Co je RSA-4096 Ransomware a jak se proti němu chránit?
RSA Ransomwarepoužívá specifický typ šifrování, aby ochromil cílené podniky. To je šifra RSA
RSA-4096 je legitimní šifrovací šifra . Je to jeden z nejlepších šifrovacích systémů, které můžete použít k ochraně dat při přenosu. Ale, bohužel, systém, který je univerzálně dostupný, mohou používat nezbedníci i poctiví podnikatelé. RSA-4096 ransomware je ransomwarový útok, který využívá šifru RSA s 4096bitovým klíčem – nejedná se o název konkrétního ransomwarového balíčku.
Co je RSA?
Název ' RSA “ se vztahuje na šifrovací šifru a podnik, který spravuje a distribuuje šifrovací systém. Ten obchod se jmenuje RSA Security LLC .
Šifrovací systém RSA vytvořili tři lidé: Ron Rivest , Adi Shamir , a Leonard Adleman . Název systému pochází z prvního písmene těchto tří příjmení. Poté práce na Massachusetts Institute of Technology (MIT), tito tři vymysleli RSA v roce 1977. Produkt, který vytvořili, dostal patent v roce 1983. Ale bohužel tento patent byl udělen MIT, nikoli třem jednotlivým vynálezcům.
Navzdory tomu, že nevlastní patent, se tito tři dohodli s MIT, že získají výhradní použití technologie, kterou vynalezli, a vytvořili společnost RSA. Originál patent šifrování RSA vypršelo v září 2000, takže vzorec pro RSA se stal veřejně známým.
Šifrování RSA je bezpečnostní funkce, která mění protokol Hypertext Transfer Protocol ( HTTP ) do protokolu Hypertext Transfer Protocol/Secure ( HTTPS ). Je zodpovědný za ochranu webových transakcí a je také široce používán v soukromá virtuální síť (VPN) systémy.
RSA tedy není ransomware; je to ochranný systém pro internetové přenosy. Struktura RSA je však ideální pro hackery, kteří vytvářejí ransomware.
Co je asymetrická klíčová kryptografie?
Vzorec používaný k dešifrování dat v an systém šifrování asymetrického klíče se liší od vzorce, který jej zašifroval. Tyto dva vzorce mohou dospět ke stejným výsledkům pomocí jiných klíčů. Klíč je proměnná – je to jedno z čísel, které se zapojují do vzorce a mění jeho účinky. Proto vám není k ničemu, když znáte vzorec, protože stále nebudete schopni dešifrovat šifrování někoho jiného, pokud nemáte toto chybějící číslo. Proto mohl systém RSA přežít a prosperovat i poté, co se formule v roce 2000 stala veřejnou.
Pro jednoduché vysvětlení asymetrická kryptografie , zvažte, že 2 x 10 = 20 a 4 x 5 = 20. Představte si, že šifrovací vzorec zahrnuje přidání čísla do kódu ASCII pro znak. Toto číslo je odvozeno podle vzorce: 2 xA. Tento text můžete dešifrovat odečtením čísla a vytvořením původního kódu ASCII. Dešifrovací vzorec je 4xS. Pokud tedy chcete, aby někdo zašifroval text, který odemkne váš jiný dešifrovací klíč, vygenerujete páry klíčůAaS. Vy pošleteAsvému korespondentovi k zašifrování. Korespondent vám poté pošle zašifrovaný text a vy jej dešifrujete pomocí dešifrovacího vzorce a zapojíteS.
V RSA je vzorec nekonečně složitější než zde uvedený příklad. Je to tak chytré, že je nemožné pro každého, kdo zachytí šifrovací klíč, aby zjistil, co je dešifrovací klíč. V systému RSA nemůžete dešifrovat text pomocí šifrovacího klíče.
V asymetrické kryptografii je běžnou praxí zveřejnit šifrovací klíč, ale udržet dešifrovací klíč v tajnosti. Šifrovací klíč je tedy také známý jako veřejný klíč a dešifrovací klíč se nazývá soukromý klíč. Systémy asymetrických klíčů jsou proto také známé jako „ šifrování veřejným klíčem .“
Co je 4096?
Klíč lze snadno uhodnout nahrazením možných hodnot. Toto se nazývá a útok hrubou silou . Čas potřebný k prolomení šifrovacího klíče procházením všech možných hodnot se však s delšími klíči komplikuje.
Délka šifrovacích klíčů je vyjádřena v bitech, nikoli ve znacích. Protože bity jsou uchovávány v bajtech o délce osmi bitů, jsou délky šifrovacího klíče obvykle v násobcích osmi.
RSA začala s a 1024bitový klíč . Naneštěstí by to vyžadovalo spoustu zdrojů a spoustu času na rozlousknutí. Hackeři se neobtěžují kupovat masivní počítače a prolomit šifrovací klíč jim trvá roky. Je to hlavně proto, že kybernetické bezpečnostní systémy často mění klíče, které používají, takže v době, kdy se hackerovi podařilo prolomit 1024bitový klíč hrubou silou, už by se nepoužíval.
