כל מה שצריך לדעת על תוכנת Ransomware חסרת קבצים

שוק ה- ransomware התפתח. זן חדש של סוכנים זדוניים הגיע. זה מסומן על ידי התגנבות וגרם לקורבנות בחברות טלקום רבות, סוכנויות ממשלתיות ומוסדות בנקאיים וכו ‘. התקפות אלה גרמו למחלקות IT בחברות ברחבי העולם להישאר ערנות. אזהרות מפורטות הונפקו לעובדים שלא לפתוח קבצים מצורפים לדוא”ל שאינם מאובטחים ולהימנע מביקור באתרים חשודים וביישומי צד שלישי. ידוע טכנית כ- ransomware נטול קבצים או ללא תוכנה זדונית, כלים אלה מהווים איום גדול. הם משתמשים בשפת הסקריפטים של מיקרוסופט של PowerShell לצורך מיקוד לארגונים המשתמשים במסמכים ו / או ביישומים הפועלים באמצעות פקודות מאקרו.


כל מה שצריך לדעת על תוכנת Ransomware חסרת קבצים

כל מה שצריך לדעת על תוכנת Ransomware חסרת קבצים

מה זה PowerShell?

PowerShell, שפת תכנות מכוונת אוטומציה למשימות, משמשת במערכת ההפעלה MS יחד עם יותר ממאה כלי שורת פקודה.

מה עושה Ransomware חסר תוקף ל- PowerShell?

Ransomware עושה שימוש בסקריפטים מבוססי PowerShell או מקרואים להצפנת קבצים. זה שונה מכלי התומך המסורתיים שביצעו קידוד קבצים מבוסס נתונים.

סקירה כללית של התקפות חסרות-Fil

בין ההאקים הגדולים בהיסטוריה בוצע ללא הגבלה. בשנת 2016 מישהו גנב כמה מסמכים מהוועדה הדמוקרטית הלאומית (DNC) ששוחררו לאחר שהשפיעו על הבחירות לנשיאות באותה השנה. הדבר נעשה באמצעות כתובות דוא”ל של דיוג עם קישורים נפגעים שהועברו לעובדי DNC. לאחר לחיצה על ההתקפה קפצה לעבוד באמצעות PowerShell ו- WMI.

על פי צ’רלס גאוף, מנהיג האבטחה עם (ISC) ², עמותת אבטחה מקוונת, התקפות חסרות קבצים מתארחות בדרך כלל על ידי קישורי דיוג ואתרי הכונן..

תקיפה נוספת באמצעות מדיומים חסרי כלות פגעה בלמעלה מ -140 בנקים וארגונים פיננסיים מיותר מ -40 מדינות בתחילת 2017. התוקף נכנס למערכת באמצעות שרת שלא הועלה עליו.

ואז הוא הטעין קוד מתפשר לזיכרון באמצעות סקריפטים של PowerShell ו- Registry Windows.

יתרה מזאת, התוקפים קיבלו שליטה במערכות באמצעות כלי מערכת סטנדרטיים המורכבים מכלי שירות לפקודות כמו NETSH ו- SC.

גישה מרחוק זו אפשרה להם להגדיר תוכנה זדונית לתושבי זיכרון ATMitch. זה נעשה בכספומטים שנצטוו אז להוציא את מזומנם. התוקפים תפסו את המזומנים האלה ועזבו את המקום. מכיוון שלא היו קבצים בשום מערכות, גילוי הפרצה היה קשה מאוד.

שתי הדרכים העיקריות למערכות הסתננות חסרות תוכנה Ransomware

באמצעות התקפות דיוג שנוצרו באמצעות דוא”ל, תוקף יכול לבצע סקריפטים של פקודות מאקרו לזיכרון המערכת. זה מוביל לדרישות כופר שנוצרו אוטומטית והצפנת נתונים.

הדרך השנייה היא דרך אתרים לא בטוחים אליהם עובד הגישה. זה מאפשר לתוקפים למקד ל- RAM באמצעות סקריפטים. זה מאפשר להם לקבל גישה למידע ולדרוש תשלומי cryptocurrency. אחרת, הנתונים שלהם יוצפנו ויהפכו חסרי תועלת.

