Ransomware

Ransomware ist eine Art von Art von Malware aus Kryptovirologie Das droht, die des Opfers zu veröffentlichen persönliche Daten oder ständig den Zugriff darauf blockieren, es sei denn a Geisel ist bezahlt. Während einige einfache Ransomware das System ohne Beschädigung von Dateien sperren können, verwendet erweitertere Malware eine Technik namens Cryptoviral Erpressung. Es verschlüsselt Die Akten des Opfers, die sie unzugänglich machen, und verlangt eine Lösegeldzahlung, um sie zu entschlüsseln.[1][2][3][4] In einem ordnungsgemäß implementierten kryptoviralen Erpressungsangriff, wobei die Dateien ohne Entschlüsselung wiederhergestellt werden Schlüssel ist ein unlösbar Problem - und schwer zu verfolgen Digitale Währungen wie zum Beispiel Paysafecard oder Bitcoin und andere Kryptowährungen werden für die Lösegeld verwendet, wodurch die Täter verfolgt und verfolgt werden.

Ransomware -Angriffe werden normalerweise mit a durchgeführt Trojaner Als legitime Datei verkleidet, die der Benutzer zum Herunterladen oder Öffnen ausgetragen wird, wenn er als E -Mail -Anhang eintrifft. Ein hochkarätiges Beispiel, das jedoch, das WannaCry -Wurm, reiste automatisch zwischen Computern ohne Benutzerinteraktion.[5]

Ab 1989 mit der ersten dokumentierten Ransomware, die als die bekannt ist AIDS TrojanerDie Verwendung von Ransomware -Betrug ist international gewachsen.[6][7][8] In den ersten sechs Monaten des Jahres 2018 gab es 181,5 Millionen Ransomware -Angriffe. Dieser Rekord ist im selben Zeitraum 2017 um 229% gestiegen.[9] Im Juni 2014 der Verkäufer McAfee Veröffentlichte Daten, aus denen hervorgeht, dass die Anzahl der Ransomware -Muster, die im Quartal als im gleichen Quartal des Vorjahres waren, mehr als doppelt so hoch dass sie gesammelt hatten.[10] Kryptolocker war besonders erfolgreich und beschaffte schätzungsweise 3 Millionen US -Dollar, bevor es von den Behörden abgenommen wurde.[11] und Cryptowall wurde von den USA geschätzt Bundesamt für Untersuchungen (FBI) bis Juni 2015 über 18 Mio. USD über 18 Millionen US -Dollar eingelaufen sein.[12] Im Jahr 2020 erhielt der IC3 2.474 Beschwerden als Ransomware mit angepassten Verlusten von über 29,1 Millionen US -Dollar. Die Verluste könnten laut FBI mehr als das sein.[13] Nach einem Bericht von SonicwallEs gab 2021 rund 623 Millionen Ransomware -Angriffe.[14]

Betrieb

Das Konzept der Dateiverzögerungs-Ransomware wurde von Young and implementiert und implementiert Yung bei Universität von Columbia und wurde auf der IEEE Security & Privacy Conference von 1996 vorgestellt. Es wird genannt Kryptovirale Erpressung und es wurde von dem fiktiven FaceHugger im Film inspiriert Außerirdischer.[15] Cryptovirale Erpressung ist das folgende Drei-Runden-Protokoll zwischen dem Angreifer und dem Opfer.[1]

  1. [AngreiferOpfer] Der Angreifer generiert ein Schlüsselpaar und platziert den entsprechenden öffentlichen Schlüssel in die Malware. Die Malware wird veröffentlicht.
  2. [OpferAngreifer] Um den Kryptoviral -Erpressungsangriff durchzuführen, generiert die Malware einen zufälligen symmetrischen Schlüssel und verschlüsselt damit die Daten des Opfers. Es verwendet den öffentlichen Schlüssel in der Malware, um den symmetrischen Schlüssel zu verschlüsseln. Dies ist bekannt als als Hybridverschlüsselung Und es führt zu einem kleinen asymmetrischen Chiffretext sowie dem symmetrischen Chiffretext der Daten des Opfers. Es wird den symmetrischen Schlüssel und die ursprünglichen Klartextdaten, um die Wiederherstellung zu verhindern. Es gibt eine Nachricht an den Benutzer, der den asymmetrischen Chiffretext und die Zahlung des Lösegeldes enthält. Das Opfer sendet den asymmetrischen Chiffretext und das E-Geld an den Angreifer.
  3. [AngreiferOpfer] Der Angreifer erhält die Zahlung, entzieht den asymmetrischen Chiffretext mit dem privaten Schlüssel des Angreifers und sendet den symmetrischen Schlüssel an das Opfer. Das Opfer entzieht die verschlüsselten Daten mit dem erforderlichen symmetrischen Schlüssel und schließt damit den Kryptovirologie -Angriff ab.

Das Symmetrischer Schlüssel wird zufällig generiert und wird anderen Opfern nicht helfen. Zu keinem Zeitpunkt ist der private Schlüssel des Angreifers, der Opfern ausgesetzt ist, und das Opfer muss dem Angreifer nur einen sehr kleinen Chiffretext (den verschlüsselten Symmetrie-Kipher-Schlüssel) senden.

Ransomware -Angriffe werden normalerweise mit a durchgeführt Trojanerein System eingeben, beispielsweise durch einen böswilligen Anhang, eingebettete Verbindung in a Phishing E -Mail oder eine Sicherheitsanfälligkeit in einem Netzwerkdienst. Das Programm läuft dann a Nutzlast, das das System auf irgendeine Weise sperrt oder behauptet, das System zu sperren, aber nicht (z. B. a Versicherung Programm). Nutzlasten können eine gefälschte Warnung angezeigt, die angeblich von einem Unternehmen wie a Strafverfolgungsbehördenfälschlicherweise behauptet, dass das System für illegale Aktivitäten verwendet wurde, enthält Inhalte wie z. Pornographie und "Raubkopien" Medien.[16][17][18]

Einige Nutzlasten bestehen einfach aus einer Anwendung, die das System sperrt oder einschränken soll, bis die Zahlung erfolgt, normalerweise durch Festlegen der Windows Shell zu sich selbst,[19] oder sogar ändern die Master Boot Record und/oder Partitionstabelle um zu verhindern, dass das Betriebssystem bis zur Reparatur bootet.[20] Die anspruchsvollsten Nutzlasten Verschlüsseln Dateien, mit vielen verwendet starke Verschlüsselung zu Verschlüsseln Die Akten des Opfers so, dass nur der Malware -Autor den benötigten Entschlüsselungsschlüssel hat.[1][21][22]

Die Zahlung ist praktisch immer das Ziel, und das Opfer ist gezwungen in die Bezahlung der Ransomware, die entweder durch Lieferung eines Programms entfernt werden soll, das die Dateien entschlüsseln kann, oder indem ein Entsperrcode gesendet wird, der die Änderungen des Nutzlasts rückgängig macht. Während der Angreifer das Geld einfach nehmen kann, ohne die Akten des Opfers zurückzugeben, liegt es im besten Interesse des Angreifers, die Entschlüsselung wie vereinbart auszuführen, da die Opfer keine Zahlungen senden, wenn bekannt wird, dass er keinen Zweck erfüllt. Ein Schlüsselelement für die Funktionsweise von Ransomware für den Angreifer ist ein bequemes Zahlungssystem, das schwer zu verfolgen ist. Eine Reihe solcher Zahlungsmethoden wurde verwendet, einschließlich Kabelübertragungen, Premium-Rate-Textnachrichten,[23] vorbezahlt Gutschein Dienstleistungen wie Paysafecard,[6][24][25] und die Bitcoin Kryptowährung.[26][27][28]

Im Mai 2020 berichtete der Anbieter Sophos, dass die globalen Durchschnittskosten für die Behebung eines Ransomware -Angriffs (unter Berücksichtigung der Ausfallzeiten, der Zeit, der Gerätekosten, der Netzwerkkosten, der verlorenen Chancen und des bezahlten Lösegeldes) 761.106 US -Dollar betrugen. Fünfundneunzig Prozent der Organisationen, die das Lösegeld bezahlten, ließen ihre Daten wiederherstellen.[29]

Geschichte

Verschlüsseln von Ransomware

Der erste bekannte Malware -Erpressungsangriff, der "AIDS Trojaner" geschrieben von Joseph Popp 1989 hatte ein so schwerwiegendes Entwurfsfehler, dass es nicht notwendig war, den Erpresserin überhaupt zu bezahlen. Die Nutzlast versteckte die Dateien auf der Festplatte und verschlüsselt nur ihre Namenund zeigte eine Nachricht an, in der behauptet wurde, dass die Nutzungslizenz zur Verwendung einer bestimmten Software abgelaufen sei. Der Benutzer wurde gebeten, zu bezahlen US$189 an "PC Cyborg Corporation", um ein Reparaturwerkzeug zu erhalten, obwohl der Entschlüsselungsschlüssel aus dem Code des Trojaner extrahiert werden konnte. Der Trojaner war auch als "PC Cyborg" bekannt. Popp wurde deklariert geistig unkompliziert Vor Gericht stehen, um seine Handlungen zu erledigen, aber er versprach, die Gewinne aus der Malware zu spenden, um zu finanzieren AIDS Forschung.[30]

Die Idee, anonyme Geldsysteme zu missbrauchen, um sicheres Lösegeld vom Menschen zu sammeln Entführung wurde 1992 von Sebastiaan von Solms und eingeführt David Naccache.[31] Diese Methode zur Sammlung elektronischer Geld wurde auch für kryptovirale Erpressungsangriffe vorgeschlagen.[1] Im Szenario von Solms-Naccache wurde eine Zeitungsveröffentlichung verwendet (da Bitcoin-Ledgers zum Zeitpunkt des Schreibens des Papiers nicht existierten).

