Chrání vás UAC před jízdou škodlivými softwarovými útoky?

UAC nebo ovládání uživatelských účtů je funkcí zabezpečení Windows, která uživatelům vyzve k schválení určitých akcí, včetně instalace softwaru. Přestože byl UAC v minulosti kritizován, je důležité udržet jej zapnutý, protože více malwaru deaktivuje tento nástroj, aby skryl svou přítomnost na infikovaných počítačích.

1. Co je UAC a proč je to důležité?
UAC je funkce pro zabezpečení Windows, která nutí uživatele ke schválení určitých akcí, jako je instalace softwaru. Je to důležité, protože pomáhá bránit váš počítač proti hackerům a škodlivým softwarem.
2. Byl v minulosti všeobecně nenáviděn?
Ano, UAC byl všeobecně nenáviděn, když byl představen ve Vista. Z hlediska použitelnosti a bezpečnostního hlediska ho uživatelé dobře přijali.
3. Proč Microsoft bagatelizoval UAC ve Windows 7?
Po obdržení zpětné vazby Microsoft v systému Windows 7 přehrál UAC v systému Windows 7. Zaměřili se na vyrovnání rovnováhy mezi použitelností a bezpečností.
4. Jak útočníci deaktivují UAC?
Útočníci mohou zakázat UAC využitím zranitelnosti &bdquo;oprávnění k privilegium“ nebo oklamáním uživatelů kliknutí na &bdquo;OK“ na výzvách UAC. Toho lze dosáhnout různými prostředky.
5. Které varianty malwaru mohou vypnout UAC?
Některé z nejběžnějších hrozeb malwaru, jako je rodina virů Sality, Alureon Rootkits, Bancos Banking Trojan a falešný antivirový software, mají varianty, které mohou deaktivovat UAC.
6. Jaká je prevalence vypnutí UAC kvůli malwaru?
Téměř jedno na čtyři počítače, které hlásily detekce malwaru společnosti Microsoft.
7. Byl UAC bez problémů na technické straně?
Ne, UAC měl svůj podíl na technických problémech. Před vydáním systému Windows 7 byla objevena chyba, která hackerům umožnila získat práva plného přístupu využitím předběžného kódu Microsoft. Microsoft se později tento problém zabýval.
8. Mohou uživatelé zapnout nebo vypnout UAC na Windows Vista a Windows 7?
Ano, uživatelé mohou zapnout nebo vypnout UAC ve Windows Vista i Windows 7. Pokyny k tomu najdete v poskytnutém odkazu.
9. Proč by uživatelé měli udržovat zapnutí UAC?
Uživatelé by měli udržovat zapnutí UAC, protože přidává další vrstvu ochrany před škodlivým softwarem a neoprávněné změny systému.
10. Je UAC spolehlivým řešením proti všem typům útoků na malware?
Zatímco UAC poskytuje další vrstvu zabezpečení, nejedná se o spolehlivé řešení proti všem typům útoků na malware. Je důležité použít jiná bezpečnostní opatření, jako je antivirový software a návyky bezpečného prohlížení, ve spojení s UAC.
Celkově je UAC důležitou bezpečnostní funkcí ve Windows, která by měla být zapnutá, aby byla chráněna před škodlivými softwarovými útoky. Je pro uživatele zásadní, aby zůstali ostražití a praktikovali bezpečné výpočetní návyky, aby se zvýšila jejich celková bezpečnost.

Chrání vás UAC před jízdou škodlivými softwarovými útoky

Nechat’S podívejte se na Erebus Ransomware jako příklad:

Malware vypne UAC Windows, varuje Microsoft

Microsoft tento týden naléhal na uživatele, aby udržovali zapnutou funkci zabezpečení Windows, i když uvedla, že nástroj deaktivuje více malwaru.

Ovládání uživatelských účtů (UAC) je funkce, která debutovala ve VISTA a revidována ve Windows 7, která nutí uživatele ke schválení určitých akcí, včetně instalace softwaru.

UAC byl ve Vista &bdquo;všeobecně nenáviděn“ a byl hlavní stížností na neúspěšný operační systém, řekl analytik Gartner před více než dvěma lety před více než dvěma lety.