סוגים של התקפות חסרות סתרים

ישנם ארבעה סוגים בסיסיים של תוכנות רנסומליות חסרות פתיחות שעליך לדעת עליהם:

  • התקפות בלעדיות זיכרון: התקפות אלה ניגשות לזיכרונות שירות חלונות כדי להפיץ את טווח ההגעה שלהם. הם הגיעו לשוק כבר בשנת 2001. עם זאת, ניתן לפתור אותם על ידי הפעלה מחדש של המערכת.
  • טכניקות התמדה חסרות פניות: לא ניתן למחוק התקפות כאלה על ידי הפעלה מחדש פשוטה אפילו אם הדיסק הקשיח אינו נגוע. הדבר נעשה על ידי שימוש ב- Windows Registry לאחסון סקריפטים זיהומיים, אשר מחדשים את הזיהום גם לאחר אתחול מחדש.
  • כלים לשימוש כפול: התקפות כאלה מבוצעות על ידי זיהום של אפליקציות מערכת של Windows. זה נעשה כדי לקבל גישה למערכות יעד או להעברת נתונים לתוקפים.
  • התקפות קבצים בלתי ניתנות להפעלה (PE): התקפות כאלה משתמשות בכלים וגם בסקריפטים כדי להשפיע על פיהם באמצעות PowerShell, CScript או WScript.

מדוע Ransomware כל כך פופולרי?

קל לשימוש Ransomware. בדרך כלל, חברות לא חושבות פעמיים לפני שמשלמות כופר במקום להסתכן באובדן נתונים או לזכות בפרסום רע. עלייתו של cryptocururrency שיפרה גם את הכדאיות של תוכנת ransomware. אמצעי תשלום אנונימיים מאפשרים להאקרים אמצעים קשים להתחקות להוציא כסף מהקורבנות שלהם. יחד עם זאת, לא ניתן להפוך את העברות cryptocurrency ולכן הן יעילות ובטוחות.

מה הופך את תוכנת Ransomware חסרת פתיחות לייחודית?

תוכנת רנסומיס חסרת קבצים היא ייחודית מכיוון שקשה לזהות אותה. הסיבה לכך היא ששפת הסקריפטים המקורית או ה- RAM מוזרק את הקוד הזיהומי. זה מאפשר לו להסתתר בזיכרון ולהפעיל פקודות משם.

מה מקפלים על התקפות Ransomware חסרות Fil?

  1. תוכנות כופר נטולות קבצים אינן ניתנות למעקב אפילו עם אנטי-וירוסים בדרגה מסחרית.
  2. התקפות אלה משאירות את המערכת שלך פתוחה לרעה של פושעי רשת. הם יכולים לעשות כל מיני דברים עם הרשת או המכשיר שלך ברגע שהם יפרצו אותם כולל גניבת / הצפנת נתונים מבלי שאותרו.
  3. הם גם פותחים את המכשיר שנפגע להתקפות מרובות. הסיבה לכך היא כי התוקף יכול לכתוב סקריפטים תוך הוצאת מידע מהמכשיר שנפגע.

הגן על עצמך מפני תוכנות Ransomware חסרות פניות

למרות שתוכנות אנטי-וירוס רגילות אינן ניתנות לזיהוי של תוכנות רנסומליות חסרות-קבצים, ישנם מספר דברים שתוכלו לעשות כדי למנוע אותם. הדבר הראשון שצריך לעשות הוא להבטיח שאף אחד לא ניגש אל הנתונים הקריטיים שלך. הדבר השני הוא לוודא שהפגיעות שלך בגלל שגיאה אנושית לא נחשפת.

המשמעות היא שעובדיכם צריכים לדעת על הנדסה חברתית וכיצד הם יכולים למנוע זאת. כמובן שתדרוש גם מערכת מעודכנת הכוללת את כל תיקוני האבטחה האחרונים. להלן מספר טיפים והצעות נוספים שיכולים לשפר עוד יותר את האבטחה שלך מפני תוכנות רנסומליות חסרות פתיחה:

עוד טיפים

  • וודא שגיבוי הנתונים שלך: שמירה על הגנה היא כל זה להיות מודע להתקפות. עליך לוודא שמישהו עוקב אחר הנתונים שלך ושומר על הגיבוי של הקבצים הקריטיים. זה יאפשר לך לפרוק מהתקפות כאלה על ידי גישה לנקודת שחזור שאינה מושפעת מההפרה.
  • הישאר ערניים: כבה את כל המקרו. אחרת, הימנע מלפתוח קבצים שאינך בטוח בהם. במקרה שיש לך ספקות, עליך ליצור קשר עם מנהל ה- IT שלך.
  • עצור דוא”ל זדוני, דפי אינטרנט ואינטראקציה באמצעות דפדפנים ושרתים. עליך לעקוב אחר זהירות כשאתה מתמודד עם דוא”ל שעלול להיות זדוני. פשוט חסום כל דבר שלא נראה אמיתי או שיש לו אפילו תחושה של צלליות.  

בזהירות קלה, אתה יכול להישאר מוגן מכל סוג של תוכנות כופר – רגיל או חסר תועלת.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map