Hoppa till huvudinnehållet
Technology

Skydd mot utpressning

Skydda dig mot utpressningsvirus så fort som den skadliga programvaran angriper och försöker sprida sig i systemet med säkerhet på flera nivåer.


Utpressningsvirus är trojaner som utför ändringar i offrets data så att de inte längre har åtkomst till dessa eller ibland till hela datorn. Dessa data ”hålls som gisslan” (blockeras eller krypteras) tills offret betalar en lösensumma. Offret uppmanas att skicka pengar till cyberbrottslingen gentemot att denne lovar att skicka ett program för att återställa data eller prestanda i gengäld.

Utpressningsvirus är ett mycket vanligt förekommande cyberhot. Detta beror på att:

  • hoten är specifikt utformade för att pressa offret på pengar
  • det är enkelt att implementera denna typ av skadlig programvara.

Utpressningsvirus kan vara av både komplex och enklare natur, beroende på vilken målgrupp som är tilltänkta offer.

  • Vanligt förekommande typer av utpressningsvirus sprids ofta via skadliga e-skräppostmeddelanden, kryphålspaket m.m.
  • Komplexa typer av utpressningsvirus används vid riktade attacker.

En attack med utpressningsvirus är uppdelat i flera faser:

  • överföring till offrets system i form av skadliga bilagor i skräppost, utnyttjande av sårbarheter i systemet och intrång vid riktade attacker
  • utförande: kryptering av viktiga användarfiler
  • begäran för lösensumma
  • dekryptering av data (i vissa fall).

Det krävs en säkerhetslösning som hanterar problemet på flera nivåer för att effektivt kunna skydda sig mot utpressningsvirus. Med Kasperskys skydd på flera nivåer för nästa generation identifieras utpressningsvirus både under leverans- och utförandefasen. Här följer mer utförlig information om faserna.



Leveransfasen – skadliga bilagor som skickas via skräppost

Skydd mot utsatthet (EP, Exploit Prevention) är specifikt utformad för att förhindra att skadlig programvara (inkl. utpressningsvirus) tar sig in i systemet på grund av eventuella svagheter. Viktiga program som bör skyddas mot utsatthet är webbläsare, Office-program, PDF-läsare m.m. Så fort en misstänkt uppgift (som att en underordnad process startar) utförs i angiven programvara, tillämpas ytterligare beteendeanalys i komponenten för att kunna identifiera skadliga mönster. Skyddet mot utsatthet blockerar utpressningsviurs som CryptXXX och många andra.

Under 2017 upptäcktes det att utpressningsvirusen hade avancerat till att utnyttja sårbarheter i nätverk. Utpressningsviruset WannaCry spreds sig genom att utnyttja SMB-sårbarheter. Den här typen av utnyttjande kan endast blockeras på nätverksnivå. Kaspersky-produkter inkluderar en specifik komponent för nätverkstrafiksanalys – systemet för intrångsupptäckt (IDS). Komponenten analyserar nätverkspakten på låg nivå och tillämpar heuristiska mönster för att identifiera tecken på skadlig nätverksaktivitet. Med den här komponenten kan du identifiera EternalBlue-/EternalRomance-intrång. Det var så WannaCry-spridningen kunde stoppas.

Utförandefas

Hotutvecklarna använder sig av olika metoder för att kunna kringgå statisk identifiering. Det bästa försvaret för denna typ av attacker är beteendeidentifiering. Här analyseras varje processaktivitet för att kunna avslöja skadliga mönster. När processen har slutförts i produkten återställs ändringarna med hjälp av saneringsmotorn. Beteendebaserad identifiering är även ett effektivt sätt att upptäcka tidigare okända hot, inkl. utpressningsvirus. Utpressningsvirusmönster består av följande grundläggande steg:

  • de söker upp filerna på offrets dator
  • de läser innehållet i samtliga filer
  • de krypterar innehållet och sparar ändringar på disken.

Genom att matcha dessa mönster för skadligt beteende blockeras processen av beteendemotorn och ändringarna återställs av saneringsmotorn. Utpressningsvirusen Polyglot och WannaCry (den krypterade delen av den skadliga programvaran) upptäcktes till exempel med hjälp av denna typ av identifiering via mönster.

Utpressningsvirus kan identifieras på andra sätt än med dessa mönster och det finns flera effektiva metoder för att förhindra denna typ av hot. Metodens effektivitet blev tydlig vid spridningen av utpressningsviruset ExPetr i juli 2017. Hotutvecklarna använde sig av Petya-utpressningsvirus på en låg nivå för att kryptera MFT-data (Master File Table, dvs. alla metadata för filer och arkiv i NTFS-filsystemen). De körde sedan koderna via en komponent på hög nivå för att skriva om MBR-data (Master Boot Record) på hårddisken. Denna typ av beteende klassas som skadlig av hotbeteendemotorn och processen avbryts. Även om hotutvecklarna skapar liknande utpressningsvirus kommer hoten att blockeras, oavsett vilken förvirrings- eller antiemuleringsteknik som används.

Utpressningsvirus i riktade attacker

Under 2017 upptäckte Kasperskys experter att allt fler företagsattacker hade samma mål – att kryptera offrets data.



I många fall används befogade verktyg för disk-/filkryptering vid riktade attacker. DiskCryptor användes till exempel för kryptering och PSExec för massinstallation i företagets nätverk. Det gjorde statisk och grundläggande beteendebaserad identifiering av befogade verktyg irrelevant i och med att falska positiva resultat skapades. Det krävs att all verktygsanvändning samlas in och analyseras i enlighet med hela kontexten. I ovanstående exempel kunde mönstret för installation av befogade krypteringsverktyg via PSExe klassas som misstänkt och data skulle i detta fall kunna skyddas via extraskydd från produkten utan att aktivera falska larm för andra användare.

Relaterade produkter


Oberoende prestandamåttsresultat

Relaterad teknik