Programmering

Sådan fortæller du, om du er blevet ramt af falsk ransomware

I modsætning til de fleste malware er ransomware ikke snigende. Det er højt og modbydeligt, og hvis du er blevet smittet, vil angriberne fortælle dig det uden usikre udtryk. Når alt kommer til alt, vil de blive betalt.

"Dine personlige filer er krypteret," blærer meddelelsen på computeren. "Dine dokumenter fotos, databaser og andre vigtige filer er blevet krypteret med den stærkeste kryptering og unikke nøgle, der er genereret til denne computer." Mens sproget kan variere, er kernen den samme: Hvis du ikke betaler løsesummen - typisk inden for 48 til 72 timer - bliver dine filer sendt.

Eller er de? Der er en lille mulighed, at gerningsmændene forsøger at falske dig, og filerne er ikke krypteret. Selvom det ikke er et almindeligt scenario, sker det ifølge brancheeksperter. I stedet for at betale op kan du omgå den skræmmende falske besked og gå videre med din dag.

”Der er en række eksempler, hvor ægte kryptering ikke forekommer. I stedet er cyberkriminelle afhængige af den socialtekniske kant af angrebet for at overbevise folk om at betale, ”advarer Grayson Milbourne, direktør for sikkerhedsunderretning hos Webroot.

Er det ægte eller falsk?

Det tager kun et par sekunder at bekræfte, om det er en reel infektion eller en social engineering-fidus.

Hvis løsesumskravet inkluderer navnet på ransomware, er der intet mysterium, og du er i problemer. Ransomware-familier, der identificerer sig, inkluderer Linux.Encoder - den første Linux-baserede ransomware - der tydeligt siger "Krypteret af Linux.Encoder." CoinVault identificerer sig ved at angive support-e-mail-adressen. TeslaCrypt og CTB-Locker er også blandt de velkendte ransomware-familier, der fortæller dig, hvem der holder dine filer som gidsel.

Men der er masser af løsepenge, der ikke gider med navne. For eksempel advarede CryptoLocker simpelthen om, at dine filer er blevet krypteret og aldrig prydet med navnet. I stedet skal du kigge efter andre spor: Er der en support-e-mail-adresse? Søg på Internettet efter bitcoin-betalingsadressen eller den aktuelle løsesummeddelelse, og se hvad der kommer op på fora eller fra sikkerhedsforskere.

Hvis du ikke kan identificere ransomware, er der en chance for, at det kan være falsk. I sådanne tilfælde er dine filer faktisk ikke krypteret; angriberen popper simpelthen op en skræmmende besked og låser skærmen. Løsesumskravet vises typisk inde i et browservindue og lader ikke brugeren navigere væk, eller det låser skærmen og viser en dialogboks, der beder om en krypteringsnøgle. Fordi offeret ikke kan lukke beskeden, ser det rigtigt ud.

Hvis det er muligt at lukke ud af skærmen ved hjælp af nøglekommandoer, såsom Alt-F4 på Windows og Command-W på Mac OS X, er løsesumskravet falsk. Eller prøv at genstarte enheden og se, om meddelelsen forsvinder.

Ransomware har tendens til at ændre filnavnet som en del af krypteringsprocessen. Locky tilføjer en .lock-filtypenavn til alle dokumenter, mens CryptXXX bruger .crypt-filtypen. Se gennem filerne, og se hvilke filer der er blevet ændret. Se om du stadig kan åbne dem, eller om du kan ændre filtypenavnet tilbage og åbne filerne. Nogle gange er filtypenøglerne blevet ændret uden faktisk at kryptere filerne.

Gå tilbage til systemet ved hjælp af en Linux Live CD, og ​​søg i systemet for at se, om de faktiske filer er blevet flyttet eller omdøbt. De fleste moderne operativsystemer kan søge i indholdet af filen sammen med filnavne.

Få ikke dine forhåbninger for høje

Selvom det er godt at være skeptisk, er det sandsynligvis legitimt, hvis du ser et løsesumskrav. Takket være crimeware-sæt, der er forudindlæst med ransomware og ransomware som en tjeneste, er adgangsbarrieren meget lavere. Script-kiddies og andre mindre teknisk tilbøjelige kriminelle forsøger at sparke tilbage på succesen med ægte ransomware-bander uden at lægge arbejde på.

"Enkelheden ved at købe din crypto-malware fra en kriminalitet-som-en-tjenesteudbyder betyder nu, at cyberkriminelle let kan implementere et ransomware-angreb, der bruger kompleks og effektiv kryptering mod deres mål," siger Mimecasts cybersikkerhedsstrateg, Orlando Scott-Cowley. .

Ransomware-infektioner er en alvorlig trussel, og falske angreb er relativt sjældne. Men inden du starter processen med at genopbygge din maskine til at komme sig efter en ransomware-infektion, skal du sørge for, at du ikke bliver snydt. Det tager kun et par minutter.

Hvis det viser sig, at du er blevet ofre for den rigtige ting, har du muligvis en anden lille chance: offentligt tilgængelige dekrypteringsværktøjer.

$config[zx-auto] not found$config[zx-overlay] not found