&bdquo;Z hlediska použitelnosti nikdo nebyl šťastný. A z hlediska bezpečnosti nikdo nebyl šťastný, protože jsme věděli, že lidé dostanou &bdquo;únavu kliknutí“, “řekl John Pescatore z Gartneru v měsících před zahájením systému Windows 7.

Microsoft vzal stížnosti na srdce a snižoval UAC v systému Windows 7 poté, co jeho data ukázala, že uživatelé byli podrážděni, když čelili více než dvěma takovým výzvám v relaci v počítači.

Tento týden středisko pro ochranu malwaru Malware (MMPC) Microsoft uvedlo, že malware stále více vypíná UAC jako způsob, jak maskovat svou přítomnost na infikovaných počítačích.

Abychom deaktivovali UAC, musí kód útoku buď využít chybu, která umožňuje hackerovi získat administrativní práva – Microsoft nazývá tyto nedostatky &bdquo;oprávnění nadmořského“ zranitelnosti – nebo přiměje uživatele k kliknutí na &bdquo;OK“ na výzvu UAC na UAC výzvu.

Zjevně nejsou ani obtížné.

Některé z nejobvyklejších hrozeb, které nyní v oběhu-včetně rodiny virů Sality, Alureon Rootkits, Bancos Banking Trojan a Fake Antivirus Software-mají varianty schopné vypnout UAC, řekl Joe Faulhaber týmu MMPC v blogu skupiny.

Jeden červ, nazvaný &bdquo;Rorpian“ od společnosti Microsoft, je obzvláště zamilovaný do taktiky anti-UAC: ve více než 90% případů, kdy se Rorpian za jediný den dozvěděl, pozoroval červ deaktivující UAC, který UAC znepokojuje zranitelnost čtyřletého okna Windows.

Téměř jedno na čtyři počítače, které uváděly detekce malwaru společnosti Microsoft, se UAC vypnula, buď kvůli antikům malwaru, nebo proto, že jej uživatel vypnul.

UAC nebyl na technické stránce bez problémů. Měsíce před debutem Windows 7, pár vědců odhalila chybu ve funkci, kterou mohli hackeři použít k Piggybacku na předběžném kódu Microsoft, aby přiměli Windows 7 k udělení malwaru plného přístupu práva.

Ačkoli Microsoft původně zamítl své zprávy, později změnil UAC.

Faulhaber poskytl odkaz na pokyny pro zapnutí nebo vypnutí UAC na Vista. Mohou být také použity na Windows 7, ale posledním krokem je vytáhnout posuvník, aby &bdquo;nikdy neoznámil“, aby vypnul UAC.

UAC

Gregg Keizer Pokrývá Microsoft, bezpečnostní problémy, Apple, webové prohlížeče a zprávy o obecné technologii ComputerWorld. Sledujte Gregg na Twitteru na @gkeizer, na Google+ nebo se přihlaste k odběru Gregg’s RSS Feed . Jeho e-mailová adresa je [email protected].

Bezpečnostní
Malware
Okna
Microsoft
Malé a střední podnikání

Chrání vás UAC před &bdquo;Drive by“ škodlivé softwarové útoky?

Zaregistrujte se na nový účet v naší komunitě. Je to snadné!

Přihlásit se

Máte již účet? Přihlaste se sem.

Více možností sdílení.

Nedávno procházení 0 členů

Žádní registrovaní uživatelé prohlíží si tuto stránku.

Aktivita

Osobní

Zadní
Osobní
Malwarebytes pro Windows
Malwarebytes pro Mac
Malwarebytes Privacy VPN
Strážce prohlížeče MalwareBytes
MalwareBtyes Adwcleaner
Malwarebytes pro Chromebook
Malwarebytes pro Android
Malwarebytes pro iOS

Podnikání

Zadní
Podnikání
Ochrana koncového bodu
Ochrana koncových bodů pro servery
Ochrana a reakce koncového bodu
Detekce a odezva koncových bodů pro servery
Reakce incidentu
Zabezpečení koncového bodu

Obchodní moduly

Zadní
Obchodní moduly
Filtrování DNS
Zranitelnost a správa oprav
Remediace pro Crowdstrike®

Partneři

Učit se

Začněte zde

Typ malwaru/útoků

Jak se to dostane na můj počítač?