Ačkoli hackeři nemají prostředky na prolomení šifrování, vlády ano. Čínská vláda je obzvláště nadšená crack šifrování RSA protože se pravidelně používá v sítích VPN k ochraně internetového provozu. Předpokládá se, že čínským vládním technikům se podařilo prolomit RSA pomocí 1024bitového klíče, takže tato délka klíče již není považována za bezpečnou.
Další nejvyšší dostupná délka klíče RSA je 2048 bitů. Většina ransomwaru používá RSA s a 2048bitový klíč . Nejrobustnější a nejodolnější verze RSA však používá a 4096bitový klíč .
Je pravděpodobné, že nyní mohou prolomit 1024-bit, čínští vládní technici jsou zaneprázdněni vymýšlením způsobu, jak prolomit další krok, kterým je 2048bitový klíč. Chcete-li získat trochu času, nejvíce vědomí bezpečnosti organizace na světě zvýšily svou ochranu tím, že pro své šifrování RSA přešly na 4096bitový klíč. Bohužel, malý počet výrobců ransomwaru zavedl stejnou strategii.
RSA-4096 ransomware
Přestože je delší klíč bezpečnější, vyžaduje více zpracování a šifrování pomocí dlouhých klíčů může trvat dlouho dokončit. Hackeři nechtějí, aby byl proces šifrování pomalý. Pokud má cílová společnost zavedeny systémy ochrany souborů, bezpečnostní software zaznamená ransomwarový útok pomocí prvního šifrování.
RSA-4096 je nejen pomalý, ale celý systém RSA je časově náročný a nedoporučuje se pro šifrování velkého množství dat. Místo toho existují lepší a rychlejší šifry které lze použít k šifrování souborů.
Nejoceňovanější šifra, která je dnes na světě provozována, je Pokročilý standard šifrování (AES). Jedná se o symetrickou šifru, což znamená, že k šifrování a dešifrování dat se používá stejný klíč. Symetrické systémy vyžadují mnohem kratší klíče a nejvyšší délka klíče v provozu s AES je 256 bitů .
Používají hackeři AES-256 pro šifrování souborů uložte šifrovací klíče do souboru na cílovém počítači a zašifrujte tento soubor pomocí RSA-4096 šifrování. Další šifra symetrického klíče, kterou hackeři hojně využívají, je Salsa20 . Pokud vás tedy napadl ransomware založený na RSA, vaše soubory byly zašifrovány buď pomocí AES-256 nebo Salsa20.
Jak funguje ransomware RSA-4096?
Hackeři ransomwaru rádi používají šifru RSA, protože nezáleží na tom, zda bezpečnostní analytici objeví šifrovací klíč. V některých ransomware je klíč RSA pevně zakódované do programu. V jiných případech, jako je sofistikovanější útočný software, který používá RSA-4096, je šifrovací klíč přibalen k útočnému balíčku v samostatný soubor . To umožňuje hackerům snadno použít pro každý útok jiný klíč RSA.
Ve většině případů ransomware generuje samostatný klíč AES pro každý soubor, který zašifruje. Poté zapíše původní název souboru a šifrovací klíč do databázového souboru. Šifrovací program obvykle změní název šifrovaného souboru. Jakmile budou všechny soubory převedeny, ransomware zašifruje soubor databáze s RSA-4096. Klíč je někdy také zobrazen v poznámce o výkupném.
Když oběti kontaktují hackery, aby vyjednali platby výkupného, musí poskytnout klíč jako identifikátor. Pokud mají hackeři v úmyslu obnovit systémy obětí, které platí, pošlou zpět a dešifrovač , která v sobě již má vložený příslušný dešifrovací klíč. Tento dešifrovací nástroj nejprve dešifruje soubor databáze a poté projde každým řádkem tohoto souboru a dešifruje odkazovaný soubor pomocí uloženého klíče AES.
V některých případech ransomware vygeneruje samostatné ID útoku. Program musí odeslat ID a šifrovací klíč RSA do příkazový a řídicí server v těchto případech . Ve sporadických případech je RSA klíč generované lokálně, a dešifrovací klíč je odeslán s ID útoku a poté odstraněn z místního počítače.
Jaký ransomware používá RSA-4096?
Ačkoli většina ransomwaru používá pro svou vnější vrstvu šifrování RSA, šifra je obvykle nasazena s 2046bitovým klíčem. Pouze hrstka aktuálně známých ransomwarů používá RSA s 4096bitovým klíčem a všechny tyto šifrují soubory pomocí AES-256. Tyto jsou:
- Robbinhood
- TeslaCrypt 3.0
- WastedLocker
- Ryuk
Dřívější verze TeslaCrypt nepoužil šifru RSA k ochraně indexového souboru šifrovacího klíče. Místo toho používala symetrickou šifru, kterou bezpečnostní poradci dokázali rozluštit. Hackeři přepnuli tuto ochranu na RSA s verzí 3 ransomwaru.
