Hvad er RSA-4096 Ransomware og hvordan man beskytter sig mod det?
RSA Ransomwarebruger en bestemt type kryptering til at lamme målrettede virksomheder. Dette er RSA-chiffer
RSA-4096 er en legitim krypteringskrypteringskode . Det er et af de bedste krypteringssystemer, som du kan bruge til at beskytte dine data under transmission. Men desværre kan et system, der er universelt tilgængeligt, bruges af både forbrydere og ærlige forretningsfolk. RSA-4096 ransomware er et ransomware-angreb, der bruger RSA-chifferet med en 4096-bit nøgle - det er ikke navnet på en specifik ransomware-pakke.
Hvad er RSA?
Navnet ' RSA ” gælder for en krypteringschiffer og den virksomhed, der administrerer og distribuerer krypteringssystemet. Den forretning hedder RSA Security LLC .
Tre personer skabte RSA-krypteringssystemet: Ron Rivest , Adi Shamir , og Leonard Adleman . Navnet på systemet kommer fra det første bogstav i disse tre efternavne. Derefter arbejde på Massachusetts Tekniske Institut (MIT), de tre udviklede RSA i 1977. Produktet, de skabte, fik et patent i 1983. Men desværre blev det patent tildelt MIT, ikke de tre individuelle opfindere.
På trods af at de ikke ejer patentet, blev de tre enige med MIT om at få eksklusiv brug af den teknologi, de opfandt og skabte RSA-virksomheden. Den oprindelige patent af RSA-kryptering løb ud i september 2000, så formlen for RSA blev offentlig kendt.
RSA-kryptering er den sikkerhedsfunktion, der gør Hypertext Transfer Protocol ( HTTP ) ind i Hypertext Transfer Protocol/Secure ( HTTPS ). Det er ansvarligt for at beskytte webtransaktioner og er også meget brugt i virtuelt privat netværk (VPN) systemer.
Så RSA er ikke ransomware; det er et beskyttelsessystem til internettransmissioner. Strukturen af RSA gør den dog ideel til hackere, der opretter ransomware.
Hvad er asymmetrisk nøglekryptografi?
Formlen, der bruges til at dekryptere data i en asymmetrisk nøglekrypteringssystem er forskellig fra den formel, der krypterede den. De to formler kan nå frem til de samme resultater ved at bruge andre nøgler. Nøglen er en variabel - det er et af tallene, der sætter sig ind i formlen og ændrer dens virkninger. Derfor nytter det ikke dig, hvis du kender formlen, fordi du stadig ikke vil være i stand til at dekryptere en andens kryptering, hvis du ikke havde det manglende nummer. Det er grunden til, at RSA-systemet kunne overleve og trives, selv efter at formlen blev offentlig i 2000.
For en simpel forklaring på asymmetrisk kryptografi , overvej, at 2 x 10 = 20 og 4 x 5 = 20. Forestil dig, at krypteringsformlen involverer tilføjelse af et tal til ASCII-koden for et tegn. Dette tal udledes af formlen: 2 xOG. Du kan dekryptere denne tekst ved at trække et tal fra og producere den originale ASCII-kode. Dekrypteringsformlen er 4 xMed. Så hvis du vil have nogen til at kryptere en tekst, som din anden dekrypteringsnøgle låser op, genererer du nøgleparOGogMed. Du senderOGtil din korrespondent for kryptering. Korrespondenten sender dig derefter den krypterede tekst, og du dekrypterer den ved at bruge dekrypteringsformlen og tilslutteMed.
I RSA er formlen uendeligt meget mere kompliceret end eksemplet givet her. Det er så smart, at det er det umulig for alle, der opsnapper krypteringsnøglen, for at finde ud af, hvad dekrypteringsnøglen er. I RSA-systemet kan du ikke dekryptere en tekst ved at bruge krypteringsnøglen.
I asymmetrisk kryptografi er det almindelig praksis at offentliggøre krypteringsnøglen, men holde dekrypteringsnøglen hemmelig. Således er krypteringsnøglen også kendt som den offentlige nøgle, og dekrypteringsnøglen kaldes den private nøgle. Derfor er asymmetriske nøglesystemer også kendt som ' offentlig nøglekryptering .'
Hvad er 4096?
Nøglen kan være let at gætte ved at erstatte mulige værdier. Dette kaldes en brute force angreb . Den tid, det tager at knække en krypteringsnøgle ved at cykle gennem alle mulige værdier, bliver dog mere kompliceret med længere nøgler.
Længden af krypteringsnøgler er udtrykt i bits, ikke tegn. Da bits holdes i bytes, otte bit lange, er længden af krypteringsnøgler normalt i multipla af otte.
RSA startede med en 1024-bit nøgle . Desværre ville dette tage mange ressourcer og meget tid at knække. Hackere gider ikke købe massive computere og tager år at knække en krypteringsnøgle. Dette skyldes primært, at cybersikkerhedssystemer ofte ændrer de nøgler, de bruger, så på det tidspunkt, hvor hackeren formåede at knække en 1024-bit nøgle gennem brute force, ville den ikke længere blive brugt.