Podvody a touhy

Podpěra, podpora

Zadní
Osobní podpora
Podpora podnikání
Zveřejnění zranitelnosti

Vytvořit nový.

Důležitá informace

Tento web používá soubory cookie – umístili jsme do vašeho zařízení cookies, abychom tento web zlepšili. Můžete upravit nastavení cookie, jinak předpokládáme.

Nový malware využívá kontrolu uživatelských účtů (UAC)

Podle společnosti Microsoft je funkce zabezpečení uživatelského účtu (UAC) zabudovanou do všech moderních vydání systému Windows OS navrženo tak, aby pomohlo bránit počítač proti hackerům a škodlivým softwarem. Kdykoli se program pokusí provést změnu PC, UAC oznámí uživateli a požádá o povolení. Pokud k tomu dojde, mohou uživatelé umožnit změny, odmítnout změny nebo kliknout na tlačítko, které zobrazuje další podrobnosti o programu, který se pokouší provést změnu a jaké konkrétní změny se program pokouší provést. Bohužel si mnoho lidí jednoduše vybere ‘Ano’ bez kliknutí na ‘Ukázat detaily’ Nejprve tlačítko a tak přesně to nový malware důkazů o konceptu známý jako Shameonuac Deceives oběti. Ve většině případů funguje UAC velmi dobře. Často zastavuje potenciální hrozby malwaru tím, že nedovolí nainstalovaném malwaru provádět jakékoli významné změny v PC bez souhlasu uživatele. Samozřejmě, stejně jako většina ostatních bezpečnostních aspektů PC, efektivně používání UAC znamená, že uživatel musí vědět, kdy povolit změny prostřednictvím výzvy k eskalaci privilegií a kdy tyto změny odmítnout (i.E. Když se neznámý program pokouší provést změny prostřednictvím výzvy UAC).

Shameonuac byl vyvinut týmem Cylance Spear, zatímco skupina zkoumala potenciální způsoby, jak podvracet programy během eskalace privilegií prostřednictvím UAC. Abychom pochopili, jak tento malware funguje, pomáhá pochopit, jak funguje UAC tak, jak byl původně zamýšlen společností Microsoft:

1. Uživatel požádá Windows Explorer, aby spustil program pomocí administrativních oprávnění.
2. Vzhledem k tomu, že průzkumník běží bez privilegií administrátora, požaduje, aby služba Appinfo spustila program jako administrátor.
3. Appinfo zahajuje souhlas a přiměje uživatele k potvrzení programu pomocí zabezpečeného rozhraní
4. Uživatel je požádán o výběr ‘Ano’ nebo ‘Ne’
5. Pokud ano, souhlas řekne Appinfo spuštění programu s oprávněními administrátora. Pokud ne, přístup je odepřen a program není proveden.

Jakmile je na PC nainstalován malware Shameonuac, výměna se liší, protože Shameonuac Shell uvnitř Windows Explorer požádá Appinfo o spuštění legitimního programu. Rozdíl je v tom, že tento požadavek také zahrnuje libovolné příkazy, které by mohly provést sortiment škodlivých úkolů. Jediným způsobem, jak může potenciální oběť rozeznat rozdíl, je číst ‘Ukázat detaily” Tlačítko, když se objeví výzva UAC. To je samozřejmě, pokud uživatel skutečně chápe nepoctivé příkazy, které byly přidány k žádosti o legitimní program provedený společností Shameonuac.
Podle společnosti Microsoft byla služba Appinfo navržena tak, aby usnadnila provoz aplikací s oprávněními správce. Jinými slovy, když program potřebuje k provozu administrativní privilegia, Appinfo spustí výzvu UAC, která se ptá uživatelů, zda chtějí, aby program prováděl změny nebo ne. Cylance navržená UAC k cílení na CMD.Exe (příkazový řád Windows) a regedit.Exe (editor registru Windows), ale Derek Soeder – výzkumný pracovník pro Cylance – to uvádí “Jistě je možné více cílů.”
Pokud jde o využití příkazového řádku Windows, Shameonuac zajišťuje, že uživatel stále obdrží očekávaný příkazový řádek správce jednou ‘Ano” se klikne na výzvu UAC. Rozdíl je v tom, že malware může spustit příkaz vlastního prvního… s administrativními oprávněními.

