web-dev-qa-db-ja.com

身代金攻撃が成功するのはなぜですか?

私は、「身代金」攻撃が増加していることを読んだところです。攻撃者は、脆弱性を利用して、ファイルを暗号化し、鍵にお金を要求できるようにします。

これは、「バックアップを取得する」という解決策であるディスク障害となぜ違うのですか?

48
GreenAsJade

一部の人々は、ランサムウェアの修正としてバックアップに言及しています。 ターゲットが結果に対して準備されていないため、ランサムウェアは機能します。故障したハードドライブとランサムウェアの暗号化はどちらも、バックアップを復元することで「回復」できます新しいドライブであるランサムウェアは、マシン自体で実行されるマルウェアである場合があります。いずれにしても、外部バックアップから復元しても、攻撃者がシステムに最初からアクセスすることを許可した問題は削除されません。これには、次のような対策が必要です。

  1. トロイの木馬を防ぐためのシステムの高度なセキュリティ権限
  2. 接続されたバックアップが暗号化されないようにするリモートバックアップ戦略
  3. ワームのようなものが発生した場合の侵入検知
  4. 侵入を防ぐために強化されたパスワード

残念ながら、ほとんどのコンピューターユーザーはこれらの対策を講じていません。

故障したドライブから回復するには、外付けディスクにバックアップを作成するだけです。ドライブ障害が発生したら、ディスクを交換してボリュームを復元します。シンプル。

ランサムウェアから回復するには、時間、ダウンタイム、および調査が必要です。

  1. ユーザーのニーズに対して高すぎる権限で実行されているユーザーアカウント(管理者としてのデスクトップユーザー)
  2. ユーザーが感染を許可するシステムにピボットできるようにする別のマシンまたはデバイスの感染(感染したドメインコントローラー)
  3. 電子メールのフィッシング攻撃など、ユーザーが意図していないものをクリックした場合の認識不足(#1に加えて)
  4. 非常に単純なパスワード(攻撃が現場にあった場合)
  5. logMeInやWindowsリモートデスクトップなどのリモートアクセスソフトウェアを備えたマシンへのリモートアクセス許可
  6. 非ファイアウォールネットワーク
  7. ioTデバイスなどの他の侵害されたシステム

調査の費用が高額な場合、身代金を支払う方が安くなる可能性があります。

注:システム/ネットワークは、調査の前後にまだ保護する必要があります。そうしないと、同じ攻撃が再発する可能性があります。

場合によっては、ボリュームがまだ暗号化されていないBitLockerを使用してボリュームの暗号化を有効にすることにより、攻撃者はボリューム全体へのアクセスを防ぎ、ユーザーを自分のシステムからロックすることができます。 この場合はWindowsの機能です システムに「インストールされている」という証拠はありませんが、システムがユーザーの設定に従って構成されている場合は、侵入の証拠が存在します。感染したデバイスの挿入により、リモートまたは直接のいずれかでアカウントが侵害される可能性があります。

On Disk Failure

ディスクに障害が発生した場合、それは物理的な障害だったので、単にデバイスを交換します。複数のディスクで障害が発生している場合は、コントローラーに問題があります。新しいディスクが同じ症状を示す場合、または故障したマシンで新しいディスクをテストし、それが機能する場合、別のマシンでテストすることによってディスクが故障したかどうかを知ることができるだけで、コントローラーは正常です。 RAIDのように複数のディスクが一緒に機能する状況では、障害が発生したディスクが他のディスクを取り出す可能性があるため、複数のデバイスでシステム障害が発生する可能性があります。 RAID上の複数のコピーにミラーリングされている単一のドライブ上の不良セクターとファイルの破損について考えてください。端末(シンクライアント)がすべて中央システムに接続するネットワークを除いて、ディスク障害は通常1台のマシンに限定されます。故障したディスクを交換すると、通常は問題が解決します。統計的には、交換用ディスクを同時に購入し、同じベンダーが実行している場合を除いて、同じ問題が発生することはほとんどありません。その場合、コンポーネントラインの製造元の欠陥である可能性があります。

ただし、ランサムウェアを備えたマシンは常に1台だけではありません

一部のランサムウェアは、実際にはネットワーク上の複数のマシンを暗号化できます。サーバーが感染しているクライアントがいて、ネットワーク上の複数のマシンにウイルスが広がることを許可し、サーバーとワークステーションはすべてロックされました。サーバーが感染していない可能性があるが、ホストとして機能している場合、感染したファイルに接続するワークステーションに感染が繰り返し発生する可能性があります。いずれにせよ、感染を停止するには、問題を体系的に修正する必要があります。

