Programmering

Hvordan vite om du har blitt rammet av falsk ransomware

I motsetning til de fleste skadelig programvare, er ikke løsepenger skadet. Det er høyt og motbydelig, og hvis du har blitt smittet, vil angriperne fortelle deg det uten tvil. De vil tross alt få betalt.

"Dine personlige filer er kryptert," blar meldingen på datamaskinen. "Dine dokumentbilder, databaser og andre viktige filer har blitt kryptert med den sterkeste kryptering og unike nøkkelen, generert for denne datamaskinen." Selv om språket kan variere, er kjernen det samme: Hvis du ikke betaler løsepenger - vanligvis innen 48 til 72 timer - blir filene dine slengt.

Eller er de det? Det er liten mulighet for at gjerningsmennene prøver å falske deg, og filene har ikke blitt kryptert. Selv om det ikke er et vanlig scenario, skjer det, ifølge bransjeeksperter. I stedet for å betale opp, kan du omgå den skumle falske meldingen og fortsette med dagen.

“Det er en rekke eksempler der ekte kryptering ikke forekommer. I stedet stoler nettkriminelle på den sosialtekniske kanten av angrepet for å overbevise folk om å betale, ”advarer Grayson Milbourne, direktør for sikkerhetsetterretning hos Webroot.

Er det ekte eller falskt?

Det tar bare noen få sekunder å bekrefte om det er en reell infeksjon eller en sosialteknisk svindel.

Hvis løsepengekravet inkluderer navnet på løsepenger, er det ikke noe mysterium, og du er i trøbbel. Ransomware-familier som identifiserer seg inkluderer Linux.Encoder - den første Linux-baserte ransomware - som tydelig sier "Kryptert av Linux.Encoder." CoinVault identifiserer seg ved å oppgi support-e-postadressen. TeslaCrypt og CTB-Locker er også blant de kjente ransomware-familiene som forteller deg hvem som holder filene dine som gisler.

Men det er mange løsepenger som ikke bry seg om navn. For eksempel advarte CryptoLocker ganske enkelt at filene dine har blitt kryptert og aldri flagret navnet sitt. I stedet må du se etter andre ledetråder: Er det en support-e-postadresse? Søk på Internett etter bitcoin-betalingsadressen eller selve løsepengemeldingen, og se hva som kommer opp på forum eller fra sikkerhetsforskere.

Hvis du ikke kan identifisere løsepenger, er det en sjanse for at det kan være falskt. I slike tilfeller er ikke filene dine faktisk kryptert. angriperen bare dukker opp en skummel melding og låser skjermen. Løsepengekravet vises vanligvis inne i et nettleservindu og lar ikke brukeren navigere bort, eller det låser skjermen og viser en dialogboks som ber om en krypteringsnøkkel. Fordi offeret ikke kan lukke meldingen, ser den virkelig ut.

Hvis det er mulig å lukke ut av skjermen ved hjelp av tastekommandoer, for eksempel Alt-F4 på Windows og Command-W på Mac OS X, er løsepengekravet falsk. Eller prøv å starte enheten på nytt og se om meldingen forsvinner.

Ransomware har en tendens til å endre filnavnet som en del av krypteringsprosessen. Locky legger til en .lock-filtype i alle dokumenter, mens CryptXXX bruker .crypt-filtypen. Se gjennom filene og se hvilke filer som er endret. Se om du fremdeles kan åpne dem, eller om du kan endre filtypene tilbake og åpne filene. Noen ganger har filtypene blitt endret uten å kryptere filene.

Gå tilbake til systemet ved hjelp av en Linux Live CD og søk i systemet for å se om de faktiske filene har blitt flyttet eller gitt nytt navn. De fleste moderne operativsystemer kan søke i innholdet i filen sammen med filnavn.

Ikke få håpet ditt for høyt

Selv om det er godt å være skeptisk, er det sannsynligvis legitimt hvis du ser en løsepengerkrav. Takket være crimeware-sett forhåndsinstallert med ransomware og ransomware som en tjeneste, er adgangsbarrieren mye lavere. Skriptkiddies og andre mindre teknisk tilbøyelige kriminelle prøver å snakke om suksessen til ekte ransomware-gjenger uten å legge inn arbeidet.

"Enkelheten med å kjøpe krypto-malware fra en leverandør av kriminalitet som en tjeneste betyr nå at nettkriminelle enkelt kan distribuere et ransomware-angrep som bruker kompleks og effektiv kryptering mot sine mål," sier Mimecasts cybersikkerhetsstrateg, Orlando Scott-Cowley. .

Ransomware-infeksjoner er en alvorlig trussel, og falske angrep er relativt sjeldne. Men før du starter prosessen med å gjenoppbygge maskinen for å komme seg etter en ransomware-infeksjon, må du sørge for at du ikke blir lurt. Det tar bare noen minutter.

Hvis det viser seg at du har blitt utsatt for den virkelige tingen, kan du ha en ny liten sjanse: offentlig tilgjengelige dekrypteringsverktøy.

$config[zx-auto] not found$config[zx-overlay] not found