Shameonuac pracuje trochu jinak, pokud jde o využití regeditu.exe. V tomto případě malware síly regeditují.exe nainstalovat samostatnou .předvoláním Appinfo. To má za následek druhý [skrytý] požadavek na nadmořskou výšku. Podle Soedera tato dodatečná žádost způsobí, že Appinfo spustí samostatnou instanci souhlasu.exe proces. Tento instance však běží jako systém; Jinými slovy, s administrativními privilegiami. To umožňuje knihovně shameonuac běžet před výzvou uživatele. Knihovna malware poté modifikuje parametry odeslané do ‘darebák’ souhlas.Instance exe – zase potlačte výzvu souhlasu. Přestože uživatel stále vidí okno editoru registru, Shameonuac již provedl příkazy se systémovými oprávněními. To znamená, že malware již způsobil poškození bez nutnosti, aby uživatel skutečně klikl ‘Ano’ Na výzvě UAC (protože do této doby již malware provedl škodlivý kód s oprávněními administrátora).
To, co dělá tuto iteraci malwaru tak nebezpečným, je, že neexistuje způsob, jak zmírnit hrozbu, že se stanou obětí tohoto vykořisťování, protože Shameonuac ISN’Zranitelnost, to’s funkce. Jako takový,’je nepravděpodobné, že bude náplast k dispozici kdykoli v blízké budoucnosti; Pokud Microsoft zcela nepřevede způsob, jakým implementuje UAC na administrativní úrovni.

Tato hrozba se také týká, protože to ukazuje, že uživatelé by mohli být neúmyslně zvyšují malware z pouhého nebezpečného “konec hry”, Podle Soedera. V každém případě jsou informace, které by upozornily uživatele na hrozbu ‘Ukázat detaily’ Krabice pro jakýkoli požadavek na nadmořskou výšku UAC. Ačkoli Shameonuac je hrozbou malwaru, která se netýkala’Byla ještě vidět ve volné přírodě, skutečnost, že vědci v oblasti bezpečnosti z Cylance zveřejnili podrobnou zprávu o svých zjištění. Jediným způsobem, jak se chránit před Shameonuac nebo jakoukoli jinou hrozbou malwaru, která využívá službu UAC, je dobře se podívat na podrobnosti o jakékoli žádosti o eskalaci privilegií. Pokud existují nějaké příkazy, které Don’Zdá se, že je známo, nebo pokud výzva požaduje povolení ke spuštění legitimního programu, který jste nechali’t výslovně otevřeno, existuje velká šance, že tato zranitelnost je využívána těsně před vašimi očima. Vždy odmítnute jakýkoli požadavek na eskalaci UAC, který se zdá být podezřelý, protože pokles žádosti by mohl být samotnou věcí, která chrání váš počítač před dosud neznámým vykořisťováním v důsledku této inherentní zranitelnosti oken.

O autorovi:

Karolis Liucveikis – zkušený softwarový inženýr, vášnivý pro behaviorální analýzu škodlivých aplikací.

Autor a generální operátor sekce Pcrisk &bdquo;Removal Guides“. Společný výzkumný pracovník pracující po boku Tomáše objeví nejnovější hrozby a globální trendy ve světě kybernetické bezpečnosti. Karolis má zkušenosti s více než pěti lety v této pobočce. Navštěvoval univerzitu KTU a v roce 2017 promoval s vývojem softwaru s vývojem softwaru. Nesmírně vášnivý pro technické aspekty a chování různých škodlivých aplikací. Kontaktujte Karolis Liucveikis.

Pcrisk Security Portal je přinášena společností RCS LT. Spojené síly bezpečnostních vědců pomáhají vzdělávat uživatele počítačů o nejnovějších online bezpečnostních hrozbách. Více informací o společnosti RCS LT.

Naše průvodce odstraňováním malwaru jsou zdarma. Pokud nás však chcete podpořit, můžete nám poslat dar.

O Pcrisk

Pcrisk je portál kybernetické bezpečnosti a informuje uživatele internetu o nejnovějších digitálních hrozbách. Náš obsah je poskytován Odborníci na bezpečnost a profesionální malware vědci. Přečtěte si více o nás.

