Wat is Ransomware?
Ransomware is kwaadaardige software die ontkent u toegang tot uw computer of de bestanden totdat u losgeld betaalt . Er zijn twee soorten ransomware die onze partner SophosLabs gewoonlijk ziet:
- Randsomware die persoonlijke bestanden of mappen Versleutelt (bijvoorbeeld de inhoud van uw map Mijn documenten - documenten, spreadsheets, foto's, video's). Bestanden worden verwijderd zodra ze zijn gecodeerd en in het algemeen is er een tekstbestand met instructie voor betaling in dezelfde map even als de nu-ontoegankelijke. U ziet wellicht een scherm met een slot, maar niet alle varianten tonen zo'n scherm. Het kan zijn dat u in dat geval pas problemen merkt wanneer u probeert om uw bestanden te openen. Dit type wordt 'file encryptor' ransomware genoemd.
- Scherm "vergredeling" malware (presenteert een volledig beeld op het scherm dat alle andere vensters blokkeert) en eist betaling. Geen persoonlijke bestanden zijn gecodeerd. Voorbeeld screenshots van met type die op een computer worden hieronder weergegeven (klik voor grotere weergave) .. Dit type heet 'WinLocker' ransomware.
 |  |
Ook 'MBR ransomware. De Master Boot Record (MBR) is een deel van de harde schijf van de computer die het mogelijk maakt het besturingssysteem op te starten. MBR ransomware verandert MBR van de computer, zodat de normale boot proces wordt onderbroken en een losgeld wordt weergegeven op het scherm plaats.
Welke besturingssystemen zijn gevoelig voor dit soort aanvallen?
Zoals met veel van malware de meerderheid van ransomware is gericht op het Microsoft Windows-besturingssysteem.
Heeft Sophos Endpoint Security and Control mijn computer te beschermen tegen ransomware?
Ja, maar de malware schrijvers zijn voortdurend actualiseren en het vrijgeven van nieuwe varianten en families. U moet volledig op de hoogte blijven van de laatste Sophos releases en zorgen voor al uw gebruikers zich houden aan onze adviezen.
Hoe raakt een computer geïnfecteerd met ransomware?
- SPAM email: Door het openen van e-mailbijlagen in SPAM e-mail.
- Besturingssysteem of software te benutten: De malware maakt gebruik van een beveiligingslek in het besturingssysteem van de computer of een toepassing die op de computer is geïnstalleerd.
Wat is het verschil tussen ransomware en nep-antivirus?
WinLockers, bestand encryptors en malware die MBR van de computer beïnvloedt met monetaire eisen (alle beschreven aan het begin van dit artikel) zijn ransomware. Nep-antivirus pretendeert om kwaadaardige bestanden te vinden op uw computer en voor een vergoeding zegt dat het zal ze te verwijderen.
Beiden proberen om geld af te persen, maar op verschillende manieren.
Kan ik iets extra doen om mijn computer te beschermen tegen ransomware?
Controleer of de computer (s) worden de nieuwste versie van onze software en up to date met de identiteit bestanden. Zorg er ook voor onze software is geconfigureerd voor de beste bescherming.
Als u een netwerkbeheerder bent moet u uw gebruikers te informeren over het verblijf veilig, terwijl online en overwegen een multi-tiered beveiligingsoplossing, zoals de Sophos Unified Threat Management (UTM).
Welke namen worden gemeld wanneer ransomware wordt gedetecteerd?- HPMal / Matsnu-A
- CXmal / RnsmLnk-A
- Troj / RansmMem-A
- Troj / RevetMem-A
- Troj/Ransom- *
- Mal/Ransom- *
- Mal/Reveton- *
- Troj/Matsnu- *
Er zijn ook meer generieke detecties zoals Mal/Encpk- *, die zowel ransomware en andere malware die aandelen gemeenschappelijke eigenschappen bevatten.
Het identificeren van kwaadaardige bestanden en het indienen van monsters
Als een kwaadaardig bestand niet herkend wordt of verwijderen niet mogelijk of onvolledig is moet u bepalen wat de schadelijke bestanden zijn en proefmonsters aan SophosLabs sturen voor verdere analyse.
Als je iets kwaadaardig niet kunt identificeren en u toegang tot de computer heeft kunt u de ZIP versie van de Sophos Diagnostic Utility downloaden en de command line versie uitvoeren met de '-malware' optie (zie artikel 116537 voor meer informatie over de malware-optie) en legt de output logbestand vast een support vraag om technische ondersteuning met daarbij de volledige uitleg van de situatie en wat u tot nu toe heeft waargenomen.
Zodra de bestanden zijn geanalyseerd door SophosLabs en er is een update door Sophos uitgebracht die is ontvangen door de computer dient u een volledige scan van de computer (lokaal of van de console) te draaien om de infectie volledig te verwijderen.
Nuttige artikelen zijn:
- Het indienen van monsters van verdachte bestanden naar Sophos
- Verzamelen van monsters geblokkeerd door on-access scanning
- Wat moet ik doen als bestanden zijn gecodeerd?
Uw gegevens kunnen niet worden hersteld en kunnen we niet herstellen het voor u in-huis als het technisch niet mogelijk is. Zodra alle schadelijke bestanden zijn verwijderd van de gecodeerde bestanden moeten worden vervangen door een recente back-up.
Wat moet ik doen als ik buitengesloten van mijn computer?
Opmerking: Als je hebt uitgesloten van uw computer door een waarschuwingsscherm (zie screenshots hierboven) en je weet dat al uw persoonlijke bestanden zijn niet versleuteld zijn (bijvoorbeeld door te kijken in de veilige modus of op afstand vanaf een andere netwerkcomputer) heb je een WinLocker type ransomware.
Als u slechts toegang tot een computer (de geïnfecteerde computer) hebt dan moet je proberen:
- Aanmelden bij de computer met een andere gebruikersaccount (om de malware te omzeilen als het wordt alleen gevolgen heeft voor uw huidige gebruikersaccount).
- Herstart de computer in veilige modus .
Als u geen toegang tot de computer lokaal dan moet u toegang tot de geïnfecteerde computer vanaf een andere computer op hetzelfde netwerk - zie hieronder.
Als de geïnfecteerde computer is aangesloten op hetzelfde netwerk als een schone computer moet je proberen:
- Het uitvoeren van de Sophos Diagnostic Utility op afstand met behulp artikel 112981 .
- Met behulp van Windows-programma's en netwerkbeheerder technieken om de infectie zoals onderzoeken: een externe register-editor aansluiting; tasklist.exe; Taskkill.exe, surfen op het C $ aandeel.
Zodra u toegang heeft tot de computer is de volgende stap om de bestanden waardoor het slot scherm gestart wordt te identificeren en te verwijderen. Zie de sectie identificeren kwaadaardige bestanden en het indienen van bovenstaande voorbeelden.
Waar kan ik meer informatie over ransomware krijgen?
Om meer informatie vinden en voorbeelden van recente ransomware kunt u kijken op de security blog van Sophos nakedsecurity blog .
Als je dat nog niet hebt gedaan, lees dan deze PDF bestanden over ransomware: Ransomware: Next-Generation Fake Antivirus .
Mocht u meer hulp nodig hebben kunt u ook contact opnemen met Virtual Security sales@virtualsecurrity.nl
bron en volledige artikel: Sophos
Voor meer informatie over Sophos UTM 9.1 of Sophos Antivirus Software kijkt u op onze website
Geen opmerkingen:
Een reactie posten