Der Begriff der Verwendung öffentlicher Schlüsselkryptographie für Daten entführten Angriffe wurde 1996 von Adam L. Young und eingeführt Moti Yung. Young und Yung kritisierten die fehlgeschlagenen AIDS -Informationen Trojaner, auf die sich stützte Symmetrische Kryptographie Allein der fatale Fehler ist, dass der Entschlüsselungsschlüssel aus dem Trojaner extrahiert und einen experimentellen Proof-of-Concept-Cryptovirus auf einem implementiert werden kann Macintosh SE/30 das benutzte RSA und die Winziger Verschlüsselungsalgorithmus (Tee) zu Hybridverschlüsselung die Daten des Opfers. Seit öffentliche Schlüsselkryptographie wird verwendet, das Virus enthält nur die Verschlüsselung Schlüssel. Der Angreifer hält den entsprechenden Privatgelände Entschlüsselungsschlüssel privat. Der ursprüngliche experimentelle Cryptovirus von Young und Yung ließ das Opfer den asymmetrischen Chiffretext an den Angreifer senden, der ihn entschlüsselt und den symmetrischen Entschlüsselungsschlüssel zurückgibt, den es für eine Gebühr an das Opfer enthält. Lange bevor elektronisches Geld existiert jung und yung schlugen vor, dass elektronisches Geld auch durch Verschlüsselung erpresst werden könnte, was erklärte, dass "der Virusschreiber das gesamte Geld-Lösegeld effektiv halten kann Benutzer, es ist für den Benutzer kein Nutzen, wenn er von einem Cryptovirus verschlüsselt wird. "[1] Sie bezeichneten diese Angriffe als sein "Cryptoviral Erpressung ", ein offener Angriff, der Teil einer größeren Klasse von Angriffen in einem Feld genannt wird Kryptovirologie, was sowohl offene als auch verdeckte Angriffe umfasst.[1] Das kryptovirale Erpressungsprotokoll wurde von der parasitären Beziehung zwischen H. R. Gigers Facehugger und seinem Gastgeber im Film inspiriert Außerirdischer.[1][15]

Beispiele für erpresserische Ransomware wurden im Mai 2005 bekannt.[32] Bis Mitte 2006 wie Trojaner wie GpcodeTroj.ransom.a,, Archivus, Krotten, Cryzip und Mayarchive begannen, anspruchsvollere RSA-Verschlüsselungsschemata mit immer größeren Schlüsselgrößen zu verwenden. Gpcode.ag, das im Juni 2006 erkannt wurde, wurde mit einem 660-Bit-RSA-öffentlichen Schlüssel verschlüsselt.[33] Im Juni 2008 wurde eine als gpcode.ak bekannte Variante festgestellt. Mit einem 1024-Bit-RSA-Schlüssel wurde angenommen, dass es groß genug ist, um rechnerisch nicht zu brechen, um ohne konzertiert zu brechen verteilt Anstrengung.[34][35][36][37]

Die Verschlüsselung von Ransomware wurde Ende 2013 mit der Ausbreitung von wieder in die Bekanntheit gebracht Kryptolocker-Verwendung der Bitcoin Digitale Währung Plattform zum Sammeln von Lösegeldgeld. Im Dezember 2013, ZDNET Auf der Grundlage von Bitcoin -Transaktionsinformationen geschätzt, dass die Betreiber von Cryptolocker zwischen dem 15. Oktober und dem 18. Dezember etwa 27 Millionen US -Dollar von infizierten Benutzern beschafft hatten.[38] Die Kryptolocker -Technik war weithin kopiert In den folgenden Monaten, einschließlich Cryptolocker 2.0 (angenommen, nicht mit Cryptolocker verwandt zu sein), enthielt CryptodeFense (der zunächst einen wichtigen Designfehler enthielt, der den privaten Schlüssel für das infizierte System in einem speichern konnte benutzerdefinierbarer Standort, aufgrund der Verwendung von Windows 'integrierten Verschlüsselungs-APIs),[27][39][40][41] und die Entdeckung eines Trojaner im August 2014 Netzwerkspeicher Geräte erzeugt von Synologie.[42] Im Januar 2015 wurde berichtet, dass Angriffe im Ransomware-Stil gegen einzelne Websites durch Hacking und durch Ransomware, die darauf ausgelegt sind Linux-basierend Webserver.[43][44][45]

Bei einigen Infektionen gibt es eine zweistufige Nutzlast, die in vielen Malware-Systemen üblich ist. Der Benutzer wird dazu gebracht, ein Skript auszuführen, das das Hauptvirus herunterlädt und es ausführt. In frühen Versionen des Dual-Payload-Systems wurde das Skript in einem Microsoft Office-Dokument mit einem angehängten VBScript-Makro oder in einer WSF-Datei (Windows Scripting Facility) enthalten. Als die Erkennungssysteme diese Nutzlasten der ersten Stufe blockierten, identifizierte das Microsoft Malware Protection Center einen Trend zu LNK -Dateien mit in sich geschlossenem Microsoft Windows Power Shell Skripte.[46] Im Jahr 2016 wurde festgestellt, dass PowerShell an fast 40% der Endpoint -Sicherheitsvorfälle beteiligt ist.[47]

Einige Ransomware -Stämme haben verwendet Stellvertreter gebunden Tor Versteckte Dienste zu ihrer Verbindung zu ihren herstellen Steuerung und Kontrolle Server, die die Schwierigkeit erhöhen, den genauen Ort der Kriminellen zu verfolgen.[48][49] Außerdem, dunkles Netz Anbieter haben zunehmend begonnen, die Technologie anzubieten als Service, wobei Ransomware verkauft wird, bereit für die Bereitstellung von Opfmaschinen auf Abonnement, ähnlich wie bei Adobe Creative Cloud oder Office 365.[49][50][51]

Symantec hat Ransomware als die gefährlichste Cyber ​​-Bedrohung eingestuft.[52]

Am 28. September 2020 sind die Computersysteme des größten Gesundheitsdienstleisters der USA die Universelle Gesundheitsdienste, wurde von einem Ransomware -Angriff getroffen. Die UHS -Kette von verschiedenen Orten berichtete, dass Probleme bei einigen Standorten abgeschlossen wurden.[53][52]

Nicht verschließte Ransomware

Im August 2010 verhafteten die russischen Behörden neun Personen, die mit einem als Winlock bekannten Ransomware -Trojaner verbunden waren. Im Gegensatz zum vorherigen GPCode Trojan verwendete Winlock keine Verschlüsselung. Stattdessen eingeschränkten Winlock auf das System trivial eingeschränkt, indem sie pornografische Bilder anzeigen und die Benutzer gebeten haben, a zu senden Premium-Rate-SMS (kostet ungefähr 10 US -Dollar), um einen Code zu erhalten, mit dem ihre Maschinen freigeschaltet werden können. Der Betrug traf zahlreiche Nutzer in ganz Russland und den Nachbarländern und verdiente die Gruppe über 16 Millionen US -Dollar.[18][54]

Im Jahr 2011 tauchte ein Ransomware -Trojaner auf, der die imitierte Windows -Produktaktivierung Beachten Sie und informierten die Benutzer, dass die Windows-Installation eines Systems aufgrund von "[als] Opfer von Betrug" wieder aktiviert werden musste. Eine Online -Aktivierungsoption wurde angeboten (wie der tatsächliche Windows -Aktivierungsprozess), war jedoch nicht verfügbar, wobei der Benutzer eine von sechs anrufen musste internationale Zahlen So geben Sie einen 6-stelligen Code ein. Während die Malware behauptete, dass dieser Anruf kostenlos sein würde, wurde sie durch einen Schurkenbetreiber in einem Land mit hohen internationalen Telefonraten geleitet, der den Anruf in die Warteschleife stellte, was dazu führte Fern Gebühren.[16]

Im Februar 2013 ein Ransomware -Trojaner basierend auf der Stempel.EK Exploit -Kit aufgetaucht; Die Malware wurde über Websites verteilt, die auf den Projekthosting -Diensten gehostet wurden SourceForge und GitHub Das behauptete, "gefälschte nackte Bilder" von Prominenten anzubieten.[55] Im Juli 2013 eine Os x-Spezifisch Ransomware Trojan tauchte auf, auf dem eine Webseite angezeigt wird, auf der der Benutzer das Herunterladen von Pornografie beschuldigt. Im Gegensatz zu seinen Windows-basierten Gegenstücken blockiert es nicht den gesamten Computer, sondern einfach einfach nutzt das Verhalten des Webbrowsers selbst aus Versuche, die Seite mit normalen Mitteln zu schließen, frustrieren.[56]

Im Juli 2013 gab sich ein 21-jähriger Mann aus Virginia, dessen Computer zufällig pornografische Fotos von minderjährigen Mädchen enthielt, mit denen er sexualisierte Kommunikation durchgeführt hatte FBI Moneypak Ransomware beschuldigte ihn, Kinderpornografie besessen zu haben. Eine Untersuchung entdeckte die belastenden Akten, und der Mann wurde angeklagt sexueller Kindesmissbrauch von Kindern und Besitz von Kinderpornografie.[57]

Exfiltration (Leakware / Doxware)

Das Gegenteil von Ransomware ist a Kryptovirologie Angriff erfunden von Adam L. Young, das gestohlene Informationen aus dem Computersystem des Opfers veröffentlichen, anstatt dem Opfer Zugang dazu zu verweigern.[58] Bei einem Leckware -Angriff peelt Malware sensible Hostdaten entweder an den Angreifer oder alternativ an den Remote -Instanzen der Malware, und der Angreifer droht, die Daten des Opfers zu veröffentlichen, es sei denn, ein Lösegeld wird bezahlt. Der Angriff wurde bei präsentiert westlicher Punkt 2003 und wurde im Buch zusammengefasst Bösartige Kryptographie wie folgt "unterscheidet sich der Angriff auf folgende Weise von dem Erpressungsangriff. Bei der Erpressungsangriff wird dem Opfer den Zugang zu seinen eigenen wertvollen Informationen verweigert und muss zahlen, um ihn zurückzubekommen, wo in dem Angriff, der hier vorgestellt wird, das Opfer vorgelegt wird behält den Zugriff auf die Informationen bei, aber seine Offenlegung liegt im Ermessen des Computervirus. "[59] Der Angriff ist in der Spieltheorie verwurzelt und wurde ursprünglich als "Summenspiele ungleich Null und überlebensfähiger Malware" bezeichnet. Der Angriff kann einen Geldgewinn erzielen, in dem die Malware Zugriff auf Informationen erhält, die dem Opferbenutzer oder der Organisation, z. B. dem Reputationsschaden, der sich aus der Veröffentlichung des Angriffs selbst ergeben kann, schädigen kann.

Zu den gängigen Zielen für die Exfiltration gehören:

  • Informationen von Drittanbietern, die vom primären Opfer gespeichert wurden (z. B. Informationen des Kundenkontos oder Gesundheitsakten);
  • Informationsbesitzer des Opfers (wie Geschäftsgeheimnisse und Produktinformationen)
  • Verlegene Informationen (wie die Gesundheitsinformationen des Opfers oder Informationen über die persönliche Vergangenheit des Opfers)

Exfiltrationangriffe werden normalerweise mit einer kuratierten Opferliste und häufig vorläufiger Überwachung der Systeme des Opfers gezielt, um potenzielle Datenziele und Schwächen zu finden.[60][61]

Mobile Ransomware

Mit der zunehmenden Beliebtheit von Ransomware auf PC -Plattformen, Ransomware -Targeting Mobile Betriebssysteme hat sich auch vermehrt. In der Regel sind mobile Ransomware -Nutzlasten Blocker, da es nur wenig Anreiz gibt, Daten zu verschlüsseln, da diese über die Online -Synchronisation problemlos wiederhergestellt werden können.[62] Mobile Ransomware richtet sich in der Regel auf die Android Plattform, da Anwendungen aus Quellen von Drittanbietern installiert werden können.[62][63] Die Nutzlast wird normalerweise als verteilt APK -Datei installiert von einem ahnungslosen Benutzer; Es kann versuchen, eine Blockierungsnachricht über allen anderen Anwendungen anzuzeigen.[63] während ein anderer eine Form von verwendete ClickJacking Damit der Benutzer "Geräteadministrator" -Anberechtigte gibt, um einen tieferen Zugriff auf das System zu erzielen.[64]

Unterschiedliche Taktiken wurden angewendet iOS Geräte wie Ausnutzung iCloud Konten und Verwendung der Finde mein iPhone System zum Sperren des Zugangs auf das Gerät.[65] An iOS 10.3, Apple hat einen Fehler in der Handhabung von JavaScript-Pop-up-Fenstern in gepatcht Safari Das war von Ransomware -Websites ausgenutzt worden.[66] Es kürzlich[wenn?] Es wurde gezeigt, dass Ransomware auch ARM-Architekturen wie solche abzielen kann, die auf verschiedenen Internet-of-Things-Geräten (IoT) wie industriellen IoT-Kantengeräten zu finden sind.[67]

Im August 2019 zeigten Forscher, dass es möglich ist, infiziert zu werden DSLR -Kameras mit Ransomware.[68] Digitalkameras verwenden häufig Bildtransferprotokoll (PTP - Standardprotokoll, das zum Übertragen von Dateien verwendet wird.) Forscher stellten fest, dass es möglich war, Schwachstellen im Protokoll zu nutzen, um Zielkamera (n) mit Ransomware zu infizieren (oder beliebigen Code auszuführen). Dieser Angriff wurde am vorgestellt Defcon Sicherheitskonferenz in Las Vegas als Proof of Concept -Angriff (nicht als tatsächliche bewaffnete Malware).