Nové průvodce odstraněním

Allhypefeed.com reklamy
Elitemaximus Adware (Mac)
Podwaternewtab.com přesměrovat
Adware v hledišti (Mac)
Hijacker prohlížeče mých poznámek
Trunapol.XYZ ADS

Malware aktivita

Úroveň globální malwarové aktivity dnes:

Zvýšená míra útoku infekcí zjištěná během posledních 24 hodin.

Odstranění viru a malwaru

Tato stránka poskytuje informace o tom, jak se vyhnout infekcím malwarem nebo viry, a je užitečná, pokud váš systém trpí běžnými útoky na spyware a malware.

Průvodce horním odstraněním

Pan Beast Giveaway Pop-Up podvod
Profesionální hacker se podařilo hacknout váš e -mailový podvod s operačním systémem
Geek Squad Email podvod
Napadli jsme váš web Email podvod
Hacker, který má přístup k podvodu e -mailu k vašemu operačnímu systému
* Poškodí váš počítač. Měli byste to přesunout do koše. Pop-up (Mac)

Spotlight on Ransomware: Jak funguje ransomware, část 1

” />

Pochopení toho, jak funguje ransomware, není snadný úkol. Mimo kruhy kybernetické bezpečnosti se může uchopení složitosti potřebné k ochraně a zabránění ransomwaru před poškozením jeho obětí zdát téměř nemožné. Díky tomu je hrozba jen děsivější a efektivní pro zločince, kteří mají zisk.

V Emsisoft’s ‘Reflektor na ransomware’ Série, zaměřujeme se na rozložení různých fází útoku ransomware, od vektorů infekcí a provádění malwaru po šifrování a výkupné platební mechaniky.

Pokud jste zmeškali první část, ‘Běžné metody infekce ransomwaru’, Nezapomeňte to zkontrolovat a dozvědět se o různých způsobech, jak je rozprostřený ransomware.

Ve druhé části prozkoumáme, co se stane, jakmile’vedl nešťastné kliknutí na odkaz nebo dokument a co ransomware dělá s vaším systémem, aby převzal kontrolu.

Připraven zjistit, jak funguje ransomware? Nechat’ponořit se.

Jak Ransomware funguje: Získání přístupových práv

S tisíci různých variant ransomwaru tam venku a rostoucí den, vysvětlením přesných kroků, jak Ransomware funguje, aby převzal systém, se liší v různých kmenech. Obecně platí, že jakmile je spuštěn ransomware, neplánuje čas skenování místních a připojených jednotek pro soubory k šifrování.

Tip odborníků: Vzhledem k tomu, že mnoho variant ransomwaru se bude snažit zašifrovat připojené a sdílené jednotky, je důležité udržovat externí pevné disky odpojené od počítače, když jste a’T vytváření záloh. Pokud jsou připojeny, když jste’napadeno, bude to pravděpodobně také šifrováno.

Některé varianty, jako jsou Locky a DMA Locker, mohou dokonce zašifrovat sdílené síťové sdílení, takže šíření infekce ještě rozšíří.

To vše se děje během několika sekund. Doslova.

Přesto se toho v těchto sekundách hodně stane, takže nechte’S podívejte se na některé z různých způsobů, jak se ransomware snaží převzít váš počítač.

Zbavení a injekce procesu

Při dodání do vašeho systému je Ransomware obvykle zabalen nějakým druhem Obfuscator nebo Packer. Stejně jako u mluveného jazyka používá zmatek nejasné a matoucí výrazy k vytváření prohlášení, která zakrývají skutečný zamýšlený význam.

Jak to však vypadá v kontextu softwaru?

Za prvé, vývojáři ransomwaru budou zakrývat kód, aby zakryli svůj účel. Vezměte si například software anti-malwaru: Pokud Ransomware běží přesně tak, jak byl napsán, měl by spustit váš bezpečnostní software a zablokovat tuto akci. Ale co když si váš systém myslí, že provozujete typický program Windows?

Toto je ransomware’S Cílem zbláznění: zůstat nezjištěn.