ワークステーションのハードドライブが故障しても、ネットワーク全体で障害が再現されません。ランサムウェアとハ​​ードドライブの障害を比較することは、癌を四肢の骨折と比較することに似ています。彼らはどちらも衰弱させています。

41
AbsoluteƵERØ

ほとんどの人はバックアップを持っていません。バックアップを持っているほとんどの人は、それらが機能することを確認するためにそれらをテストしていません。

ディスク障害とランサムウェアの本当の違いは、身代金を支払うことはデータ復旧会社に支払うよりも安く、データを取り戻す可能性が高いということです。

71
Mark
  • ランサムウェアを使用して暗号化されたデータをバックアップする可能性があります
  • ほとんどの人はそもそもクラウドにバックアップしていません
  • ハードドライブを定期的にバックアップしている場合は、故障したハードドライブを自動的にバックアップすることを心配する必要はありません
  • 暗号化を使用すると、身代金を支払うことなくデータを回復する方法はありません(動作することは保証されていません)。
  • ドライブが故障した場合でも、一部を回復できる可能性があります。

全体的に、ハードドライブの障害は予防策や回復サービスほどの損害を与えない可能性がありますが、ランサムウェアは意図的にはるかに損害を与えるように設計されています。

9
user72066

バックアップを活用するには、定期的にバックアップを行う必要があります。コンピューターで作業していて、最後のバックアップが1週間前だった場合、1週間で作成されたこれらのファイルは、攻撃者の要求にかかわらず、すでに50〜100ドル/ユーロの価値がある可能性があります。また、バックアップされていない写真が含まれている場合、ほとんどの写真はさらに進んで支払います。これにより、この種の攻撃は非常に有益になります。

ほとんどの人はコンピュータについての手がかりを持っていません。彼らは単純に単純なユーザーであり、何を回避すべきか、何が問題になるのかについての知識がほとんどありません。結局のところ、ほとんどの場合、ウイルスやルートキットを使用している場合、あなたを助け、ファイルを保存し、コンピューターをフォーマットし、Windowsを再インストールしてくれる誰かを知っているでしょう。つまり、これらのユーザーにとって攻撃はどこからでも起こり、準備ができていないだけです。

そして人々も怠惰です。バックアップが有用であることを彼らが知っていたとしても、ほとんどの人はコンピュータを外付けドライブに定期的に接続するのが面倒です。そして、ほとんどの人は、自分が好きなすべてのファイルを手動でドライブにプルする以外に、それを行う方法を本当に知りません。その場合、簡単に見逃したり、非常に多くのファイルをコピーしたりして、時間が経つとプロセスが面倒になります。

また、バックアップがネットワーク/コンピューターに接続されている場合、ディスク障害が予想されるため、それらも同様に脆弱である可能性があります。

9

ランサムウェアには、強い心理的要素、つまり違反の感覚があります。

ハードドライブが故障し、バックアップがない場合、それは地震のように起こったことだけです。

ランサムウェアは、誰かがあなたの家に侵入したようなもので、誰かが実際に何かをしました。さらに、ハードドライブが故障し、バックアップがなくても完了です。ランサムウェアの場合、ユーザーは次のことを決定する必要があります。支払った場合、実際に私のデータが提供されますか?

ハードドライブが故障した場合、別のドライブが故障する可能性は何ですか?誰かがランサムウェアをダウンロードするために十分バカだった場合、彼らは何をしたかわからない可能性があり、それが再び起こるのではないかと怖がるでしょう。多くの場合、ユーザーはおそらく何かをダウンロードしますが、多くのユーザーは自分が「ハッキング」され、標的にされたと考えます。


成功したということは、なぜ人々はバックアップを使う代わりにお金を払うのか?いくつかの可能性:

  • 彼らはバックアップを持っていません
  • 彼らはバックアップを持っていますが、ロックされているかターゲットにされていました(たとえば、バックアップはありますが、バックアップの概念はメインハードドライブの別のフォルダーに置かれていました)
  • バックアップとしてCarboniteやMozyのようなものがあり、.txtファイルが保存されており、コンピューターからロックアウトされているため、パスワードを取得することはできません。

  • 他の誰かがバックアップを設定し、その方法がわからず、何かをダウンロードしてITの友人に攻撃されたことを認めたくない

  • 「多分私が支払えば彼らは私を一人にしておくだろう」それは再び起こるかもしれません
  • バックアップからの回復は難しいようです、または最後のバックアップに最も重要なファイルがないことを心配しています、おそらく彼らの時間は身代金のコストよりも価値があります