Bemerkenswerte Angriffsziele

Bemerkenswerte Softwarepakete

Reveton

Eine Reveton -Nutzlast, die betrügerisch behauptet, der Benutzer müsse eine Geldstrafe für die Metropolitan Police Service

Im Jahr 2012 begann sich ein großer Ransomware -Trojaner bekannt als Reveton zu verbreiten. Basierend auf der Zitadelle Trojaner (was selbst basiert auf dem Zeus Trojaner), seine Nutzlast zeigt eine Warnung an, die angeblich von einer Strafverfolgungsbehörde behauptet, dass der Computer für illegale Aktivitäten verwendet wurde, z. B. für das Herunterladen Nicht lizenzierte Software oder Kinderpornografie. Aufgrund dieses Verhaltens wird es allgemein als "Polizei Trojaner" bezeichnet.[69][70][71] Die Warnung informiert den Benutzer darüber, dass sie mit einem Gutschein von einem anonymen Prepaid -Cash -Service wie z. Ukash oder Paysafecard. Um die Illusion zu erhöhen, dass der Computer von den Strafverfolgungsbehörden verfolgt wird, zeigt der Bildschirm auch den Computer an IP Adresse, während einige Versionen Filmmaterial von einem Opfer zeigen Webcam Um der Illusion zu geben, dass der Benutzer aufgezeichnet wird.[6][72]

Reveton begann Anfang 2012 zunächst in verschiedenen europäischen Ländern zu verbreiten.[6] Varianten wurden mit Vorlagen lokalisiert, die mit den Logos verschiedener Strafverfolgungsorganisationen auf der Grundlage des Landes des Benutzers gebrandmarkt wurden. Zum Beispiel enthielten Varianten, die in Großbritannien verwendet wurden, das Branding von Organisationen wie dem Metropolitan Police Service und die Polizei nationale E-Crime-Einheit. Eine andere Version enthielt das Logo der Society Collection Society PRS für Musik, was den Benutzer speziell beschuldigte, Musik illegal herunterzuladen.[73] In einer Erklärung, die die Öffentlichkeit vor der Malware warnte, stellte die Metropolitan -Polizei klar, dass sie im Rahmen einer Untersuchung niemals einen Computer so einsperrten.[6][17]

Im Mai 2012, Trend Micro Bedrohungsforscher entdeckten Vorlagen für Variationen für die Vereinigte Staaten und Kanadaund schlägt vor, dass die Autoren möglicherweise geplant haben, Benutzer in Nordamerika zu zielen.[74] Bis August 2012 begann sich eine neue Variante von Reveton in den USA zu verbreiten und behauptete, die Zahlung von a zu verlangen $200 Geldstrafe für das FBI mit a Moneypak Karte.[7][8][72] Im Februar 2013 wurde ein russischer Staatsbürger festgenommen Dubai von den spanischen Behörden für seine Verbindung zu einem Kriminalring, der Reveton benutzt hatte; Zehn andere Personen wurden verhaftet Geldwäsche Gebühren.[75] Im August 2014, Avast -Software berichtete, dass es neue Varianten von Reveton gefunden hatte, die auch als Teil seiner Nutzlast die Kennwortstock-Malware verteilen.[76]

Kryptolocker

Die Verschlüsselung von Ransomware tauchte im September 2013 mit einem Trojaner bekannt als auf Kryptolocker, das ein 2048-Bit-RSA-Schlüsselpaar generierte und wiederum auf einen Befehl und Kontrollserver hochgeladen wurde und zum Verschlüsseln von Dateien mit einem verwendet wurde Whitelist von spezifisch Dateierweiterungen. Die Malware drohte, den privaten Schlüssel bei einer Zahlung von zu löschen Bitcoin oder ein vorbezahlter Geldgutschein wurde innerhalb von 3 Tagen nach der Infektion nicht erstellt. Aufgrund der extrem großen Schlüsselgröße, die es verwendet, als Analysten und von dem Trojaner betroffenen Kryptolocker als äußerst schwierig zu reparieren.[26][77][78][79] Auch nach Ablauf der Frist könnte der private Schlüssel mit einem Online -Tool erhalten werden, aber der Preis würde sich auf 10 BTC erhöhen - was ab November 2013 ca. 2300 US -Dollar kostete.[80][81]

Cryptolocker wurde durch den Anfall der Beschlagnahme isoliert Gameover Zeus Botnetz im Rahmen Operation Tovar, wie offiziell von der angekündigt US -Justizministerium am 2. Juni 2014. Das Justizministerium gab auch öffentlich eine aus Anklage Gegen den russischen Hacker Evgeniy Bogachev für sein angebliches Engagement am Botnetz.[82][83] Es wurde geschätzt, dass mindestens 3 Millionen US -Dollar vor dem Abschalten mit der Malware erpresst wurden.[11]

Cryptolocker.f und Torrentlocker

Im September 2014 tauchte eine Welle von Ransomware -Trojanern auf, die zuerst auf Benutzer zielten Australienunter den Namen Cryptowall und Kryptolocker (Das ist wie bei Cryptolocker 2.0, der nicht mit dem ursprünglichen Kryptolocker zusammenhängt). Die Trojaner breiteten sich über betrügerische E-Mails aus Australien Post; Um der Erkennung durch automatische E-Mail-Scanner zu entdecken, die allen Links auf einer Seite nach Malware scannen, wurde diese Variante so konzipiert, dass Benutzer eine Webseite besuchen und eine eingeben müssen Captcha Der Code vor dem tatsächlich heruntergeladenen Nutzlast wird so verhindern, dass solche automatisierten Prozesse die Nutzlast scannen können. Symantec stellten fest, dass diese neuen Varianten, die sie identifizierten Cryptolocker.fwaren erneut nicht mit dem ursprünglichen Kryptolocker aufgrund von Unterschieden in ihrem Betrieb verbunden.[84][85] Ein bemerkenswertes Opfer der Trojaner war die Australian Broadcasting Corporation; Live -Programmierung im Fernsehen Nachrichtensender ABC News 24 wurde eine halbe Stunde gestört und auf verschoben Melbourne Studios aufgrund einer Cryptowall -Infektion auf Computern an IHS Sydney Studio.[86][87][88]

Ein weiterer Trojaner in dieser Welle, Torrentlocker, enthielt zunächst einen mit CryptodeFense vergleichbaren Entwurfsfehler; es benutzte das gleiche Schlüsselstream Für jeden infizierten Computer wird die Verschlüsselung trivial zu überwinden. Dieser Fehler wurde jedoch später behoben.[39] Bis zum Ende des Novembers 2014 wurden allein in Australien über 9.000 Benutzer von Torrentlocker infiziert, was nur mit 11.700 Infektionen der Türkei zurückblieb.[89]

Cryptowall

Ein weiterer großer Ransomware -Trojaner -Targeting -Windows, Cryptowall, erschien erstmals 2014. Ein Sorte von Cryptowall wurde als Teil von a verteilt Malvertisierung Kampagne auf der Zedo AD-Netzwerk im späten September 2014, das auf mehrere wichtige Websites abzielte; Die Anzeigen wurden zu Rogue -Websites weitergeleitet, auf denen Browser -Plugin -Exploits zum Herunterladen der Nutzlast verwendet wurden. EIN Barracuda -Netzwerke Der Forscher stellte auch fest, dass die Nutzlast mit a unterzeichnet wurde Digitale Unterschrift Um der Sicherheitssoftware vertrauenswürdig zu sein.[90] Cryptowall 3.0 verwendete eine Nutzlast, die geschrieben wurde JavaScript Im Rahmen eines E -Mail -Anhangs, in dem ausführbare Downloads downloads downloads downloads als getarnt sind JPG Bilder. Um der Erkennung weiter zu entgehen, schafft die Malware neue Instanzen von Explorer.exe und svchost.exe mit seinen Servern kommunizieren. Beim Verschlüsseln von Dateien löscht die Malware auch Lautstärkeschattenkopien und installiert Spyware, die Kennwörter stiehlt und Bitcoin -Brieftaschen.[91]

Das FBI berichtete im Juni 2015, dass fast 1.000 Opfer das Büro kontaktiert hatten Internet -Kriminalbeschwerdezentrum Kryptowall -Infektionen und geschätzte Verluste von mindestens 18 Millionen US -Dollar zu melden.[12]

Die neueste Version, Cryptowall 4.0, hat ihren Code erweitert, um die Antivirenerkennung zu vermeiden, und verschlüsselt nicht nur die Daten in Dateien, sondern auch die Dateinamen.[92]

Fusob

Fusob ist eine der wichtigsten mobilen Ransomware -Familien. Zwischen April 2015 und März 2016 waren rund 56 Prozent der berücksichtigten mobilen Ransomware FUSOB.[93]

Wie bei einer typischen mobilen Ransomware wird Angst -Taktiken verwendet, um Menschen zu erpressen, um ein Lösegeld zu zahlen.[94] Das Programm gibt vor, eine Anklagungsbehörde zu sein und das Opfer auffordert, eine Geldstrafe von 100 bis 200 US -Dollar zu zahlen USD oder auf andere Weise einer fiktiven Anklage. Ziemlich überraschenderweise schlägt Fusob vor, iTunes -Geschenkkarten zur Zahlung zu verwenden. Ein Timer, der auf den Bildschirm klickt, trägt auch zur Angst der Benutzer bei.

Um Geräte zu infizieren, fusob Maskeraden Als pornografischer Videoplayer. Opfer, denken also, dass es harmlos ist, und laden Sie Fusob unabsichtlich herunter.[95]

Wenn FUSOB installiert ist, überprüft er zunächst die im Gerät verwendete Sprache. Wenn es russische oder bestimmte osteuropäische Sprachen verwendet, tut Fusob nichts. Andernfalls wird das Gerät eingesperrt und Lösegeld verlangt. Unter den Opfern befinden sich etwa 40% von ihnen in Deutschland mit dem Vereinigten Königreich und den Vereinigten Staaten mit 14,5% bzw. 11,4%.

Fusob hat viele gemeinsam mit Small, einer anderen großen Familie mobiler Ransomware. Sie repräsentierten zwischen 2015 und 2016 über 93% der mobilen Ransomware.