Selvom hackere ikke har ressourcerne til at knække kryptering, har regeringer det. Det er den kinesiske regering særligt opsat på knække RSA-kryptering fordi det regelmæssigt bruges i VPN'er til at beskytte internettrafik. Det menes, at kinesiske regeringsteknikere har formået at knække RSA med en 1024-bit nøgle, så denne nøglelængde anses ikke længere for at være sikker.
Den næsthøjeste længde af RSA-nøglen, der er tilgængelig, er 2048 bit. De fleste ransomware bruger RSA med en 2048-bit nøgle . Den mest robuste og mest ukrakkelige version af RSA bruger dog en 4096-bit nøgle .
Det er sandsynligt, at nu kan de knække 1024-bit, kinesiske regeringsteknikere har travlt med at finde en måde at knække det næste trin op, som er 2048-bit nøglen. At købe noget tid, mest sikkerhedsbevidst organisationer i verden har øget deres beskyttelse ved at flytte op til en 4096-bit nøgle til deres RSA-kryptering. Desværre har et lille antal ransomware-producenter implementeret den samme strategi.
RSA-4096 ransomware
Selvom en længere nøgle er mere sikker, kræver den mere behandling, og det kan kryptering med lange nøgler tage lang tid at færdiggøre. Hackere ønsker ikke, at krypteringsprocessen skal være langsom. Hvis en målvirksomhed har filbeskyttelsessystemer på plads, vil sikkerhedssoftwaren opdage ransomware-angrebet med den første kryptering.
Ikke alene er RSA-4096 langsom, men hele RSA-systemet er tidskrævende og anbefales ikke til kryptering af store mængder data. I stedet er der bedre og hurtigere cifre der kan bruges til at kryptere filer.
Den mest roste ciffer, der er i drift i verden i dag, er Avanceret krypteringsstandard (AES). Dette er en symmetrisk chiffer, hvilket betyder, at den samme nøgle bruges til at kryptere og dekryptere data. Symmetriske systemer kræver meget kortere taster, og den højeste nøglelængde i drift med AES er 256 bit .
Hackere bruger AES-256 for at kryptere filer skal du gemme krypteringsnøglerne i en fil på målcomputeren og kryptere den fil med RSA-4096 kryptering. En anden symmetrisk nøglechiffer, som hackere i vid udstrækning bruger, er Salsa 20 . Så hvis du er blevet angrebet af RSA-baseret ransomware, er dine filer blevet krypteret med enten AES-256 eller Salsa20.
Hvordan fungerer RSA-4096 ransomware?
Ransomware-hackere kan lide at bruge RSA-krypteringen, fordi det er ligegyldigt, om sikkerhedsanalytikere opdager krypteringsnøglen. I nogle ransomware er RSA-nøglen hårdkodet ind i programmet. I andre tilfælde, såsom den mere sofistikerede angrebssoftware, der bruger RSA-4096, er krypteringsnøglen bundtet sammen med angrebspakken i en separat fil . Dette gør det nemt for hackerne at bruge en anden RSA-nøgle til hvert angreb.
I de fleste tilfælde genererer ransomwaren en separat AES-nøgle for hver fil, den krypterer. Den skriver derefter det originale filnavn og krypteringsnøglen ind i en databasefil. Normalt vil krypteringsprogrammet ændre navnet på den krypterede fil. Når alle filer er blevet konverteret, vil ransomware krypterer databasefilen med RSA-4096. Nøglen vises nogle gange også i løsesumsedlen.
Når ofrene kontakter hackerne for at forhandle løsesumsbetalinger, skal de give nøglen som en identifikator. Hvis hackerne har til hensigt at genoprette systemerne for ofre, der betaler, sender de en tilbage dekryptering , som allerede har den relevante dekrypteringsnøgle indlejret i sig. Denne dekryptering dekrypterer først databasefilen og arbejder derefter gennem hver linje i den fil og dekrypterer den refererede fil med den lagrede AES-nøgle.
I nogle tilfælde vil ransomware generere et separat angrebs-id. Programmet skal sende ID'et og RSA-krypteringsnøglen til kommando- og kontrolserver i disse tilfælde . I sporadiske tilfælde er RSA-nøglen genereret lokalt, og dekrypteringsnøglen sendes med angrebs-id'et og slettes derefter fra den lokale computer.
Hvilken ransomware bruger RSA-4096?
Selvom de fleste ransomware bruger RSA til sit ydre lag af kryptering, er chifferen normalt implementeret med en 2046-bit nøgle. Kun en håndfuld af aktuelt kendte ransomware bruger RSA med en 4096-bit nøgle, og alle disse krypterer filer med AES-256. Disse er:
- Robbinhood
- TeslaCrypt 3.0
- WastedLocker
- Ryuk
Tidligere versioner af TeslaCrypt brugte ikke RSA-krypteringen til at beskytte krypteringsnøgleindeksfilen. Den brugte i stedet en symmetrisk chiffer, som sikkerhedskonsulenter var i stand til at knække. Hackerne skiftede denne beskyttelse til RSA med version 3 af ransomwaren.
