Net Admin

Какво е RSA-4096 рансъмуер и как да се защитим от него?

какво е RSA-4096 ransomware и как да се предпазите от него



RSA рансъмуеризползва специфичен тип криптиране, за да осакати целевите бизнеси. Това е RSA шифър

RSA-4096 е легитимен шифър за криптиране . Това е една от най-добрите системи за криптиране, които можете да използвате, за да защитите данните си при предаване. Но, за съжаление, система, която е универсално достъпна, може да се използва както от злодеи, така и от честни бизнесмени. RSA-4096 рансъмуер е атака на рансъмуер, която използва RSA шифъра с 4096-битов ключ – това не е името на конкретен пакет рансъмуер.



Какво е RSA?

Името ' RSA ” се отнася за шифър за криптиране и бизнеса, който управлява и разпространява системата за криптиране. Този бизнес се нарича RSA Security LLC .

Трима души създадоха системата за криптиране RSA: Рон Ривест , Ади Шамир , и Леонард Адлеман . Името на системата идва от първата буква на тези три фамилни имена. След това работи в Масачузетски институт по технологии (MIT), тримата създават RSA през 1977 г. Продуктът, който създават, получава патент през 1983 г. Но, за съжаление, този патент е присъден на MIT, а не на тримата отделни изобретатели.



Въпреки че не притежават патента, тримата се съгласиха с MIT да получат ексклузивно използване на изобретената от тях технология и създадоха компанията RSA. Оригинала патент RSA криптирането изтече през септември 2000 г., така че формулата за RSA стана обществено достояние.

RSA криптирането е защитната функция, която превръща протокола за прехвърляне на хипертекст ( HTTP ) в Hypertext Transfer Protocol/Secure ( HTTPS ). Той отговаря за защитата на уеб транзакциите и също така се използва широко в виртуална частна мрежа (VPN) системи.

И така, RSA не е ransomware; това е система за защита на интернет предавания. Структурата на RSA обаче го прави идеален за хакери, които създават рансъмуер.

Какво е криптография с асиметричен ключ?

Формулата, използвана за дешифриране на данни в an система за криптиране с асиметричен ключ е различна от формулата, която го е шифровала. Двете формули могат да постигнат едни и същи резултати, като използват други ключове. Ключът е променлива – това е едно от числата, които се включват във формулата и променят нейните ефекти. Следователно не ви е от полза, ако знаете формулата, защото все още няма да можете да дешифрирате криптирането на някой друг, ако не сте имали това липсващо число. Ето защо системата RSA може да оцелее и просперира дори след като формулата стана публична през 2000 г.

За просто обяснение на асиметрична криптография , помислете, че 2 x 10 = 20 и 4 x 5 = 20. Представете си, че формулата за криптиране включва добавяне на число към ASCII кода за символ. Това число се получава по формулата: 2 xИ. Можете да дешифрирате този текст, като извадите число и създадете оригиналния ASCII код. Формулата за дешифриране е 4 хс. Така че, ако искате някой да шифрова текст, който вашият различен ключ за дешифриране ще отключи, вие генерирате двойки ключовеИис. Ти изпратиИна вашия кореспондент за криптиране. След това кореспондентът ви изпраща шифрования текст и вие го дешифрирате, като използвате формулата за декриптиране, включвайкис.

В RSA формулата е безкрайно по-сложна от дадения тук пример. Толкова е умно, че е така невъзможен за всеки, който прихване ключа за криптиране, за да разбере какъв е ключът за дешифриране. В системата RSA не можете да дешифрирате текст с помощта на ключа за шифроване.

В асиметричната криптография обичайна практика е да се публикува ключът за криптиране, но да се пази ключът за декриптиране в тайна. По този начин ключът за криптиране е известен също като публичен ключ, а ключът за декриптиране се нарича частен ключ. Следователно системите с асиметрични ключове са известни още като „ криптиране с публичен ключ .”

Какво е 4096?

Ключът може да бъде лесен за отгатване чрез заместване на възможните стойности. Това се нарича a атака с груба сила . Въпреки това, времето, необходимо за разбиване на ключ за шифроване чрез преминаване през всяка възможна стойност, става по-сложно с по-дълги ключове.

Дължината на ключовете за криптиране се изразява в битове, а не в знаци. Тъй като битовете се съхраняват в байтове, дълги осем бита, дължините на ключовете за криптиране обикновено са кратни на осем.

RSA започва с a 1024-битов ключ . За съжаление, това ще отнеме много ресурси и много време за кракване. Хакерите не си правят труда да купуват масивни компютри и отнемат години, за да разбият ключ за криптиране. Това е главно защото системите за киберсигурност често променят ключовете, които използват, така че докато хакерът успее да разбие 1024-битов ключ чрез груба сила, той вече няма да се използва.