Za druhé, malware často dostává reverzní zabavení vědci zabezpečení, aby extrahoval kód, zjistil, jak to funguje, a poté vytvoří dešifrující pro odemknutí ransomwaru. Pokud byl zdrojový kód zmaten, stane se to mnohem obtížnější úkol. Pokud se výzkumný pracovník bezpečnosti dívá na výložní kód, může být téměř nemožné určit, jak by zdrojový kód někdy vypadal.

Zobrazovaný v neodolaný zdrojový kód

Tato metoda je ještě snazší pomocí softwaru pro automatické zbláznění. Tento software automaticky změní data souboru různými způsoby’t vypadá podobně jako originál. Soubor však může stále provádět naprosto dobře.

Rychlý definice: Zbavení je proces, kterým ransomware mění data souborů různými způsoby, takže to není’t vypadá jako původní zdrojový kód. To skrývá skutečný účel souboru a přitom umožňuje provést soubor.

Jakmile se ve vašem systému začal spuštěný soubor, ransomware se rozbalí do paměti.

Vzhledem k tomu, že v mnoha vrstvách lze několikrát aplikovat několikrát, může se rozbalit se dokonce opakovaně, v závislosti na použitých konfiguracích. Jedním ze způsobů, jak tato rozbalení práce je prostřednictvím injekce kódu provedená do nově vytvořeného procesu.

UAC bypass

Ovládání uživatelského účtu (UAC) je bezpečnostní opatření, které Microsoft původně představil s Windows Vista. Na základě ‘princip nejméně privilegia,’ Windows ve výchozím nastavení omezuje všechny aplikace na vašem počítači na standardní uživatelská oprávnění. Pokud aplikace požaduje vyšší privilegia, uvidíte níže uvedené vyskakovací okno, které se objevuje na vašem počítači a vyžaduje uživatele s administrátorem, aby potvrdil, aby pokračoval.

Oznámení o vyskakovacím okně UAC

Toto je děsivá část toho, jak v tomto konkrétním scénáři funguje ransomware: s obchvatem UAC může Ransomware zabránit tomu, aby se toto vyskakovalo. S obchvatem UAC obchvatu pracuje s vyššími privilegiami, což mu umožňuje provádět změny ve vašem systému a komunikovat s jinými programy, aniž byste si dokonce uvědomili.

Ale jak to přesně to dělá?

Nechat’S podívejte se na Erebus Ransomware jako příklad:

Jak je prozkoumáno do hloubky Matta Nelsena, Erebus se kopíruje do náhodně pojmenovaného souboru ve stejné složce jako UAC. Poté modifikuje registr Windows, aby unesl sdružení pro .Prodloužení souboru MSC. To v podstatě znamená, že spustí soubor náhodného názvu EREBUS proveden (.exe) Místo vyzvání vyskakovacího vyskakovacího okna UAC.

Erebus přiměje váš počítač k otevření souboru Erebus na nejvyšší úrovni oprávnění na vašem počítači. To znamená, že se to všechno děje na pozadí, aniž byste vás upozornili nebo vás požádali o schválení spuštění aplikace.

Jakmile prohlížeč událostí běží ve stejném vyvýšeném režimu (úroveň administrátora), spuštěný soubor Erebus spustitelný soubor (.exe) také spustí se stejnými privilegiami. To mu umožňuje kompletně obejít kontrolu uživatelského účtu.

Rychlá definice: OBCHODNÍ OVLÁDACÍ Uživatelský účet (UAC) je proces, kterým může malware bez vašeho souhlasu zvýšit svá vlastní privilegia na správu, což mu umožňuje provádět změny ve vašem systému, jako je šifrování všech vašich souborů.

Jak se však obtok UAC vyhýbá detekci?

Zatímco ransomware pomocí injekce procesu se pokouší vyhnout se detekci pomocí technologie zabrusujícího se, nejnovější technika bypassu UAC se v jeho přístupu liší. Výzkumník bezpečnosti Matt Nelson vysvětluje, jak na svém blogu a shrnul níže:

Většina (pokud ne všechny) předchozí techniky obchvatu UAC vyžadovaly, aby usuzovaly soubor (obvykle knihovna dynamického linku nebo DLL) do systému souborů. To zvyšuje riziko, že útočník bude chycen buď v zákoně, nebo později, když je infikovaný systém zkoumán – zejména pokud není jejich zdrojový kód zmaten, jak je vysvětleno výše. Protože technika bypassu UAC to neudělá’T upusťte tradiční soubor, toto další riziko pro útočníka je zmírněno.
Tato technika bypassu UAC nevyžaduje žádnou injekci procesu, jako je typická technika zbláznění a injekce procesu. To znamená, že útok vyhrál’t Získejte označení bezpečnostními řešeními, která sledují tento typ chování. (POZNÁMKA: Řešení Emsisoft Monitorujte tento typ chování. Více o naší technologii blokátoru chování se můžete dozvědět zde.)

