fbpx

CylancePROTECT kontra WastedLocker Ransomware

Jak rozpoznać ransomware? Poznaj najlepszą ochronę przed ransomware - CylancePROTECT

Fala cyberataków ransomware Petya i WannaCry sparaliżowała tysiące firm na całym świecie. Tylko w maju 2017 roku ransomware WannaCry zainfekował blisko 300 tys. komputerów w 99 krajach. W 2020 r. to ransomware WastedLocker najbardziej dotkliwie zaatakował przedsiębiorców. Obecnie za atakami ransomware nie stoją przypadkowi cyberprzestępcy, a doskonale zorganizowane gangi, tak też było w tym przypadku – twórcami WastedLocker są rosyjscy hakerzy z grupy Evil Corp (znani również jako Dridex Gang). Jednak zarówno ataki ransomware z 2017 r., jak i 2020 r. zostały odparte przez oprogramowanie antywirusowe CylancePROTECT. Jak to możliwe, że komputery chronione przez CylancePROTECT wyszły z tego starcia bez szwanku?

CylancePROTECT to skuteczna ochrona przed ransomware

Niestety wiele programów antywirusowych nie jest w stanie powstrzymać ataku ransomware, dotyczy to zwłaszcza tradycyjnych antywirusów opartych na bazach sygnatur. Do zabezpieczenia naszej infrastruktury przed ransomware konieczne jest wykorzystanie najnowszych technologii, takich jak uczenie maszynowe czy sztuczna inteligencja. Eksperci są zgodni, coraz więcej ataków jest wymierzonych w określone organizacje. Niewątpliwie ofiarą gangu ransomware WastedLocker padł producent zegarków Garmin, który na skutek ataku w lipcu 2020 r. został sparaliżowany na kilka dni. Zespół BlackBerry Threat Research uzyskał próbkę ransomware WastedLocker do testów. Oto czego się dowiedzieliśmy po jej przebadaniu. 

atak ransomware jak się ochronić

Jak działa ransomware WastedLocker?

WastedLocker szyfruje pliki za pomocą 256-bitowego klucza szyfrowania AES w trybie CBC, który jest chroniony przez asymetryczne szyfrowanie przy użyciu 4096-bitowego algorytmu RSA. Po zaszyfrowaniu plików ofiary do zaszyfrowanego pliku zostaje dołączone rozszerzenie „.wasted”. Ponadto atakujący tworzą także dodatkowy plik zawierający żądanie okupu. Żądanie okupu ma taką samą nazwę jak zaszyfrowany plik, ale z dodatkiem „_info”:

ransomware wastedlocker
źródło: https://blogs.blackberry.com/

Poniższy zrzut ekranu przedstawia żądanie okupu. Żądanie rozpoczyna się nazwą organizacji, która jest celem cyberprzestępców, informuje, że sieć została zaszyfrowana, a następnie udostępnia kontaktowy adres e-mail, za pomocą którego ofiara może uzyskać informacje o koszcie zwrotu swoich danych, a także klucza deszyfrującego:

żądanie okupu ransomware
źródło: https://blogs.blackberry.com/

Jak wykryć ransomware? Zabezpiecz swój komputer przed ransomware z CylancePROTECT

Wśród nowszych wariantów oprogramowania ransomware pojawił się trend, który polega na tym, że są one coraz częściej projektowane tak, aby nie było możliwe ich wykrycie przez tradycyjne narzędzia bezpieczeństwa i oprogramowanie antywirusowe. To pozwala ransomware przetrwać wystarczająco długo, aby zaszyfrować pliki ofiary.

Według badaczy WastedLocker wydaje się stosować technikę unikania zabezpieczeń bardzo podobną do BitPaymer, pokrewnego szczepu ransomware. Ta technika dodatkowo ukrywa szkodliwe działania poprzez zastosowanie obfuskacji kodu, co powoduje, że regułom wykrywania opartym na zachowaniu trudniej jest takie złośliwe oprogramowanie wychwycić.

kwarantanna ransomware blackberry
źródło: https://blogs.blackberry.com/

Jednak nie wszystkie antywirusy dadzą się oszukać. Wykorzystywane przez CylancePROTECT modele uczenia maszynowego oceniły wszystkie testowane pliki ransomware WastedLocker jako zagrożenie i jak widać na zrzucie z konsoli zostały one poddane kwarantannie. Jak to możliwe? BlackBerry korzysta z agentów opartych na sztucznej inteligencji, przeszkolonych w wykrywaniu zagrożeń na milionach bezpiecznych i niebezpiecznych plików. CylancePROTECT zablokował ransomware WastedLocker na podstawie niezliczonych atrybutów plików i złośliwych zachowań, zamiast polegać na określonej sygnaturze pliku.

Atak ransomware to gigantyczne koszty związane z ewentualnym okupem, przestojem przedsiębiorstwa i usuwaniem skutków ataku. Wczesne wykrywanie zagrożeń jest znacznie tańsze niż mierzenie się ze skutkami skutecznego ataku. Dlatego wybierz antywirus stworzony do walki z oprogramowaniem ransomware – CylancePROTECT. Chcesz dowiedzieć się więcej? Zobaczyć jak CylancePROTECT blokuje złośliwe oprogramowanie w praktyce? Zapisz się na nasz najbliższy webinar, już w środę 13 stycznia 2021 r. na żywo zaprezentujemy możliwości CylancePROTECT. Więcej dowiesz się na stronie wydarzenia

Zobacz również:

Cylance-optics-follina2
BlackBerry
Rafał Pezowicz

BlackBerry zapobiega Follinie

CylanceOPTICS rozpoznaje i usuwa zagrożenia na urządzeniu, używając sztucznej inteligencji (AI)

fortigate agregacja linków solucja
Fortigate
VIDA

FortiGate: agregacja linków

Funkcjonalność ta pozwala nam na powiązanie ze sobą dwóch lub więcej interfejsów w celu utworzenia łącza zagregowanego.

CylancePROTECT kontra WastedLocker Ransomware