Programování

Jak zjistit, zda vás zasáhl falešný ransomware

Na rozdíl od většiny malwaru není ransomware nenápadný. Je to hlasité a nepříjemné a pokud jste byli nakaženi, útočníci vám to řeknou nejistě. Koneckonců, chtějí být placeni.

"Vaše osobní soubory jsou šifrovány," ozve se zpráva v počítači. "Vaše dokumenty, databáze a další důležité soubory byly zašifrovány nejsilnějším šifrováním a jedinečným klíčem vygenerovaným pro tento počítač." I když se jazyk může lišit, podstata je stejná: Pokud nezaplatíte výkupné - obvykle do 48 až 72 hodin - vaše soubory jsou hosed.

Nebo jsou? Existuje malá možnost, že se vás pachatelé pokoušejí předstírat, že soubory nebyly zašifrovány. I když to není běžný scénář, podle odborníků z oboru k tomu skutečně dochází. Místo placení můžete obejít děsivou falešnou zprávu a pokračovat ve svém dni.

"Existuje celá řada příkladů, kdy nedochází ke skutečnému šifrování." Místo toho se kybernetičtí zločinci spoléhají na okraj sociálního inženýrství, aby přesvědčili lidi, aby zaplatili, “varuje Grayson Milbourne, ředitel bezpečnostních zpravodajských služeb společnosti Webroot.

Je to skutečné nebo falešné?

Potvrzení, zda se jedná o skutečnou infekci nebo o podvod sociálního inženýrství, trvá jen několik sekund.

Pokud poptávka po výkupném obsahuje název ransomwaru, pak neexistuje žádná záhada a máte potíže. Mezi rodiny ransomwaru, které se identifikují, patří Linux.Encoder - první ransomware založený na Linuxu - který jasně říká „Šifrováno Linux.Encoderem.“ CoinVault se identifikuje uvedením e-mailové adresy podpory. TeslaCrypt a CTB-Locker patří také mezi známé rodiny ransomware, které vám řeknou, kdo drží vaše soubory jako rukojmí.

Ale existuje spousta výkupných, které se neobtěžují jmény. Například CryptoLocker jednoduše varoval, že vaše soubory byly zašifrovány, a nikdy se nesnažil odhalit své jméno. Místo toho budete muset hledat další vodítka: Existuje e-mailová adresa podpory? Prohledejte na internetu bitcoinovou platební adresu nebo skutečnou zprávu o výkupném a podívejte se, co přijde na fórech nebo od bezpečnostních vědců.

Pokud nemůžete ransomware identifikovat, existuje šance, že by mohl být falešný. V takových případech nejsou vaše soubory ve skutečnosti šifrovány; útočník jednoduše objeví strašidelnou zprávu a uzamkne obrazovku. Poptávka po výkupném se obvykle zobrazuje uvnitř okna prohlížeče a neumožňuje uživateli odejít, nebo uzamkne obrazovku a zobrazí dialogové okno s požadavkem na šifrovací klíč. Protože oběť nemůže zprávu zavřít, vypadá to skutečně.

Pokud je možné zavřít obrazovku pomocí klíčových příkazů, jako je Alt-F4 v systému Windows a Command-W v systému Mac OS X, je poptávka po výkupném falešná. Nebo zkuste vynutit restart zařízení a zkontrolujte, zda zpráva zmizí.

Ransomware má tendenci měnit název souboru jako součást procesu šifrování. Locky přidává příponu souboru .lock ke všem dokumentům, zatímco CryptXXX používá příponu souboru .crypt. Prohlédněte si soubory a podívejte se, které soubory byly změněny. Zjistěte, zda je stále můžete otevřít, nebo zda můžete změnit přípony souborů a soubory otevřít. Někdy byly přípony souborů změněny, aniž by byly soubory skutečně zašifrovány.

Vraťte se do systému pomocí disku Linux Live CD a prohledejte systém, abyste zjistili, zda byly skutečné soubory přesunuty nebo přejmenovány. Většina moderních operačních systémů může prohledávat obsah souboru spolu se jmény souborů.

Nenechte své naděje příliš vysoké

I když je dobré být skeptický, pokud narazíte na poptávku po výkupném, je to pravděpodobně legitimní. Díky soupravám pro kriminalitu s předinstalovaným ransomwarem a ransomwarem jako službou je bariéra vstupu mnohem nižší. Scénáři a další méně technicky naklonění zločinci se pokoušejí vzít na záda úspěch skutečných ransomwarových gangů, aniž by se do toho pustili.

„Jednoduchost nákupu krypto-malwaru od poskytovatele kriminality jako služby nyní znamená, že počítačoví zločinci mohou snadno nasadit ransomwarový útok, který využívá komplexní a efektivní šifrování proti svým cílům,“ říká stratég kybernetické bezpečnosti společnosti Mimecast, Orlando Scott-Cowley. .

Infekce ransomwarem představují vážnou hrozbu a falešné útoky jsou relativně vzácné. Ale než zahájíte proces přestavby vašeho počítače, abyste se zotavili z ransomwarové infekce, ujistěte se, že nejste podvedeni. Trvá to jen pár minut.

Pokud se ukáže, že jste byli obětí skutečné věci, můžete mít další malou šanci: veřejně dostupné dešifrovací nástroje.