V zásadě tato metoda významně snižuje riziko pro útočníka, protože může získat práva správce, aniž by museli riskovat uživateli, který říká ne. Zatímco princip obchvatu UAC je’t nový, to získalo trakci a nyní je běžným rysem pro ransomware, který má zahrnovat. Dva příklady malwaru, které toto použily, jsou Erebus Ransomware (diskutovány výše) a Dridex Banking Trojan, přijaly tuto metodu a obíhají se od začátku roku 2017.

Stanovení perzistence: Ransomware se dělá pohodlným

Ransomware se občas pokusí zůstat ve vašem systému co nejdéle vytvořením toho, co se nazývá Persistence. To zajišťuje, že ransomware zůstane v systému, pokračuje v šifrování nových souborů, protože jsou zkopírovány a dokonce infikují nové oběti šířením do jiných jednotek.

Existuje mnoho různých způsobů, jak může ransomware dosáhnout vytrvalosti. Níže zdůrazňujeme ty nejběžnější:

Výsadba běhu klíčů

Klávesy spuštění jsou umístěny v registru, takže pokaždé, když se uživatel přihlásí, programy, které jsou uvedeny, jsou prováděny. Neprovozují se v bezpečném režimu, pokud není předponu hvězdičkou, což znamená, že program bude běžet v normálním i bezpečném režimu. Pokud máte přetrvávající ransomware, které se zdá, že se jen vracejí znovu a znovu, bez ohledu na to, kolikrát si myslíte’zabil to, to by mohl být váš problém.

Příklad spusťte klíčový příklad

Jedním takovým příkladem je JavaScript RAA Ransomware, který se objevil v roce 2016.

Plánování úkolu

Plánované úkoly jsou další metoda, kterou jsme viděli používání ransomwaru, což umožňuje větší flexibilitu, kdy by měl program spustit. Například můžete nastavit program pro běh každých 30 minut, což znamená, že váš viz stejný malware při spuštění a každých 30 minut poté. Je známo, že tuto techniku používají některé varianty ransomwaru, jako je skříňka CTB nebo Crylocker.

Obrazovka plánu úloh

Vložení zkratky

Pokud je zkratka do souboru malwaru nebo kopie souboru malwaru umístěna ve složce spuštění, bude spuštěna, když počítačové boty.

V ransomwaru bylo nedávno pozorováno sofistikovanější použití zkratky, jako je Spora. Půjčování vlastností červa, ransomware nastaví ‘skrytý’ atribut souborům a složkám v kořeni všech disků. Poté vytvoří zkratky (.lnk) se stejnými jmény jako skrytá a smažte přidružený symbol šipky v registru, který obvykle označuje ikonu zkratky. Samotná zkratka bude obsahovat argumenty pro otevření původního souboru nebo složky, jakož i soubor ransomware, což zajišťuje, že systém zůstane nepoužitelný, dokud nebude dezinfikován.

Servery příkazu a ovládání: volání domů

Viděli jsme, jak se ransomware vstupuje do vašeho systému. Jakmile ransomware vytvoří firmu, většina z nich bude komunikovat s příkazovým a ovládacím serverem (také známým jako C2) z vašeho počítače pro různé účely.

Obvykle budou buď používat pevně kódované domény nebo IP adresy, ale mohou být také hostovány na hackerných webech. Vezměte například Nemucod Ransomware. Tento malware Family Hacks Webss, přidává složku do FTP (obvykle pojmenované čítače) a používá tento web jako web k hostování nejen malwaru, který se stáhne, aby infikoval oběti (upouští svůj vlastní slabý ransomware a obvykle kovter bankovnictví trojský “Platební portál”, kde oběť pak jde získat dešifru, pokud se rozhodli zaplatit.

