Unul dintre cele mai recente tipuri de malware este cunoscut sub numele de ransomware. Ransomware este un tip de malware deosebit de neplăcut pe măsură ce trece și criptează fiecare fișier de pe computer, apoi vă arată o notă de răscumpărare. Pentru a vă debloca dispozitivul, trebuie să plătiți răscumpărarea pentru a primi apoi un cod de deblocare. Din punct de vedere istoric, majoritatea campaniilor de ransomware decriptează de fapt fișierele odată ce răscumpărarea este plătită, așa cum publicitatea despre hackerii care își susțin punctul de vedere al târgului este o parte importantă a convingerii oamenilor a plăti.
Notă: în general, se recomandă să nu plătiți răscumpărarea. Acest lucru continuă să demonstreze că ransomware-ul poate fi profitabil, dar nici nu garantează că veți avea din nou acces la datele dvs.
Sfat: Criptarea este un proces de amestecare a datelor cu un cifr și cheie de criptare. Datele criptate pot fi decriptate numai prin utilizarea cheii de decriptare.
Cum functioneazã?
Ca orice malware, ransomware-ul trebuie să ajungă pe computer pentru a rula. Există multe metode potențiale de infectare, dar unele dintre cele mai comune metode sunt descărcări infectate pe pagini web, publicitate malițioasă și atașamente de e-mail rău intenționate.
Sfat: Malvertising este practica de a furniza software rău intenționat prin intermediul rețelelor de publicitate.
Odată descărcat pe computer, ransomware-ul va începe să cripteze fișierele în fundal. Unele variante vor face acest lucru cât mai repede posibil, este posibil să observați că acest lucru vă afectează performanța sistemului, dar apoi au puțin timp să faceți ceva în acest sens. Unele variante de ransomware vor cripta datele încet, pentru a reduce șansa ca acestea să fie observate în acțiune. Câteva variante de ransomware rămân latente săptămâni sau luni pentru a fi incluse în orice backup care ar putea fi folosit pentru a restabili sistemul.
Sfat: Ransomware-ul evită de obicei criptarea fișierelor de sistem critice. Windows ar trebui să funcționeze în continuare, dar toate fișierele personale etc. vor fi criptate.
Odată ce ransomware-ul a criptat totul pe computer, actul său final este de a crea o notă de răscumpărare, de obicei pe desktop. Nota de răscumpărare explică în general ce s-a întâmplat, oferă instrucțiuni despre cum să plătiți răscumpărarea și ce se va întâmpla dacă nu o faceți. În general, se stabilește și o limită de timp, cu amenințarea cu o creștere a prețului sau cu ștergerea cheii folosite pentru a îndemna oamenii să plătească.
O serie de variante de ransomware oferă o caracteristică care vă permite să decriptați un număr mic de fișiere ca gest de „bună-voință” pentru a demonstra că fișierele dvs. pot fi decriptate. Metoda de plată va fi de obicei bitcoin sau diverse alte criptomonede. Nota de răscumpărare oferă, în general, o serie de link-uri către site-uri de unde puteți cumpăra criptomonedele relevante, într-un efort de a face mai ușor pentru oameni să le plătească.
Odată ce furnizați plata sau, uneori, dovada plății, vi se va furniza în general o cheie de decriptare pe care o puteți utiliza pentru a vă decripta datele. Din păcate, există câteva variante care nu decriptează niciodată, chiar dacă plătiți – cu alte cuvinte, NU ar trebui sa platesti, ci sa cauti alte solutii.
Procesul de criptare pe computerul dvs. se realizează în general cu o cheie de criptare simetrică generată aleatoriu. Această cheie de criptare este apoi criptată cu o cheie de criptare asimetrică, pentru care creatorul ransomware-ului are cheia de decriptare corespunzătoare. Aceasta înseamnă că numai creatorul de ransomware poate decripta parola de care aveți nevoie pentru a vă decripta computerul.
Sfat: Există două tipuri de algoritmi de criptare, simetric și asimetric. Criptarea simetrică folosește aceeași cheie de criptare atât pentru a cripta, cât și pentru a decripta datele, în timp ce criptarea asimetrică utilizează o cheie diferită pentru a cripta și decripta datele. Criptarea asimetrică permite unei persoane să ofere mai multor persoane aceeași cheie de criptare, păstrând în același timp singura cheie de decriptare.
Unele variante de ransomware includ și funcții de asistență care vă permit să contactați persoana care execută înșelătoria. Acesta este conceput pentru a vă ghida prin procesul de plată, totuși, unii oameni au avut succes folosindu-l pentru a încerca să negocieze prețul în jos.
Sfat: În unele cazuri, ransomware-ul va fi implementat ca o infecție secundară pentru a încerca să ascundă existența unui alt virus care ar fi putut fura alte date pe ascuns. Intenția, în acest caz, este în primul rând de a cripta fișierele jurnal și de a face răspunsul la incident și procesul criminalistic mai dificil. Acest tip de atac este, în general, utilizat numai în atacuri foarte direcționate împotriva companiilor, mai degrabă decât a utilizatorilor generali de computere.
Cum să te protejezi
Puteți reduce șansele de a fi infectat cu ransomware și alte programe malware, fiind atenți pe internet. Nu ar trebui să deschideți atașamente de e-mail la care nu vă așteptați, chiar dacă aveți încredere în expeditor. Tu ar trebui nu activați macrocomenzi în documentele de birou, mai ales dacă documentul a fost descărcat de pe internet. Macrocomenzile pentru documente Office sunt o metodă comună de infectare.
Un dispozitiv de blocare a reclamelor, cum ar fi uBlock Origin, poate fi un instrument bun pentru a vă proteja împotriva publicității incorecte. De asemenea, ar trebui să vă asigurați că descărcați fișiere numai de pe site-uri web legitime și de încredere, deoarece malware-ul poate fi adesea ascuns în descărcări infectate mascandu-se drept versiuni gratuite de software plătit.
Deținerea și utilizarea unui software antivirus sau anti-malware este, în general, o bună apărare împotriva programelor malware care reușesc să treacă de prima linie de apărare.
Ajutor, sunt infectat!
Dacă vă aflați în situația în care ransomware-ul a preluat computerul, este posibil să puteți debloca ransomware-ul gratuit. Un număr destul de mare de scheme de ransomware au fost proiectate prost și/sau au fost deja eliminate de agențiile de aplicare a legii.
În aceste cazuri, este posibil ca cheia principală de decriptare să fi fost identificată și să fie disponibilă. Europol EC3 (Centrul European de Criminalitate Cibernetică) are un instrument numit „Crypto Sheriff” care poate fi folosit pentru a identifica tipul de ransomware pe care îl aveți și apoi vă conectați la instrumentul de decriptare corect, dacă există unul.
Una dintre cele mai bune protecții pe care le puteți avea împotriva ransomware-ului este backup-urile bune. Aceste copii de siguranță ar trebui să fie stocate pe un hard disk care nu este conectat la computer sau în aceeași rețea ca și computerul pentru a preveni infectarea lor. Backup-ul ar trebui să fie conectat la computerul afectat numai după ce ransomware-ul a fost eliminat, în caz contrar, și acesta va fi criptat.