Ich könnte heulen

Im Mai 2017 die WannaCry Ransomware -Angriff Über das Internet verteilt mit einem Exploit -Vektor namens namens Eternalblue, was angeblich aus den USA abgegeben wurde Nationale Sicherheitsbehörde. Der Ransomware -Angriff, beispiellos in Skala, beispiellos,[96] Infiziert mehr als 230.000 Computer in über 150 Ländern,[97] Verwenden von 20 verschiedenen Sprachen, um Geld von Benutzern zu fordern Bitcoin Kryptowährung. WannaCry forderte 300 US -Dollar pro Computer.[98] Der Angriff betroffen Telefónica und mehrere andere große Unternehmen in Spanien sowie Teile der Briten Nationaler Gesundheitsservice (NHS), wo mindestens 16 Krankenhäuser Patienten abweisen oder geplante Operationen stornieren mussten,[99] FedEx, Deutsche Bahn, Honda,[100] Renault, ebenso wie Russischer Innenministerium und russische Telekommunikation Megafon.[101] Die Angreifer gaben ihren Opfern eine 7-tägige Frist ab dem Tag, an dem sich ihre Computer infiziert hatten, woraufhin die verschlüsselten Dateien gelöscht würden.[102]

Petya

Petya wurde erstmals im März 2016 entdeckt. Im Gegensatz zu anderen Formen der Verschlüsselung von Ransomware zielte die Malware darauf ab, die zu infizieren Master Boot Recordinstallieren Sie eine Nutzlast, die die Dateitabellen der Dateiverschlüsse verschlüsselt NTFS Dateisystem Wenn das nächste Mal das infizierte System startet und das System nicht in Windows blockiert, bis das Lösegeld bezahlt wird. Überprüfen Sie den Punkt berichtete, dass es trotz einer innovativen Entwicklung des Ransomware-Designs zu relativ färblichen Infektionen geführt hatte als andere Ransomware, die im selben Zeitraum aktiv waren.[103]

Am 27. Juni 2017 wurde eine stark modifizierte Version von Petya für ein globales Cyberangriff verwendet Ukraine (aber viele Länder betreffen[104]). Diese Version wurde so modifiziert, dass sie mit demselben Eternalblue -Exploit, der von WannaCry verwendet wurde, verbreitet worden war. Aufgrund einer weiteren Designänderung kann es nach Bezahlung des Lösegeldes auch kein System freischalten. Dies führte dazu, dass Sicherheitsanalysten spekulierten, dass der Angriff nicht dazu gedacht war, einen illegalen Gewinn zu erzielen, sondern einfach zu Störungen zu führen.[105][106]

Schlechtes Kaninchen

Am 24. Oktober 2017 sind einige Benutzer in Russland Und die Ukraine berichtete über einen neuen Ransomware -Angriff mit dem Namen "Bad Rabbit", der einem ähnlichen Muster wie Wannacry und Petya folgt, indem er die Dateitabellen des Benutzers verschlüsselt und dann eine Bitcoin -Zahlung verlangt, um sie zu entschlüsseln. Eset glaubte, dass die Ransomware durch ein falsches Update auf verteilt wurde Adobe Flash Software.[107] Unter den von der Ransomware betroffenen Agenturen waren: Interfax, ODESA Internationaler Flughafen, Kyiv Metround das Ministerium für Infrastruktur der Ukraine.[108] Während der Verbreitung von Unternehmensnetzwerkstrukturen wurde die Ransomware auch in anderen Ländern entdeckt, darunter die Türkei, Deutschland, Polen, Japan, Südkorea und die Vereinigten Staaten.[109] Experten waren der Ansicht, dass der Ransomware -Angriff mit dem Petya -Angriff in der Ukraine verbunden war (vor allem, weil der Code von Bad Rabbit über viele überlappende und analoge Elemente des Kodex von Petya/Notpetya enthält.[110] Anhang an Crowdstrike Bad Rabbit und NotPetyas DLL (Dynamic Link Library) teilen 67 Prozent desselben Code[111]) Obwohl die einzige Identität zu den Schuldigen die Namen von Zeichen aus dem sind Game of Thrones Serie in den Code eingebettet.[109]

Sicherheitsexperten stellten fest, dass die Ransomware den EternalBlue -Exploit nicht zur Ausbreitung verwendete, und eine einfache Methode, um eine nicht betroffene Maschine zu inokulieren, die ältere Windows -Versionen ausführt, wurde am 24. Oktober 2017 gefunden.[112][113] Darüber hinaus sind die Websites, die zur Verbreitung der falschen Flash -Aktualisierung verwendet wurden, innerhalb weniger Tage nach der Entdeckung offline oder die problematischen Dateien entfernt, wodurch die Verbreitung von schlechten Kaninchen effektiv abgetötet wurde.[109]

Samsam

Im Jahr 2016 entstand eine neue Ransomware Jboss Server.[114] Es wurde festgestellt, dass dieser Stamm mit dem Namen "Samsam" den Prozess von Phishing oder illegalen Downloads zugunsten der Nutzung von Schwachstellen auf schwachen Servern umgeht.[115] Die Malware verwendet a Remote -Desktop -Protokoll Brute-Force-Angriff Um schwache Passwörter zu erraten, bis einer kaputt ist. Das Virus steckte hinter Angriffen auf die Ziele der Regierung und des Gesundheitswesens, wobei bemerkenswerte Hacks gegen die Stadt von auftraten Farmington, New Mexico, das Colorado Department of Transportation, Davidson County, North Carolinaund zuletzt a Ransomware -Angriff in der Infrastruktur von Atlanta.[115]

Mohammad Mehdi Shah Mansouri (geboren in Qom, Iran 1991) und Faramarz Shahi Savandi (geboren in Shiraz, Iran, im Jahr 1984) werden von der gesucht FBI für angeblich Start von Samsam Ransomware.[116] Die beiden haben angeblich 6 Millionen US -Dollar aus der Erpressung verdient und über 30 Millionen US -Dollar Schadenersatz mit der Malware verursacht.[117]

Dunkle Seite

Am 7. Mai 2021 wurde ein Cyberangriff an der US -Kolonialpipeline hingerichtet. Das Bundesamt für Untersuchungen identifiziert Dunkle Seite als Täter der Kolonialpipeline Ransomware -Angriff, verübt von SchadcodeDies führte zu einer freiwilligen Abschaltung der Hauptpipeline, die 45% Kraftstoff an die lieferte Ostküste der Vereinigten Staaten. Der Angriff wurde als der schlechteste Cyberangriff in den USA beschrieben kritische Infrastruktur. Darkside erpresst erfolgreich ungefähr 75 Bitcoin (Fast 5 Millionen US -Dollar) aus der Kolonialpipeline. US -Beamte untersuchen, ob der Angriff rein kriminell war oder mit der Beteiligung der russischen Regierung oder eines anderen staatlichen Sponsors stattgefunden hat. Nach dem Angriff veröffentlichte Darkside eine Erklärung, in der behauptet wurde, dass "wir unpolitisch sind, wir nicht an der Geopolitik teilnehmen ... Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen."

Am 10. Mai, Sentinelone veröffentlichte eine Analyse des Darkside Ransomware -Angriffs.

Im Mai 2021 das FBI und das FBI und Cybersecurity- und Infrastruktursicherheitsbehörde Er gab einen gemeinsamen Alarm aus und forderte die Eigentümer und Betreiber kritischer Infrastruktur auf, bestimmte Schritte zu unternehmen, um ihre Anfälligkeit für Darkside Ransomware und Ransomware im Allgemeinen zu verringern.

SYSKEY

SYSKEY ist ein Dienstprogramm, das mit enthalten war Windows NT-basierte Betriebssysteme, um die zu verschlüsseln Benutzerkonto -Datenbankoptional mit einem Passwort. Das Tool wurde manchmal effektiv als Ransomware verwendet Betrug technischer Support- Wenn ein Anrufer mit Remote -Zugriff auf den Computer das Tool verwenden kann, um den Benutzer aus seinem Computer zu sperren, wobei nur ein Passwort bekannt ist.[118] Syskey wurde aus späteren Versionen von entfernt Windows 10 und Windows Server Im Jahr 2017, weil er veraltet und "von Hackern als Teil von Ransomware -Betrug bekannt" verwendet wurde ".[119][120]

Ransomware-as-a-Service

Ransomware-as-a-Service (RAAS) wurde nach dem russischen basierten Russland zu einer bemerkenswerten Methode[121] oder russischsprachig[122] Gruppe Revil inszenierte Operationen gegen mehrere Ziele, einschließlich des Brasiliens ansässigen Brasilien JBS S.A. Im Mai 2021 und die in den USA ansässigen Basis Kaseya Limited Im Juli 2021.[123] Nach einem Telefonanruf zwischen dem 9. Juli 2021 zwischen dem US -Präsidenten der Vereinigten Staaten Joe Biden und russischer Präsident Wladimir Putin, Sagte Biden zu The Press: "Ich habe ihm sehr deutlich gemacht, dass die Vereinigten Staaten erwartet, wenn ein Ransomware -Betrieb aus seinem Boden stammt, obwohl sie nicht vom Staat gesponsert wird, erwarten wir, dass sie handeln, wenn wir ihnen genügend Informationen geben, um zu handeln, um zu handeln wem das ist. " Biden fügte später hinzu, dass die Vereinigten Staaten die Server der Gruppe abnehmen würden, wenn Putin dies nicht tun würde.[124][125] Vier Tage später verschwanden Revil -Websites und andere Infrastrukturen aus dem Internet.[126]

Minderung

Wenn ein Angriff in den frühen Stadien vermutet oder erkannt wird, dauert es einige Zeit, bis die Verschlüsselung stattfindet. Die sofortige Entfernung der Malware (ein relativ einfaches Verfahren), bevor sie abgeschlossen ist, würde weitere Datenschäden stoppen, ohne bereits verloren zu sein.[127][128]

Sicherheitsexperten haben Vorsichtsmaßnahmen für den Umgang mit Ransomware vorgeschlagen. Die Verwendung von Software oder anderen Sicherheitsrichtlinien, um bekannte Nutzlasten vom Start zu blockieren[26][129] Als solche haben Sie ein angemessenes Backup Lösung ist eine kritische Komponente für die Verteidigung gegen Ransomware. Beachte NasEs ist auch wichtig, "offline" aufrechtzuerhalten Backups von Dateien Speichern an Orten, die von einem potenziell infizierten Computer nicht zugänglich sindwie externe Speicherantriebe oder Geräte, die Haben Sie keinen Zugriff auf ein Netzwerk (einschließlich des Internets), verhindert, dass sie durch die Ransomware zugegriffen werden. Darüber hinaus, wenn Sie einen NAS verwenden oder Wolkenspeicherdann sollte der Computer haben nur anhängen Erlaubnis zum Zielspeicher, so dass er frühere Sicherungen löschen oder überschreiben kann. Entsprechend Comodozwei Angriffsfläche Reduzierung auf OS/Kernel Bietet eine materiell reduzierte Angriffsfläche, die zu einer erhöhten Sicherheitshaltung führt.[130][131][132]

Sicherheit installieren Aktualisierung Von Softwareanbietern ausgegeben können die mildern Schwachstellen von bestimmten Stämmen verschrieben, um sich zu vermehren.[133][134][135][136][137] Andere Maßnahmen sind Cyberhygiene - Vorsicht beim Öffnen E-Mail Anhänge und Links, Netzwerksegmentierungund kritische Computer aus Netzwerken isoliert.[138][139] Darüber hinaus, um die Ausbreitung von Ransomware -Maßnahmen von zu mildern Infektionskontrolle Kann Angewandt werden.[140] Dies kann die Trennung von infizierten Maschinen aus allen Netzwerken, Bildungsprogrammen, umfassen, umfassen[141] Effektive Kommunikationskanäle, Malwareüberwachung[Originalforschung?] und Wege der kollektiven Teilnahme[140]

Dateisystemverteidigung gegen Ransomware

Eine Reihe von Dateisystemen behalten Schnappschüsse der von ihnen gehaltenen Daten auf, mit denen die Inhalte von Dateien von einer Zeit vor dem Ransomware -Angriff wiederhergestellt werden können, falls die Ransomware es nicht deaktiviert.