Alternativně se používá algoritmus generování domény (DGA). DGA je kus kódu v ransomwaru, který bude generovat a kontaktovat četné domény. Autor malwaru bude vědět, ve kterém pořadí bude pravděpodobně generováno tyto domény, a jeden z nich si vybere. Výhodou DGA oproti tvrdým zakódovaným doménám je to, že je obtížné sundat všechny domény najednou, takže je často někde pro hostování ransomware a platební stránky výkupného.

Jakmile je připojení navázáno, může ransomware poslat informace o vašem systému na server, včetně;

operační systém, který používáte,
Název vašeho počítače,
vaše uživatelské jméno,
země, ve které se nacházíte,
vaše uživatelské ID,
Generovaná bitcoinová adresa,
šifrovací klíč (pokud je generován malwarem).

Naopak server C2 může odesílat informace zpět do ransomwaru, jako je například šifrovací klíč generovaný server, který se používá k šifrování vašich souborů, generovanou bitcoinovou adresu, kde budete požádáni, abyste zaplatili výkupné, uživatelské ID pro přístup k portálu a url platební stránky (URL platební stránky (URL platební stránky (URL platební stránky (URL platební stránky (platební web URL (Poznámka: Tento aspekt pokryjeme v nadcházejícím příspěvku v této sérii).

V některých případech může C2 také pokyn ransomwaru, aby si stáhl další malware, jakmile dokončí šifrování nebo aby se kopie vašich souborů v budoucnu vydíraly za více peněz.

Odstranění stínových kopií: Žádné otočení zpět (nahoru)

Poslední fáze v ransomwaru’S Převzetí vašeho systému před zahájením šifrování je obvykle odstranění jakýchkoli stínových kopií (nebo automatických zálohovacích kopií) vašich souborů. To brání obětem vracet se zpět do nešifrovaných verzí a vyhýbat se zaplacení výkupného.

Služba Shadow Copy Shadow Shadow (VSS), která byla původně zahrnuta do systému Windows XP Security Pack 2, je sada rozhraní, která lze automaticky nastavit tak “Zálohy” souborů, i když se používají.

Tyto zálohy se obvykle vytvářejí, když je vytvořen zálohování systému Windows nebo bod obnovení systému. Umožňují vám obnovit soubory do předchozích verzí.

Mazání stínových kopií

To je něco, co ransomware nechce.

To má za následek, že ransomware obvykle smazání snímků pomocí příkazu vssadmin.exe odstranit stíny /vše /tiché, a to tak učiní bez jakýchkoli výzev, které varují uživatele. K tomu potřebuje povolení správce a je dalším důvodem, proč by ransomware chtěl použít obchvatu UAC.

Závěr

Jak vidíte, existují různé způsoby, jak Ransomware uchovává váš systém, a všechny druhy změn, které může učinit, aby se to nepoužilo. Od získávání práv správce nebo je zcela obcházení, stanovení perzistence změnou položek registru a nastavením zkratky, po komunikaci s příkazovým a kontrolním serverem: Jak se za den funguje ransomware.

Nyní, když pochopíte, jak ransomware napadá váš systém, připravte se na ponoření do dalšího kroku útoku: šifrování vašich souborů. Zůstaňte naladěni na další příspěvek v naší sérii v následujících týdnech!

Mnohokrát děkuji softwaru Emsisoft Antimalware pro tento článek. Kontaktujte SWC pro vaše produkty Emsisoft.

Vítejte na jihozápadě počítačové!

South West Computable je prémiovým dodavatelem technické podpory, hardwaru, softwaru a počítačových služeb, pro podnikání, vzdělávání, primární průmyslová odvětví a domy v celém regionu od roku 1994.

Poskytujeme nejvyšší standardy profesionálních, zkušených, přátelských, místních prodejů, služeb a podpory pro všechny vaše potřeby IT.

Nabízíme řešení Windows a Apple.

Zprávy

Pět tipů pro udržení bezpečnosti hesel
Přístup k fakturám na Mac Mail
Daňová doba 2021
Tech Boss sestoupí po 27 letech místního obchodu
Ochrana před infekcí malwaru v roce 2021
My’najímání – máte to, co to znamená?

Chrání UAC před malwarem