Въпреки че хакерите нямат ресурсите да разбият криптиране, правителствата имат. Китайското правителство проявява особено голямо желание кракване на RSA криптиране защото се използва редовно в VPN за защита на интернет трафика. Смята се, че китайските правителствени техници са успели да разбият RSA с 1024-битов ключ, така че тази дължина на ключа вече не се счита за сигурна.

Следващата най-висока налична дължина на RSA ключа е 2048 бита. Повечето ransomware използват RSA с a 2048-битов ключ . Въпреки това, най-стабилната и най-неразбиваема версия на RSA използва a 4096-битов ключ .

Вероятно сега те могат да разбият 1024-битов, китайските правителствени техници са заети да измислят начин да разбият следващата стъпка, която е 2048-битовият ключ. За да спечеля малко време, най-много загрижен за сигурността организациите по света повишиха защитата си, като преминаха към 4096-битов ключ за своето RSA криптиране. За съжаление, малък брой производители на ransomware са приложили същата стратегия.

RSA-4096 рансъмуер

Въпреки че по-дълъг ключ е по-сигурен, той изисква повече обработка, а криптирането с дълги ключове може отнеме много време да завърши. Хакерите не искат процесът на криптиране да е бавен. Ако целевата компания разполага със системи за защита на файлове, софтуерът за сигурност ще забележи атаката с рансъмуер с първото криптиране.

RSA-4096 не само е бавен, но и цялата RSA система отнема много време и не се препоръчва за криптиране на големи количества данни. Вместо това има по-добри и по-бързи шифри които могат да се използват за криптиране на файлове.

Най-аплодираният шифър в света днес е Разширен стандарт за криптиране (AES). Това е симетричен шифър, което означава, че един и същ ключ се използва за криптиране и декриптиране на данни. Симетричните системи изискват много по-къси ключове, а най-голямата дължина на ключа при работа с AES е 256 бита .

Хакерите използват AES-256 за шифроване на файлове, съхранете ключовете за шифроване във файл на целевия компютър и шифровайте този файл с RSA-4096 криптиране. Друг симетричен ключов шифър, който хакерите използват широко, е Салса20 . Така че, ако сте били атакувани от базиран на RSA рансъмуер, вашите файлове са били криптирани с AES-256 или Salsa20.

Как работи RSA-4096 ransomware?

Хакерите на рансъмуер обичат да използват RSA шифъра, защото няма значение дали анализаторите по сигурността открият ключа за криптиране. В някои ransomware ключът RSA е твърдо кодиран в програмата. В други случаи, като например по-сложния софтуер за атака, който използва RSA-4096, ключът за шифроване е включен в пакета за атака в отделен файл . Това позволява на хакерите лесно да използват различен RSA ключ за всяка атака.

В повечето случаи рансъмуерът генерира отделен AES ключ за всеки файл, който криптира. След това записва оригиналното име на файла и ключа за шифроване във файл с база данни. Обикновено програмата за шифроване ще промени името на шифрования файл. След като всички файлове бъдат преобразувани, ransomware криптира файла на базата данни с RSA-4096. Ключът понякога се показва и в бележката за откуп.

Когато жертвите се свържат с хакерите, за да договорят плащане на откуп, те трябва да дадат ключа като идентификатор. Ако хакерите възнамеряват да възстановят системите на жертвите, които плащат, те изпращат обратно a дешифратор , който вече има съответния ключ за дешифриране, вграден в него. Този декриптатор първо декриптира файла на базата данни и след това работи през всеки ред от този файл, дешифрирайки референтния файл със съхранения AES ключ.

В някои случаи рансъмуерът ще генерира отделен идентификатор на атака. Програмата трябва да изпрати идентификатора и ключа за криптиране RSA на команден и контролен сървър в тези случаи . В спорадични случаи ключът RSA е генерирани локално, и ключът за дешифриране се изпраща с ID на атаката и след това се изтрива от локалния компютър.

Какъв ransomware използва RSA-4096?

Въпреки че повечето ransomware използват RSA за своя външен слой на криптиране, шифърът обикновено се внедрява с 2046-битов ключ. Само няколко известни в момента ransomware използват RSA с 4096-битов ключ и всички тези файлове криптират с AES-256. Това са:

По-ранни версии на TeslaCrypt не е използвал RSA шифъра за защита на индексния файл с ключ за шифроване. Вместо това използваше симетричен шифър, който консултантите по сигурността успяха да разбият. Хакерите смениха тази защита на RSA с версия 3 на рансъмуера.