  • Unter Windows, die Bandschattenkopie (VSS) wird häufig verwendet, um Datensicherungen zu speichern. Ransomware zielt häufig auf diese Schnappschüsse ab, um die Wiederherstellung zu verhindern Vssadmin.exe Um das Risiko zu verringern, dass Ransomware frühere Kopien deaktivieren oder löschen kann.
  • Unter Windows 10 können Benutzer in Windows Defender bestimmte Verzeichnisse oder Dateien zum Zugriff des gesteuerten Ordners hinzufügen, um sie vor Ransomware zu schützen.[142] Es wird empfohlen, Backup und andere wichtige Verzeichnisse dem kontrollierten Ordnerzugriff hinzuzufügen.
  • Es sei denn ZFS sind weitgehend immun gegen Ransomware, da ZFS in der Lage ist, selbst ein großes Dateisystem viele Male pro Stunde zu schnappen, und diese Schnappschüsse sind unveränderlich (nur lesen) und leicht zurückgerollt oder Dateien im Falle einer Datenbeschädigung wiederhergestellt.[143] Im Allgemeinen kann nur ein Administrator Snapshots löschen (aber nicht ändern).

Dateientschlüsselung und Wiederherstellung

Es gibt eine Reihe von Tools, die speziell zum Entschlüsseln von Dateien vorgesehen sind, die durch Ransomware gesperrt sind, obwohl eine erfolgreiche Wiederherstellung möglicherweise nicht möglich ist.[2][144] Wenn für alle Dateien der gleiche Verschlüsselungsschlüssel verwendet wird, verwenden Entschlüsselungswerkzeuge Dateien, für die es sowohl nicht korrumpierte Backups als auch verschlüsselte Kopien gibt (a) Bekannter Angriff im Jargon von Kryptanalyse. Es funktioniert jedoch nur, wenn der Chiffre, der der Angreifer verwendet hat, zunächst schwach war und anfällig für bekannte Plaintext-Angriffe war); Die Wiederherstellung des Schlüssels kann, falls möglich, mehrere Tage dauern.[145] Kostenlose Tools zur Entschlüsselung von Ransomware können dazu beitragen, Dateien zu entschlüsseln, die von den folgenden Formen von Ransomware verschlüsselt werden: AES_NI, Alcatraz Locker, Apocalypse, Badblock, Bart, BTCware, Crypt88, Cryptomix, Crysis, Encryptile, Findzip, Globe, Globe, Globe, Globe, Globe, Globe, Globe, Globe Versteckte Träne, Jigsaw, Lambdalocker, Legion, Noobcrypt, Stampado, Szflocker, Teslacrypt, Xdata.[146] Das nicht mehr Lösegeldprojekt ist eine Initiative von der Niederländische Polizeinationale High -Tech -Kriminalitätseinheit, Europol's Europäisches Cyberkriminalitätszentrum, Kaspersky Lab und McAfee Um Ransomware -Opfer zu helfen, ihre Daten wiederherzustellen, ohne ein Lösegeld zu zahlen.[147] Sie bieten ein kostenloses Kryptosheriff -Tool zur Analyse verschlüsselter Dateien und die Suche nach Entschlüsselungstools.[148]

Darüber hinaus können alte Kopien von Dateien auf der zuvor gelöschten Festplatte vorhanden sein. In einigen Fällen können diese gelöschten Versionen immer noch mit Verwendung wiederhergestellt werden Software für diesen Zweck entwickelt.

Wachstum

Ransomware Bösartige Software war zunächst auf ein oder zwei Länder in Osteuropa beschränkt und verteilte sich anschließend über den Atlantik in die USA und Kanada.[149] Die Anzahl der Cyberangriffe im Jahr 2020 war doppelt so hoch wie 2019.[150] Die ersten Versionen dieser Art von Malware verwendeten verschiedene Techniken, um die Computer zu deaktivieren[149] Durch Verriegelung der Opfersystemmaschine (Locker Ransomware) [133]. Ransomware verwendet unterschiedliche Taktiken, um Opfer zu erpressen. Eine der häufigsten Methoden ist die Verriegelung des Bildschirms des Geräts, indem eine Nachricht von einem Zweig der örtlichen Strafverfolgungsbehörden angezeigt wird, in denen behauptet wird, dass das Opfer eine Geldstrafe für illegale Aktivitäten zahlen muss. Die Ransomware kann eine Zahlung anfordern, indem sie eine SMS -Nachricht an eine Premium -Ratennummer sendet. Einige ähnliche Varianten der Malware zeigen pornografische Bildinhalte und forderten die Zahlung für die Entfernung.[149]

Im Jahr 2016 wurde ein erheblicher Anstieg der Ransomware -Angriffe auf Krankenhäuser festgestellt. Laut dem Internet Security Threat -Bericht 2017 von Symantec Corp hat Ransomware nicht nur IT -Systeme, sondern auch die Patientenversorgung, klinische Operationen und Abrechnung betroffen. Online -Kriminelle können durch das verfügbare Geld und das Gefühl der Dringlichkeit innerhalb des Gesundheitssystems motiviert sein.[151]

Ransomware wächst rasant in den Internetnutzern, aber auch für die IoT -Umgebung.[149] Das große Problem ist, dass Millionen von Dollar von einigen Organisationen und Branchen verloren gehen, die sich für die Bezahlung entschieden haben, wie das Hollywood Presbyterian Medical Center und das Medstar Health.[152]

Laut dem ISTR -Bericht von Symantec 2019 wurde erstmals seit 2013 im Jahr 2018 ein Rückgang der Ransomware -Aktivität mit einem Rückgang von 20 Prozent beobachtet. Vor 2017 waren die Verbraucher die bevorzugten Opfer, aber 2017 änderte sich dies dramatisch zu den Unternehmen. Im Jahr 2018 beschleunigte sich dieser Weg mit 81 Prozent Infektionen, was einen Anstieg von 12 Prozent darstellte.[153] Die gemeinsame Verteilungsmethode basiert heute auf E -Mail -Kampagnen.

Der erste berichtete Tod nach einem Ransomware -Angriff fand im Oktober 2020 in einem deutschen Krankenhaus statt.[154]

Ein effektives und erfolgreiches Cyber ​​Awareness-Schulungsprogramm muss von der obersten der Organisation mit unterstützenden Richtlinien und Verfahren gesponsert werden, die die Auswirkungen der Nichteinhaltung, die Häufigkeit des Trainings und einen Prozess zur Anerkennung der Schulung effektiv beschreiben. Ohne Sponsoring der Führungskräfte von „C-Level“ kann das Training nicht ignoriert werden. Weitere Faktoren, die für ein erfolgreiches Cyber ​​-Sensibilisierungs -Trainingsprogramm von entscheidender Bedeutung sind, besteht darin, eine Grundlinie zu ermitteln, in der das Wissen der Organisation ermittelt wird, um festzustellen, wo sich die Benutzer vor dem Training und danach in ihrem Wissen befinden. Welchen Ansatz, den eine Organisation für die Implementierung beschließt, ist wichtig, dass die Organisation über Richtlinien und Verfahren verfügt, die eine aufstrebende Schulungen anbieten, häufig durchgeführt werden und die gesamte Organisation von oben nach unten unterstützt.

Investitionen in die Technologie zum Erkennen und Einhalten dieser Bedrohungen müssen beibehalten werden, aber wir müssen uns daran erinnern und uns auf unsere schwächste Verbindung konzentrieren, die der Benutzer ist.

Strafrechtliche Verhaftungen und Verurteilungen

Zain Qaiser

Ein britischer Student, Zain Qaiser aus Barking, London, wurde 2019 mehr als sechs Jahre lang vor dem Kingston Crown Court wegen seiner Ransomware -Angriffe inhaftiert.[155] Er soll "der produktivste Cyber ​​-Verbrecher in Großbritannien verurteilt worden sein. Er wurde aktiv, als er erst 17 Jahre alt war. Er kontaktierte den russischen Controller eines der leistungsstärksten Angriffe, als die Lurk Malware -Bande angesehen und arrangierte eine Trennung seiner Gewinne. Er kontaktierte auch Online -Kriminelle aus China und den USA, um das Geld zu bewegen. Etwa eineinhalb Jahre lang war er als legitimer Lieferant von Online -Werbeaktionen für Buchwerbung auf einigen der weltweit am meisten besuchten legalen Pornografie -Websites. Jede der Anzeigen, die auf den Websites beworben wurde Reveton Ransomware STRABE DES BATEMISHIC ANGLERS Exploit Kit (AEK)[156] Das erfasste die Kontrolle über die Maschine. Die Ermittler entdeckten rund 700.000 Pfund Einnahmen, obwohl sein Netzwerk möglicherweise mehr als 4 Millionen Pfund verdient hat. Möglicherweise hat er etwas Geld mit Kryptowährungen versteckt. Die Ransomware würde die Opfer zum Kauf anweisen Greendot Moneypak Gutscheine und geben Sie den Code in das auf dem Bildschirm angezeigte Reveton -Feld ein. Dieses Geld trat in ein Moneypak-Konto ein, das von Qaiser verwaltet wurde, der dann die Gutscheinzahlungen in die Debitkarte eines amerikanischen Mitverschwörers einlegt-das von Raymond Ondigie Uadiale, der damals Student an war an Florida International University In den Jahren 2012 und 2013 arbeitete und später für Microsoft. Uadiale würde das Geld in umwandeln Liberty Reserve Digitale Währung und zahlen Sie es auf das Liberty Reserve -Konto von Qaiser.[157]

Ein Durchbruch in diesem Fall ereignete sich im Mai 2013, als Behörden aus mehreren Ländern die Liberty Reserve -Server beschlagnahmten und Zugang zu allen Transaktionen und der Kontoverlauf erhielten. Qaiser leitete verschlüsselte virtuelle Maschinen auf seinem MacBook Pro mit Mac- und Windows -Betriebssystemen.[158] Er konnte nicht früher vor Gericht gestellt werden Goodmayes Hospital (Wo er das Krankenhaus Wi-Fi nutzte, um Zugang zu seinen Werbesites zu erhalten.) Sein Anwalt behauptete, Qaiser habe unter psychischen Erkrankungen gelitten.[155] Die russische Polizei verhaftete im Juni 2016 50 Mitglieder der Lurk Malware -Bande.[159] Uadiale, ein eingebürgerter US -amerikanischer Staatsbürger nigerianischer Abstammung, wurde 18 Monate lang inhaftiert.[160]