Jak se chránit před ransomwarem RSA-4096
Bohužel existuje žádný způsob, jak prasknout šifrování RSA-4096, které chrání databázi šifrovacích klíčů při těchto ransomwarových útocích. Hackerské skupiny, které provozují ransomware založený na RSA-4096, však posílají zpět dešifrovací nástroj plátcům výkupného, který umožňuje plnou obnovu systému.
Nejlepší zásadou je zabránit všem formám ransomwaru dostat se do vašeho systému. Existují dva způsoby, jak se ransomware s RSA-4096 dostane k cíli. Jeden je přes an infikovaná příloha e-mailu nebo falešné stahování torrentu a druhé je prostřednictvím připojení pomocí PRV .
Ujistěte se, že jsou vaše porty RDP uzavřeny nebo že pro přístup vyžadují bezpečné heslo. Poučte své uživatele proti stahování příloh z e-mailů.
Vaše obranná strategie také musí zahrnovat automatický anti-ransomware bezpečnostní software.
Nejlepší nástroje na obranu proti ransomwaru RSA-4096
Monitorování integrity souborů je užitečný pro blokování ransomwarového útoku. Je také nezbytné záloha všechny vaše soubory často a zajistěte, aby se na záložní server nedostaly žádné viry.
Nejlepší systém ochrany k prevenci ransomwaru potřebuje kombajn preventivní služby, detekční systémy a mechanismy reakce na mimořádné události. Zde jsou dva balíčky, které byste měli zvážit.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je koordinovaný systém detekce a odezvy koncových bodů, který provozuje cloudový dohled nad rezidenty zařízení AV nové generace software. Tento balíček koncových bodů je k dispozici samostatně jako Falcon Prevent . Falcon Insight je tedy Falcon Prevent s konzolí SaaS pro správu každé AV instance.
Klíčové vlastnosti:
- Hybridní systém
- Centralizuje detekci hrozeb
- Místní ochrana
- Detekce nultého dne
- Může pokrýt více webů
The Porozumění cloudový řadič monitoruje zprávy o činnosti zasílané agenty koncových bodů a vyhledává indikátory kompromisu, podobně jako a SIEM . Za prvé, cloudová služba získá informační kanál o hrozbách, který upraví vyhledávání indikátorů. Poté agenti koncového bodu provedou své kontroly, což znamená, že ochrana pokračuje, i když se zařízení odpojí od sítě.
Balíček Insight obsahuje okamžitá odezva opatření, izolování zařízení, aby se zabránilo virům, jako je šíření ransomwaru. Může se také vypnout, kompromitovat uživatelské účty a zabít podezřelé procesy.
Klady:
- Ochrana zařízení pokračuje, i když je koncový bod odpojen od sítě
- Agent zařízení dostupný pro Windows, Linux a macOS
- Může zahrnovat koncové body na více místech a také zařízení zaměstnanců pracujících z domova
- Centralizuje vyhledávání hrozeb pomocí neustále aktualizovaného zpravodajství o hrozbách
- Poskytuje společný fond informací o hrozbách pro všechny koncové body
Nevýhody:
- Bezplatná zkušební verze pokrývá pouze prvek koncového bodu
Systém Falcon hledá anomálie činnosti spíše než seznam souborů nebo názvů procesů. To mu umožňuje blokovat zero-day útoky. Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
CrowdStrike Prevent Start 15denní bezplatná zkušební verze
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je zásadní volbou, pokud váš systém obsahuje citlivá data. ~Krádež nebo poškození citlivých dat totiž může vaší společnosti způsobit nemalé peníze na pokutách a soudních sporech.
Klíčové vlastnosti:
- Zjišťování citlivých dat
- Ochrana dat
- Monitorování integrity souborů
- Sledování aktivity uživatelů
Systém DataSecurity Plus zahrnuje a monitor integrity souborů (FIM). To detekuje neoprávněné změny souborů a brzy zachytí šifrovací aktivitu ransomwaru.
Mezi rychlé reakce zahrnuté v DataSecurity Plus patří zabíjení procesů, pozastavení uživatelských účtů, blokování komunikace s konkrétními IP adresami a izolace zařízení od sítě. DataSecurity Plus navíc chrání běžící zařízení Okna , což jsou obvyklé cíle ransomwaru RSA-4096.
Klady:
- Ransomware včasné varování tím, že zjistí změny souborů
- Rychlá reakce na příznaky malwaru k zastavení škodlivé činnosti
- Poskytuje auditní stopu
- Izoluje infikovaná zařízení, aby se zabránilo šíření hrozby
Nevýhody:
- K dispozici pouze pro Windows Server
ManageEngine DataSecurity Plus se nainstaluje na Windows Server, a je k dispozici pro 30denní bezplatná zkušební verze .