故障したハードドライブは障害であり、ランサムウェアは攻撃です。どちらもアクションを実行しないとデータの可用性が失われますが、ランサムウェアは他の攻撃または違反の可能性があることも示唆しています。なぜ攻撃者がデータのロックを解除して再度ロックするか、またはユーザーをボットネット?ランサムウェアは1つではなく、試練にさらされている可能性があります。

6
Eric G

バックアップが実行されていて、ランサムウェアがそれらのバックアップにアクセスできない場合、バックアップを取得するだけで十分です(もちろん、感染したコンピューターからランサムウェアソフトウェアを完全に削除した後)。

バックアップメディアが常に接続されている場合(マウントされたネットワーク共有、USBハードドライブなど)、ランサムウェアがバックアップも暗号化する可能性があります。

6
n1000

「これがディスク障害と異なるのはなぜですか」

まだ指摘されていない点が1つあります。まったく違いはありません。 暗号化タイプのランサムウェアにお金を払う人も、ディスク障害の後でハードドライブを即座に復元するために$ 500を支払います。*

平均的な人々の自宅のPCでは、バックアップは非常にまれです。 NASを購入し、ネットワークと自動バックアップの方法を学ぶことは、平均的なコンピューターユーザーにとって安くも簡単でもありません。外付けHDDを購入して接続することは、安くて簡単ですが、面倒すぎるため、最後のバックアップは2か月前のものになります。Windowsを使用している場合、組み込みのバックアップ方法が3年ごとに変更されることは役に立ちません。バックアップには、一般にアクセス可能なネットワーク共有上にあるという問題もあります。つまり、ランサムウェアもそれらを暗号化することを決定できます。

また、ディスクがなくても、Windowsを最初からインストールすることを忘れないでください。 25%未満のユーザーがそうすることに抵抗がないと思います-バックアップがある場合でも、修理工場に行ってPCを修理し、Windowsを再インストールして、バックアップをインストールする必要があります。修理工場にも費用がかかり、PCが1週間利用できなくなります。

*特別なケースは、他人に気付かれずに問題を解決したい私が何をしているのかわからないときにウイルスに感染したことを恥ずかしく思っている人です。彼らは屈辱を避けるために身代金を支払います。

6
Peter

他の答えはすべて、バックアップの可用性と攻撃方法としてのランサムウェアの実行可能性について優れた点を提起します。ただし、ランサムウェアとディスク障害の特定のケースを攻撃者のの観点から特に比較したことはないと思います。

私が誰かのコンピュータシステムを攻撃し、成功する確率がほぼ同じである2つの結果を選択した場合、成功した場合に金銭的利益をもたらす可能性のあるものを選択することは十分に明白です。

2
Aiken

身代金攻撃は、ファイルをロックするだけではありません。

私はかつて、次のような口調で何かを述べている画面を見ずにコンピュータを起動することができない攻撃の犠牲者でした:

警察は、このコンピューターがあらゆる種類の不正行為を行っていることを検出しました。この問題を解決するには罰金を支払う必要があります。

これがランサムウェアについて知らない人と共有されているコンピューターで発生した場合、これは「通常の」システムワイプよりもはるかに有害である可能性があります。したがって、攻撃は何かを生み出す可能性が高くなります。

1

他の回答に加えて、一部のランサムウェアはそれ自体を宣伝していないことを指摘しておきます。

代わりに、マシン上で破損したファイルを検出したことをユーザーに警告するコンポーネントとして偽装します。次に、正規のOSと同様に、「オンラインで解決策を見つける」ために進み、ユーザーに「自分のコンピューターを修正するソフトウェア」を購入できるWebページを表示します。もちろん、「破損した」ファイルは最初からランサムウェアによって暗号化されており、ユーザーが高額で購入したソフトウェアがファイルを復号化します。

このより安全で目立たないアプローチの利点は、ユーザーが自分が詐欺に遭ったことに気付かないことです。これは、ランサムウェアの成功の数を増やすことに貢献します。

(残念ながら、この種のマルウェアのリファレンスはもう見つかりません。見つけた場合は例を追加します。)

0
dr_

ランサムウェア攻撃が成功するのは、ユーザーが機密データのコピーをコンピューター以外に常に保存するわけではなく、多くの人々が侵害されたデータを取り戻すために支払うことを受け入れるためです。

支払いをするユーザーがいる限り、ランサムウェア攻撃は止まることはなく、進化して改善するだけです。

0
user45139