Redefreiheit Herausforderungen und strafrechtliche Bestrafung

Die Veröffentlichung des Proof-of-Concept-Angriffscode ist bei akademischen Forschern und Sicherheitslücken häufig vorkommt. Es lehrt die Natur der Bedrohung, vermittelt die Schwere der Probleme und ermöglicht es, Gegenmaßnahmen zu entwickeln und zu setzen. Die Gesetzgeber mit Unterstützung von Strafverfolgungsbehörden erwägen jedoch, die Schaffung von Ransomware illegal zu machen. Im Bundesstaat Maryland machte der ursprüngliche Entwurf von HB 340 es zu einem Verbrechen, Ransomware zu schaffen, die mit bis zu 10 Jahren Gefängnis bestraft werden kann.[161] Diese Bestimmung wurde jedoch aus der endgültigen Version der Rechnung entfernt.[162] Ein Minderjähriger in Japan wurde verhaftet, weil er Ransomware -Code erstellt und verteilt hatte.[163] Jung und Yung Habe den ANSI C-Quellcode für einen Ransomware Cryptotrojan online auf Cryptovirology.com seit 2005 als Teil eines Kryptovirologie Buch geschrieben. Der Quellcode für den Cryptotrojan ist immer noch im Internet und ist mit einem Entwurf von Kapitel 2 verbunden.[164]