Как да се предпазите от рансъмуер RSA-4096

За съжаление има няма начин да се кракне криптирането RSA-4096, което защитава базата данни с ключове за криптиране при тези рансъмуер атаки. Въпреки това хакерските групи, които управляват рансъмуер, базиран на RSA-4096, изпращат обратно декриптор на платците на откупа, който позволява системата да бъде напълно възстановена.

Най-добрата политика е да предотвратите проникването на всички форми на рансъмуер във вашата система. Има два начина, по които рансъмуерът с RSA-4096 попада в цел. Единият е чрез an заразен прикачен имейл или фалшиво изтегляне на торент, а другото е чрез връзка с използване RDP .

Уверете се, че вашите RDP портове са затворени или че изискват защитена парола за достъп. Обучете потребителите си да не изтеглят прикачени файлове от имейли.

Вашата отбранителна стратегия също трябва да включва автоматизиран анти-ransomware софтуер за сигурност.

Най-добрите инструменти за защита срещу рансъмуер RSA-4096

Мониторинг на целостта на файловете е удобен за блокиране на ransomware атака. Също така е от съществено значение да резервно копие всички ваши файлове често и се уверете, че никакви вируси не преминават към резервния сървър.

Най-добрата система за защита за предотвратяване на ransomware трябва съчетавам услуги за превенция, системи за откриване и механизми за спешно реагиране. Ето два пакета, които трябва да имате предвид.

1. CrowdStrike Falcon Insight (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

CrowdStrike Falcon Insight

CrowdStrike Falcon Insight е координирана система за откриване и реагиране на крайна точка, която управлява базиран в облак надзор на резидентно устройство AV от следващо поколение софтуер. Този пакет за крайна точка се предлага индивидуално като Falcon Prevent . И така, Falcon Insight е Falcon Prevent със SaaS конзола за управление на всяко AV копие.

Основни функции:

  • Хибридна система
  • Централизира откриването на заплахи
  • Местна защита
  • Откриване на нулев ден
  • Може да покрива множество сайтове

The Прозрение облачният контролер следи отчетите за дейността, изпратени от агенти на крайни точки, и търси индикатори за компрометиране, подобно на SIEM . Първо, облачната услуга получава емисия за разузнаване на заплахи, която коригира търсенията за индикатори. След това агентите на крайната точка извършват своите проверки, което означава, че защитата продължава дори ако устройството бъде изключено от мрежата.

Пакетът Insight включва мигновен отговор мерки, изолиране на устройството за предотвратяване на вируси, като например разпространение на ransomware. Освен това може да се изключи, да компрометира потребителски акаунти и да убие подозрителни процеси.

Професионалисти:

  • Защитата на устройството продължава дори когато крайната точка е прекъсната от мрежата
  • Агент на устройство, наличен за Windows, Linux и macOS
  • Може да включва крайни точки на множество сайтове, както и устройствата на служители, работещи от вкъщи
  • Централизира лова на заплахи с постоянно актуализирана информация за заплахи
  • Осигурява общ пул за разузнаване на заплахи за всички крайни точки

Минуси:

  • Безплатният пробен период обхваща само елемента на крайната точка

Системата Falcon търси аномалии в дейността а не за списък с файлове или имена на процеси. Това му позволява да блокира атаки от нулев ден. Можете да получите a15-дневен безплатен пробен периодна Falcon Prevent.

CrowdStrike Prevent Стартирайте 15-дневен БЕЗПЛАТЕН пробен период

две. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus е решаващ избор, ако вашата система съдържа чувствителни данни. Това е така, защото ~кражбата или повредата на чувствителни данни може да причини на вашата компания много пари под формата на глоби и съдебни спорове.

Основни функции:

  • Откриване на чувствителни данни
  • Защита на данни
  • Мониторинг на целостта на файловете
  • Проследяване на активността на потребителя

Системата DataSecurity Plus включва a монитор за целостта на файла (FIM). Това открива неупълномощени промени във файлове и улавя рано криптиращата активност на рансъмуера.

Бързите отговори, включени в DataSecurity Plus, включват спиране на процеси, спиране на потребителски акаунти, блокиране на комуникация с конкретни IP адреси и изолиране на устройството от мрежата. Освен това DataSecurity Plus защитава работещите устройства Windows , които са обичайните цели на рансъмуера RSA-4096.

Професионалисти:

  • Рансъмуер предупреждение чрез забелязване на промени във файла
  • Бърза реакция на признаци на злонамерен софтуер за спиране на злонамерена дейност
  • Осигурява одитна пътека
  • Изолира заразените устройства, за да спре разпространението на заплахата

Минуси:

  • Предлага се само за Windows Server

ManageEngine DataSecurity Plus се инсталира на Windows сървър, и е наличен за 30-дневен безплатен пробен период .

^