Sådan beskytter du dig mod RSA-4096 ransomware
Desværre er der ingen måde at knække RSA-4096-krypteringen, der beskytter krypteringsnøgledatabasen i disse ransomware-angreb. Hackergrupperne, der driver ransomware baseret på RSA-4096, sender dog en dekryptering tilbage til løsesumsbetalere, der gør det muligt at genoprette systemet fuldt ud.
Den bedste politik er at forhindre alle former for ransomware i at komme ind på dit system. Der er to måder, hvorpå ransomware med RSA-4096 kommer ind på et mål. Man er gennem en inficeret e-mail-vedhæftning eller en falsk torrent download, og den anden er gennem en forbindelse ved hjælp af RDP .
Sørg for, at dine RDP-porte er lukkede, eller at de kræver en sikker adgangskode for adgang. Lær dine brugere mod at downloade vedhæftede filer fra e-mails.
Din forsvarsstrategi skal også omfatte automatiseret anti-ransomware sikkerhedssoftware.
De bedste værktøjer til at forsvare sig mod RSA-4096 ransomware
Filintegritetsovervågning er praktisk til at blokere et ransomware-angreb. Det er også vigtigt at sikkerhedskopiere alle dine filer ofte, og sørg for, at ingen vira overføres til backupserveren.
Det bedste beskyttelsessystem til at forhindre ransomware behov for forene forebyggelsestjenester, detektionssystemer og nødberedskabsmekanismer. Her er to pakker, som du bør overveje.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er et koordineret slutpunktsdetektions- og responssystem, der driver skybaseret overvågning af enhedsresident næste generations AV software. Den endepunktspakke er tilgængelig individuelt som Falcon Prevent . Så Falcon Insight er Falcon Prevent med en SaaS-konsol til at administrere hver AV-instans.
Nøglefunktioner:
- Hybrid system
- Centraliserer trusselsdetektion
- Lokal beskyttelse
- Nul-dages detektion
- Kan dække flere steder
Det Indsigt cloud-controller overvåger aktivitetsrapporter sendt af endpoint-agenter og søger efter indikatorer for kompromis, ligesom en SIEM . For det første får cloud-tjenesten et trusselsintelligens-feed, der justerer søgningerne efter indikatorer. Derefter udfører endpoint-agenterne deres kontroller, hvilket betyder, at beskyttelsen fortsætter, selvom enheden afbrydes fra netværket.
Insight-pakken inkluderer øjeblikkelig respons foranstaltninger, isolering af enheden for at forhindre vira, såsom spredning af ransomware. Det kan også lukke ned, kompromittere brugerkonti og dræbe mistænkelige processer.
Fordele:
- Enhedsbeskyttelsen fortsætter, selv når endepunktet er afbrudt fra netværket
- Enhedsagent tilgængelig til Windows, Linux og macOS
- Kan inkludere endepunkter på flere websteder og også enheder for medarbejdere, der arbejder hjemmefra
- Centraliserer trusselsjagt med en konstant opdateret trusselsintelligens
- Giver en fælles trusselsintelligenspulje for alle endepunkter
Ulemper:
- Den gratis prøveperiode dækker kun slutpunktselementet
Falcon-systemet søger efter aktivitetsanomalier snarere end for en liste over filer eller procesnavne. Dette gør det muligt at blokere zero-day angreb. Du kan få en15 dages gratis prøveperiodeaf Falcon Prevent.
CrowdStrike Prevent Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er et afgørende valg, hvis dit system har følsomme data. Dette skyldes, at ~tyveri eller beskadigelse af følsomme data kan påføre din virksomhed mange penge i bøder og retssager.
Nøglefunktioner:
- Følsom dataopdagelse
- Data beskyttelse
- Filintegritetsovervågning
- Sporing af brugeraktivitet
DataSecurity Plus-systemet inkluderer en overvågning af filintegritet (FIM). Dette registrerer uautoriserede ændringer af filer og fanger ransomwares krypteringsaktivitet tidligt.
De hurtige svar inkluderet i DataSecurity Plus inkluderer aflivning af processer, suspendering af brugerkonti, blokering af kommunikation med specifikke IP-adresser og isolering af enheden fra netværket. Derudover beskytter DataSecurity Plus kørende enheder Windows , som er de sædvanlige mål for RSA-4096 ransomware.
Fordele:
- Ransomware tidlig advarsel ved at opdage filændringer
- Hurtig reaktion på malware-tegn for at lukke ondsindet aktivitet ned
- Giver et revisionsspor
- Isolerer inficerede enheder for at forhindre truslen i at sprede sig
Ulemper:
- Kun tilgængelig til Windows Server
ManageEngine DataSecurity Plus installeres på Windows Server, og den er tilgængelig for en 30-dages gratis prøveperiode .