Siehe auch

Verweise

  1. ^ a b c d e f g Young, A.; M. Yung (1996). Cryptovirologie: Erpressungsbasierte Sicherheitsbedrohungen und Gegenmaßnahmen. IEEE Symposium über Sicherheit und Privatsphäre. S. 129–140. doi:10.1109/secPri.1996.502676. ISBN 0-8186-7417-2.
  2. ^ a b Schofield, Jack (28. Juli 2016). "Wie kann ich eine Ransomware -Infektion entfernen?". Der Wächter. Abgerufen 28. Juli 2016.
  3. ^ Mimoso, Michael (28. März 2016). "Petya Ransomware Master Datei Tabelle Verschlüsselung". ThreatPost.com. Abgerufen 28. Juli 2016.
  4. ^ Justin Luna (21. September 2016). "Mamba Ransomware verschlüsselt Ihre Festplatte, manipuliert den Startvorgang". Neowin. Abgerufen 5. November 2016.
  5. ^ Cameron, Dell (13. Mai 2017). "Der heutige massive Ransomware -Angriff war größtenteils vermeidbar. Hier erfahren Sie, wie Sie es vermeiden können.". Gizmodo. Abgerufen 13. Mai 2017.
  6. ^ a b c d e Dunn, John E. "Lösegeld Trojaner, die sich über das russische Kernland hinausbreiten". Techworld. Archiviert von das Original am 2. Juli 2014. Abgerufen 10. März 2012.
  7. ^ a b "Neues Internet -Betrug: Ransomware ..." FBI. 9. August 2012.
  8. ^ a b "Zitadelle Malware liefert weiterhin Reveton Ransomware ..." Internet Crime Complaint Center (IC3). 30. November 2012.
  9. ^ "Ransomware in großer Weise, 181,5 Millionen Angriffe seit Januar". Hilfe bei der Nettosicherheit. 11. Juli 2018. Abgerufen 20. Oktober 2018.
  10. ^ "Update: McAfee: Cyberkriminelle mit Android Malware und Ransomware am meisten". InfoWorld. 3. Juni 2013. Abgerufen 16. September 2013.
  11. ^ a b "Cryptolocker -Opfer, um Dateien kostenlos zurückzubekommen". BBC News. 6. August 2014. Abgerufen 18. August 2014.
  12. ^ a b "Laut FBI hat Crypto Ransomware> 18 Millionen US -Dollar für Cyberkriminelle eingewachsen". ARS Technica. 25. Juni 2015. Abgerufen 25. Juni 2015.
  13. ^ "Internet Crime Report 2020" (PDF). IC3.gov. Abgerufen 1. März 2022.
  14. ^ "Die wilde Regierungszeit von Ransomware setzt sich fort, da die Angriffe um 105%steigen.". Hilfe bei der Nettosicherheit. 18. Februar 2022. Abgerufen 20. April 2022.
  15. ^ a b Young, Adam L.; Yung, Moti (2017). "Cryptovirology: Die Geburt, Vernachlässigung und Explosion von Ransomware". 60 (7). Kommunikation der ACM: 24–26. Abgerufen 27. Juni 2017. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  16. ^ a b "Ransomware drückt Benutzer mit einer falschen Windows -Aktivierungsbedarf". Computerwelt. 11. April 2011. Abgerufen 9. März 2012.
  17. ^ a b "Polizei warnen vor Erpressungsmeldungen, die in ihrem Namen gesendet wurden". Helsingin Sanomat. Abgerufen 9. März 2012.
  18. ^ a b McMillian, Robert (31. August 2010). "Mutnige Ransomware -Gang untersucht von der Polizei von Moskau". PC Welt. Abgerufen 10. März 2012.
  19. ^ "Ransomware: gefälschte Bundesdeutsche Polizei (BKA)" Bekanntmachung ". Seckelelist (Kaspersky Lab). Abgerufen 10. März 2012.
  20. ^ "Und jetzt ein MBR Ransomware". Seckelelist (Kaspersky Lab). Abgerufen 10. März 2012.
  21. ^ Adam Young (2005). Zhou, Jianying; Lopez, Javier (Hrsg.). "Aufbau eines Kryptovirus mit der kryptografischen API von Microsoft". Informationssicherheit: 8. Internationale Konferenz, ISC 2005. Springer-Verlag. S. 389–401.
  22. ^ Young, Adam (2006). "Cryptovirale Erpressung mit Microsofts Crypto API: Kann Crypto APIs dem Feind helfen?" Internationales Journal of Information Security. 5 (2): 67–76. doi:10.1007/s10207-006-0082-7. S2CID 12990192.
  23. ^ Danchev, Dancho (22. April 2009). "Neue Ransomware sperrt PCs, erfordert Premium -SMS zum Entfernen". ZDNET. Archiviert von das Original am 26. April 2009. Abgerufen 2. Mai 2009.
  24. ^ "Ransomware spielt Raubkartendienkarten, erfordert 143 US -Dollar". Computerwelt. 6. September 2011. Abgerufen 9. März 2012.
  25. ^ Cheng, Jacqui (18. Juli 2007). "Neue Trojaner: Geben Sie US $ 300 oder die Daten erhalten es!". ARS Technica. Abgerufen 16. April 2009.
  26. ^ a b c "Sie sind infiziert - wenn Sie Ihre Daten wieder sehen möchten, zahlen Sie 300 US -Dollar in Bitcoins.". ARS Technica. 17. Oktober 2013. Abgerufen 23. Oktober 2013.
  27. ^ a b "CryptodeFense Ransomware lässt den Entschlüsselungsschlüssel zugänglich". Computerwelt. Idg. April 2014. Abgerufen 7. April 2014.
  28. ^ "Was tun, wenn Ransomware auf Ihren Windows -Computer angreift?". Techie -Motto. Archiviert von das Original am 23. Mai 2016. Abgerufen 25. April 2016.
  29. ^ Adam, Sally (12. Mai 2020). "Der Zustand der Ransomware 2020". Sophos News. Abgerufen 18. September 2020.
  30. ^ Kassner, Michael. "Ransomware: Erpressung über das Internet". TechRepublic. Abgerufen 10. März 2012.
  31. ^ Sebastiaan von Solms; David Naccache (1992). "Auf blinden Unterschriften und perfekten Verbrechen" (PDF). Computer & Sicherheit. 11 (6): 581–583. doi:10.1016/0167-4048 (92) 90193-U. S2CID 23153906. Archiviert von das Original (PDF) am 26. Oktober 2017. Abgerufen 25. Oktober 2017.
  32. ^ Schably, Susan (26. September 2005). "Dateien für Lösegeld". Netzwerkwelt. Abgerufen 17. April 2009.
  33. ^ Leyden, John (24. Juli 2006). "Ransomware wird schwerer zu brechen". Das Register. Abgerufen 18. April 2009.
  34. ^ Naraine, Ryan (6. Juni 2008). "Erpressung Ransomware kehrt mit 1024-Bit-Verschlüsselungsschlüssel zurück". ZDNET. Archiviert von das Original am 3. August 2008. Abgerufen 3. Mai 2009.
  35. ^ Lemos, Robert (13. Juni 2008). "Ransomware widerstehen Krypto -Cracking -Bemühungen". SecurityFocus. Abgerufen 18. April 2009.
  36. ^ Krebs, Brian (9. Juni 2008). "Ransomware verschlüsselt Opferdateien mit 1.024-Bit-Schlüssel". Die Washington Post. Abgerufen 16. April 2009.
  37. ^ "Kaspersky Lab berichtet über ein neues und gefährliches Erpressungsvirus". Kaspersky Lab. 5. Juni 2008. Abgerufen 11. Juni 2008.
  38. ^ Violett blau (22. Dezember 2013). "Cryptolockers Crimewave: Eine Spur von Millionen in Wäschelbitcoin". ZDNET. Abgerufen 23. Dezember 2013.
  39. ^ a b "Verschlüsselung in TorrentLocker-Datei-Sperren-Malware festgelegt". PC Welt. 17. September 2014. Abgerufen 15. Oktober 2014.
  40. ^ "Cryptolocker 2.0 - Neue Version oder Nachahmer?". Welivesecurity. Eset. 19. Dezember 2013. Abgerufen 18. Januar 2014.
  41. ^ "Neue Kryptolocker verbreitet sich über abnehmbare Laufwerke". Trend Micro. 26. Dezember 2013. archiviert von das Original am 4. November 2016. Abgerufen 18. Januar 2014.
  42. ^ "Synology Nas -Geräte, die von Hackern gezielt werden, fordern Bitcoin -Lösegeld, um Dateien zu entschlüsseln.". Extremetech. Ziff Davis Media. Archiviert von das Original am 19. August 2014. Abgerufen 18. August 2014.
  43. ^ "Dateiverzögerung Ransomware beginnt auf Linux-Webserver zu zielen". PC Welt. Idg. 9. November 2015. Abgerufen 31. Mai 2016.
  44. ^ "Cybercriminals verschlüsseln Website -Datenbanken in" Ransomweb "Angriffe". Sicherheitswoche. Abgerufen 31. Mai 2016.
  45. ^ "Hacker, die Websites halten, um durch Wechsel ihrer Verschlüsselungsschlüssel zu leisten.". Der Wächter. Abgerufen 31. Mai 2016.
  46. ^ "Die neue .lnk zwischen Spam und Locky Infektion". Blogs.technet.microsoft.com. 19. Oktober 2016. Abgerufen 25. Oktober 2017.
  47. ^ Muncaster, Phil (13. April 2016). "Powershell -Exploits, die in über einem Drittel der Angriffe entdeckt wurden".
  48. ^ "Neue Ransomware setzt Tor ein, um vor Sicherheit verborgen zu bleiben". Der Wächter. Abgerufen 31. Mai 2016.
  49. ^ a b "Der aktuelle Stand der Ransomware: CTB-Locker". Sophos Blog. Sophos. 31. Dezember 2015. Abgerufen 31. Mai 2016.
  50. ^ Brook, Chris (4. Juni 2015). "Der Autor hinter Ransomware Tox nennt es Quits, verkauft die Plattform". Abgerufen 6. August 2015.
  51. ^ Dela Paz, Roland (29. Juli 2015). "Encryptor Raas: Ein weiterer neuer Ransomware-as-a-Service auf dem Block". Archiviert von das Original am 2. August 2015. Abgerufen 6. August 2015.
  52. ^ a b "Symantec klassifiziert Ransomware als die gefährlichste Cyber ​​-Bedrohung - Tech2". 22. September 2016. Abgerufen 22. September 2016.
  53. ^ "Ransomware Berichten zufolge schuld für den Ausfall in der US -Krankenhauskette". Der Verge. 28. September 2020. Abgerufen 28. September 2020.
  54. ^ Leyden, John. "Russische Polizisten Cuff 10 Ransomware Trojaner Verdächtige". Das Register. Abgerufen 10. März 2012.
  55. ^ "Kriminelle schieben Ransomware auf den Seiten von Github und SourceForge, indem sie 'Fake Nude Pics' von Prominenten spammen".. ThenextWeb. 7. Februar 2013. Abgerufen 17. Juli 2013.
  56. ^ "Neue OS X Malware hält Macs für Ransom, erfordert das FBI 300 US -Dollar für die 'Anzeige oder Verteilung von' Pornos.". ThenextWeb. 15. Juli 2013. Abgerufen 17. Juli 2013.
  57. ^ "Man bekommt Ransomware-Porno-Pop-up, geht an Polizisten, wird wegen Kinderpornos verhaftet.". ARS Technica.26. Juli 2013. Abgerufen 31. Juli 2013.
  58. ^ Young, A. (2003). Spiele ungleich Null und überlebensfähige Malware. IEEE Systems, Man and Cybernetics Society Information Assurance Workshop. S. 24–29.
  59. ^ Ein Junge, M. Yung (2004). Böswillige Kryptographie: Kryptovirologie enthüllen. Wiley. ISBN 978-0-7645-4975-5.
  60. ^ Arntz, Pieter (10. Juli 2020). "Bedrohung Spotlight: WastedLocker, Customized Ransomware". Malwarebytes Labs. Abgerufen 27. Juli 2020.
  61. ^ Ricker, Thomas (27. Juli 2020). "Garmin bestätigt Cyberangriff, da Fitness -Tracking -Systeme wieder online kommen.". Der Verge. Abgerufen 27. Juli 2020.
  62. ^ a b "Ransomware auf mobilen Geräten: Knock-Knock-Block". Kaspersky Lab. Abgerufen 6. Dezember 2016.
  63. ^ a b "Ihr Android -Telefon hat illegale Pornos angesehen. Um ihn freizuschalten, zahlen Sie eine Geldstrafe von 300 US -Dollar.". ARS Technica. 6. Mai 2014. Abgerufen 9. April 2017.
  64. ^ "Neue Android Ransomware verwendet ClickJacking, um Administratorrechte zu erhalten.". PC Welt. 27. Januar 2016. Abgerufen 9. April 2017.
  65. ^ "Hier erfahren Sie, wie Sie neu entdeckte iPhone Ransomware überwinden können". Reichtum. Abgerufen 9. April 2017.
  66. ^ "Ransomware-Betrüger haben Safari-Fehler ausgenutzt, um Pornos zu erpressen iOS-Benutzer". ARS Technica. 28. März 2017. Abgerufen 9. April 2017.
  67. ^ Al-Hawawreh, Muna; Den Hartog, Frank; Sitnikova, Elena (2019). "Zielte Ransomware: Eine neue Cyber ​​-Bedrohung für das Edge -System des Industrial Internet of Things". IEEE Internet of Things Journal. 6 (4): 7137–7151. doi:10.1109/jiot.2019.2914390. S2CID 155469264.
  68. ^ Palmer, Danny. "So könnte Ransomware Ihre Digitalkamera infizieren". ZDNET. Abgerufen 13. August 2019.
  69. ^ "Gardaí warnen vor 'Polizei Trojaner' Computer -Sperren -Virus". Thejournal.ie. Abgerufen 31. Mai 2016.
  70. ^ "Barrie -Computer -Experte sieht eine Zunahme der Auswirkungen der neuen Ransomware". Barrie Examiner. Postmedia -Netzwerk. Abgerufen 31. Mai 2016.
  71. ^ "Fake Cop Trojan 'erkennt offensive Materialien auf PCs, erfordert Geld". Das Register. Abgerufen 15. August 2012.
  72. ^ a b "Reveton Malware friert PCs ein, erfordert die Zahlung". Informationswoche. Abgerufen 16. August 2012.
  73. ^ Dunn, John E. "Die Polizei warnt nach, nachdem Ransom Trojan 1.100 PCs einrückt". Techworld. Archiviert von das Original am 2. Juli 2014. Abgerufen 16. August 2012.
  74. ^ Constantian, Lucian (9. Mai 2012). "Ransomware mit polizeilichem Thema beginnt auf uns und kanadische Benutzer zu zielen". PC Welt. Abgerufen 11. Mai 2012.
  75. ^ "Reveton 'Police Ransom' Malware Gang Head in Dubai verhaftet". Techworld. Archiviert von das Original am 14. Dezember 2014. Abgerufen 18. Oktober 2014.
  76. ^ ""Reveton" Ransomware mit leistungsstarkem Passwort Stealer aktualisiert ". PC Welt. 19. August 2014. Abgerufen 18. Oktober 2014.
  77. ^ "Die Verschlüsselung von Cryptolocker Malware erfordert 300 US -Dollar, um Ihre Dateien zu entschlüsseln.". Geek.com. 11. September 2013. archiviert von das Original am 4. November 2016. Abgerufen 12. September 2013.
  78. ^ Ferguson, Donna (19. Oktober 2013). "Kryptolocker -Angriffe, die Ihren Computer zum Lösen halten". Der Wächter. Abgerufen 23. Oktober 2013.
  79. ^ "Destructive Malware" Cryptolocker "auf freiem Fuß - hier ist was zu tun ist". Nackte Sicherheit. Sophos. 12. Oktober 2013. Abgerufen 23. Oktober 2013.
  80. ^ "Cryptolocker Crooks berechnen 10 Bitcoins für den Entschlüsselungsdienst der zweiten Chance". Networkworld. 4. November 2013. Abgerufen 5. November 2013.
  81. ^ "Kryptolocker -Schöpfer versuchen, noch mehr Geld von Opfern mit neuem Service zu erpressen.". PC Welt. 4. November 2013. Abgerufen 5. November 2013.
