otvoriť ich. Niekedy boli prípony súborov zmenené bez toho, aby boli súbory skutočne zašifrované.

Vráťte sa do systému pomocou disku Linux Live CD a prehľadajte systém, aby ste zistili, či boli skutočné súbory presunuté alebo premenované. Väčšina moderných operačných systémov dokáže prehľadať obsah súboru spolu s názvami súborov.

Nerobte si príliš veľké nádeje

Aj keď je dobré byť skeptický, ak vidíte dopyt po výkupnom, je to pravdepodobne legitímne. Vďaka súpravám kriminálneho softvéru s predinštalovaným ransomvérom a ransomvérom ako službou je bariéra vstupu oveľa nižšia. Skriptové deti a ďalší menej technicky založení zločinci sa snažia bez úspechu zapojiť do úspechu skutočných gangov ransomvéru.

„Jednoduchosť nákupu vášho krypto-malvéru od poskytovateľa zločinu ako služby teraz znamená, že počítačoví zločinci môžu ľahko nasadiť ransomwarový útok, ktorý využíva komplexné a efektívne šifrovanie na dosiahnutie svojich cieľov,“ hovorí stratég spoločnosti Kybernetická bezpečnosť spoločnosti Mimecast, Orlando Scott-Cowley. .

Infekcie ransomvérom sú vážnou hrozbou a falošné útoky sú pomerne zriedkavé. Ale skôr ako začnete s procesom obnovy vášho počítača, aby ste sa zotavili z infekcie ransomvérom, uistite sa, že nie ste podvedení. Trvá to iba pár minút.

Ak sa ukáže, že ste sa stali obeťou skutočnej veci, môžete mať ďalšiu malú šancu: verejne dostupné dešifrovacie nástroje.