  82. ^ "WHAM BAM: Global Operation Tovar Whacks Cryptolocker Ransomware & GameOver Zeus Botnet". Computerwelt. Idg. Archiviert von das Original am 3. Juli 2014. Abgerufen 18. August 2014.
  83. ^ "US Leads Multinational Action gegen" Gameover Zeus "Botnet und" Cryptolocker "Ransomware, Lades Botnet Administrator" ". Justice.gov. US -Justizministerium. Abgerufen 18. August 2014.
  84. ^ "Australier haben zunehmend von globaler Flut von Kryptomalware getroffen". Symantec. Abgerufen 15. Oktober 2014.
  85. ^ Grubb, Ben (17. September 2014). "Hacker sperren Tausende von australischen Computern, fordern Lösegeld.". Sydney Morning Herald. Abgerufen 15. Oktober 2014.
  86. ^ "Australien, die speziell von Cryptolocker: Symantec ins Visier genommen wurden". Arnnet. 3. Oktober 2014. Abgerufen 15. Oktober 2014.
  87. ^ "Betrüger nutzen Australia Post, um E -Mail -Angriffe zu maskieren.". Sydney Morning Herald. 15. Oktober 2014. Abgerufen 15. Oktober 2014.
  88. ^ Steve Ragan (7. Oktober 2014). "Ransomware Attack schlägt den TV -Sender aus der Luft". CSO. Abgerufen 15. Oktober 2014.
  89. ^ "Über 9.000 PCs in Australien infiziert von Torrentlocker Ransomware". Cso.com.au. 17. Dezember 2014. Abgerufen 18. Dezember 2014.
  90. ^ "Malvertising -Kampagne liefert digital signierte Cryptowall Ransomware". PC Welt. 29. September 2014. Abgerufen 25. Juni 2015.
  91. ^ "Cryptowall 3.0 Ransomware Partners mit Fareit Spyware". Trend Micro. 20. März 2015. Abgerufen 25. Juni 2015.
  92. ^ Andra Zaharia (5. November 2015). "Sicherheitswarnung: Cryptowall 4.0 - Neu, erweitert und schwieriger zu erkennen". Heimdal. Abgerufen 5. Januar 2016.
  93. ^ "Ransomware auf mobilen Geräten: Knock-Knock-Block". Kaspersky Lab. Abgerufen 4. Dezember 2016.
  94. ^ "Die Entwicklung mobiler Ransomware". Avast. Abgerufen 4. Dezember 2016.
  95. ^ "Mobile Ransomware verwenden Sprünge und blockieren den Zugriff auf Telefone". PC Welt. IDG Consumer & SMB. 30. Juni 2016. Abgerufen 4. Dezember 2016.
  96. ^ "Cyber-Angriff: Europol sagt, dass es in Größenordnung beispiellos war". BBC News. 13. Mai 2017. Abgerufen 13. Mai 2017.
  97. ^ "'Beispiellose' Cyberangrifftack tritt 200.000 in mindestens 150 Ländern an, und die Bedrohung eskaliert ". CNBC. 14. Mai 2017. Abgerufen 16. Mai 2017.
  98. ^ "Das wahre Opfer von Ransomware: Ihr lokaler Eckgeschäft". CNET. Abgerufen 22. Mai 2017.
  99. ^ Marsh, Sarah (12. Mai 2017). "Die NHS Trusts von Malware - Vollliste" getroffen ". Der Wächter. Abgerufen 12. Mai 2017.
  100. ^ "Honda hält die Japan -Autoanlage an, nachdem das WannaCry -Virus das Computer -Netzwerk beendet hat". Reuters. 21. Juni 2017. Abgerufen 21. Juni 2017.
  101. ^ "Das Neueste: Der russische Innenministerium wird von Cyberangriffen getroffen". Wthr.
  102. ^ Scott, Paul Mozur, Mark; Goel, Vindu (19. Mai 2017). "Die Opfer nennen Hacker 'Bluff, als sich Ransomware -Frist nähert". Die New York Times. ISSN 0362-4331. Abgerufen 22. Mai 2017.
  103. ^ Konstantin, Lucian. "Petya Ransomware ist jetzt doppelt so schwierig.". Networkworld. Abgerufen 27. Juni 2017.
  104. ^ "Ransomware -Statistiken für 2018 | Sicherheitsdetektiv". Sicherheitsdetektiv. 23. Oktober 2018. Abgerufen 20. November 2018.
  105. ^ "Der massive Ransomware -Ausbruch am Dienstag war in der Tat etwas viel Schlimmeres". ARS Technica. 28. Juni 2017. Abgerufen 28. Juni 2017.
  106. ^ "Cyber-Angriff ging um Daten und nicht um Geld, sagen Experten". BBC News. 29. Juni 2017. Abgerufen 29. Juni 2017.
  107. ^ "'Bad Rabbit' Ransomware schlägt die Ukraine und Russland an. ". BBC. 24. Oktober 2017. Abgerufen 24. Oktober 2017.
  108. ^ Hern, Alex (25. Oktober 2017). "Schlechtes Kaninchen: Game of Thrones-Referenzing Ransomware trifft Europa". TheGuardian.com. Abgerufen 25. Oktober 2017.
  109. ^ a b c Larson, Selena (25. Oktober 2017). "Neue Ransomware -Angriff trifft Russland und verbreitet sich um den Globus". CNN. Abgerufen 25. Oktober 2017.
  110. ^ "Badrabbit: Ein genauerer Blick auf die neue Version von Petya/Notpetya". Malwarebytes Labs. 24. Oktober 2017. Abgerufen 31. Juli 2019.
  111. ^ Palmer, Danny. "Schlechtes Kaninchen: Zehn Dinge, die Sie über den neuesten Ransomware -Ausbruch wissen müssen". ZDNET. Abgerufen 31. Juli 2019.
  112. ^ Cameron, Dell (24. Oktober 2017). ""Bad Rabbit" Ransomware schlägt Russland und Ukraine ". Gizmodo. Abgerufen 24. Oktober 2017.
  113. ^ Palmer, Danny (24. Oktober 2017). "Bad Rabbit Ransomware: Eine neue Variante von Petya verbreitet sich, warnen Forscher". ZDNET. Abgerufen 24. Oktober 2017.
  114. ^ Rashid, Fahmida Y. (19. April 2016). "Patch Jboss jetzt, um Samsam Ransomware -Angriffe zu verhindern". InfoWorld. Idg. Abgerufen 23. Juli 2018.
  115. ^ a b Crowe, Jonathan (März 2018). "City of Atlanta hat mit Samsam Ransomware getroffen: 5 wichtige Dinge zu wissen". Barkley gegen Malware. Barkley Protects, Inc.. Abgerufen 18. Juli 2018.
  116. ^ Bundesamt für Untersuchungen, Gesucht vom FBI: Samsam -Themen (PDF), US -Justizministerium, abgerufen 5. Oktober 2019
  117. ^ "Zwei iranische Männer, die angeklagt wurden, Ransomware für Erpressung von Krankenhäusern, Gemeinden und öffentlichen Einrichtungen zu erpressen und über 30 Millionen US -Dollar an Verlusten zu führen." (Pressemitteilung). Justizministerium der Vereinigten Staaten. 28. November 2018. Abgerufen 11. Dezember 2018.
  118. ^ Whittaker, Zack. "Wir haben mit Windows Tech -Support -Betrüger gesprochen. Deshalb sollten Sie es nicht sollten.". ZDNET. Abgerufen 6. November 2019.
  119. ^ "Windows 10 Fall Creators Update: syskey.exe Support fallen gelassen". ghacks. 26. Juni 2017. Abgerufen 6. November 2019.
  120. ^ "Syskey.exe Utility wird in Windows 10, Windows Server 2016 und Windows Server 2019 nicht mehr unterstützt.". Microsoft. Abgerufen 6. November 2019.
  121. ^ "Die russische Ransomware Group 'Revil' verschwindet, nachdem sie US-Unternehmen getroffen haben.". Der Unabhängige. 13. Juli 2021.
  122. ^ "Eine produktive Ransomware -Bande verschwindet plötzlich aus dem Internet. Das Timing ist bemerkenswert". NBC News.
  123. ^ "McAfee ATR analysiert Sodinokibi alias Revil Ransomware-as-a-Service-die All-Stars". 2. Oktober 2019.
  124. ^ "Biden sagt Putin Russland muss gegen Cyberkriminelle vorgehen". AP News. 9. Juli 2021.
  125. ^ Sanger, David E. (13. Juli 2021). "Russlands aggressivste Ransomware -Gruppe ist verschwunden. Es ist unklar, wer sie behindert hat.". Die New York Times. Archiviert von das Original am 28. Dezember 2021.
  126. ^ Business, Brian Fung, Zachary Cohen und Genfer Sands, CNN (13. Juli 2021). "Ransomware -Bande, die den Fleischlieferant traf, verschwindet auf mysteriöse Weise aus dem Internet". CNN.
  127. ^ Cannell, Joshua (8. Oktober 2013). "Cryptolocker Ransomware: Was Sie wissen müssen, haben zuletzt aktualisiert 06.02.2014". Malwarebytes Unverpackt. Archiviert vom Original am 30. September 2021. Abgerufen 19. Oktober 2013.
  128. ^ Leyden, Josh. "Fiendish Cryptolocker Ransomware: Was auch immer Sie tun, zahlen nicht". Das Register. Archiviert vom Original am 13. August 2021. Abgerufen 18. Oktober 2013.
  129. ^ "Kryptolocker-Infektionen auf dem Vormarsch; US-Cert-Probleme Warnung". Sicherheitswoche. 19. November 2013. Archiviert vom Original am 27. Mai 2021. Abgerufen 18. Januar 2014.
  130. ^ Metin, Ozer. "Antriebsoberfläche Reduktion auftragen". Comodo -Cybersicherheit. Archiviert Aus dem Original am 5. Oktober 2021. Abgerufen 27. August 2020.
  131. ^ "Überblick über die Fähigkeiten zur Reduzierung von Angriffsoberflächen". Microsoft. Archiviert vom Original am 18. November 2021. Abgerufen 6. Februar 2020.
  132. ^ "Comodos patentierter" Kernel -API -Virtualisierung " - unter der Motorhaube". Comodo -Cybersicherheit. Archiviert Aus dem Original am 4. Oktober 2021. Abgerufen 27. August 2020.
  133. ^ ""Petya" Ransomware -Ausbruch wird global ". krebsersecurity.com. Krebs über Sicherheit. Abgerufen 29. Juni 2017.
  134. ^ "Wie Sie sich vor Petya Malware schützen können". CNET. Abgerufen 29. Juni 2017.
  135. ^ "Petya Ransomware -Angriff: Was Sie tun sollten, damit Ihre Sicherheit nicht beeinträchtigt ist". Die wirtschaftlichen Zeiten. 29. Juni 2017. Abgerufen 29. Juni 2017.
  136. ^ "Neue 'Petya' Ransomware -Angriff Spreads: Was zu tun ist". Toms Führer. 27. Juni 2017. Abgerufen 29. Juni 2017.
  137. ^ "Indien am schlimmsten von Petya in APAC, 7. Weltweit: Symantec". Die wirtschaftlichen Zeiten. 29. Juni 2017. Abgerufen 29. Juni 2017.
  138. ^ "TRA gibt Ratschläge zum Schutz vor den neuesten Ransomware Petya | The National" aus. ". 29. Juni 2017. Abgerufen 29. Juni 2017.
  139. ^ "Petya Ransomware über Eternalblue Exploit« Threat Research Blog ". Fireeye. Abgerufen 29. Juni 2017.
  140. ^ a b Chang, Yao-Chung (2012). Cyberkriminalität in der Region Greater China: regulatorische Reaktionen und Kriminalprävention in der Taiwan -Straße. Edward Elgar Publishing. ISBN 9780857936684. Abgerufen 30. Juni 2017.
  141. ^ "Infektionskontrolle für Ihre Computer: Schutz vor Cyber ​​Crime - GP Practice Management Blog". GP Practice Management Blog. 18. Mai 2017. Abgerufen 30. Juni 2017.
  142. ^ "Wie man den Ransomware -Schutz in Windows 10 aktiviert". Windowsloop. 8. Mai 2018. Abgerufen 19. Dezember 2018.
  143. ^ "Kryptolocker -Angriffe mit ZFS besiegen". ixSystems.com. 27. August 2015.
  144. ^ "Liste der kostenlosen Ransomware -Entschlüsselungs -Tools zum Entsperren von Dateien". Thewindowsclub.com. Abgerufen 28. Juli 2016.
  145. ^ "EMSISOft entschlüsselt für Hydrocrypt und UmbrEcrypt Ransomware". Thewindowsclub.com. 17. Februar 2016. Abgerufen 28. Juli 2016.
  146. ^ "Ransomware -Entfernungstools". Abgerufen 19. September 2017.
  147. ^ "Über das Projekt - das nicht mehr Lösegeldprojekt". Archiviert vom Original am 22. November 2021. Abgerufen 3. Dezember 2021.
  148. ^ "Crypto Sheriff - Das nicht mehr Lösegeldprojekt". Archiviert vom Original am 26. Oktober 2021. Abgerufen 3. Dezember 2021.
  149. ^ a b c d O'Gorman, G.; McDonald, G. (2012), Ransonmware: eine wachsende Bedrohung (PDF), Symantec Security Response, Symantec Corporation, abgerufen 5. Oktober 2019
  150. ^ Cyberattack Report Arctitan (18. Februar 2021). "Phishing -E -Mails am häufigsten des Ransomware -Angriffs". Arktitaner. Abgerufen 29. März 2021.
  151. ^ Robeznieks, A. (2017). "Ransomware verwandeln die Cybersicherheit im Gesundheitswesen in ein Problem der Patientenversorgung". Healthcare Business News. Healthcare Financial Management Association. Archiviert von das Original am 16. Juni 2017.
  152. ^ Heizung, Brian (13. April 2016), "Die wachsende Bedrohung durch Ransomware" (PDF), PC Magazine, abgerufen 5. Oktober 2019
  153. ^ "Die Aktivität geht zu sinken, bleibt aber eine Herausforderung für Organisationen.", Internet Security Threat Protect (ISTR) 2019, Symantec Corporation, Vol. 24, p. 16, 2019, abgerufen 5. Oktober 2019
  154. ^ Der erste Tod berichtete nach einem Ransomware -Angriff auf ein deutsches Krankenhaus, ZDNET, abgerufen 5. Oktober 2020
  155. ^ a b "Zain Qaiser: Student für Erpressung von Porno -Nutzern weltweit inhaftiert". BBC News. 9. April 2019.
  156. ^ "Britischer Hacker Zain Qaiser verurteilt wegen Erpressung von Millionen". 9. April 2019.
  157. ^ Cimpanu, Catalin. "Reveton Ransomware Distributor verurteilt zu sechs Jahren Gefängnis in Großbritannien". ZDNET.
  158. ^ "Wie die Polizei den berüchtigtsten Porno -Ransomware -Baron Großbritanniens gefangen hat", Matt Burgess, Verdrahtet, 12. April 2019]
  159. ^ "Angler von Lurk: Warum die berüchtigte Cyberkriminalitätsgruppe, die Millionen gestohlen hat, ihr leistungsstärkstes Werkzeug vermietet". USA.kaspersky.com. 26. Mai 2021.
  160. ^ Francisco, Shaun Nichols in San. "Florida Mann hat Geld für Reveton Ransomware gewaschen. Dann stellte Microsoft ihn ein". Dadurch.com.
  161. ^ Fields, Logan M. (25. Februar 2017). "Der Minderheitenbericht-Woche 7-Der halbe Punkt". Weltnachrichten.
  162. ^ "Maryland Ransomware Bill macht Angriffe Straftaten". Network Security News. 15. Februar 2017.
  163. ^ Wei, Wang (6. Juni 2017). "Der 14-jährige japanische Junge wurde verhaftet, weil er Ransomware erstellt hat". Die Hacker News.
  164. ^ Young, Adam L.; Yung, Moti (2005). "Eine Implementierung der kryptoviralen Erpressung unter Verwendung von Microsoft's Crypto API" (PDF). Cryptovirology Labs. Abgerufen 16. August 2017.

Weitere Lektüre

Externe Links