Acabo de leer que los ataques de "rescate" están en aumento, donde el atacante usa una vulnerabilidad para permitirles cifrar archivos y exigir dinero por la clave.
¿Por qué esto es diferente a una falla del disco, donde la solución es "obtener la copia de seguridad"?
Algunas personas mencionan las copias de seguridad como una solución para el ransomware. El ransomware funciona porque el objetivo no está preparado para el resultado. Si bien un disco duro defectuoso y un cifrado de ransomware se pueden "recuperar" mediante la restauración de una copia de seguridad en una nueva unidad, el ransomware es a veces un malware que se ejecuta en la propia máquina. En cualquier caso, la restauración desde una copia de seguridad externa no eliminará el problema que permitió a los atacantes acceder al sistema en primer lugar. Esto requiere contramedidas tales como:
Desafortunadamente, la mayoría de los usuarios de computadoras no tienen implementadas estas contramedidas.
Para recuperarse de una unidad dañada, simplemente haga copias de seguridad en un disco externo. En caso de fallo de la unidad, reemplace el disco y restaure los volúmenes. Simple.
Para recuperarse de un ransomware se requiere tiempo, tiempo de inactividad e investigación para determinar si la máquina se vio comprometida debido a:
Si el costo de una investigación es costoso, puede ser más barato pagar el rescate.
Nota: el sistema / red aún debe asegurarse antes y después de una investigación, de lo contrario, el mismo ataque puede repetirse.
En algunos casos, al habilitar el cifrado en un volumen con BitLocker donde el volumen aún no estaba cifrado, el atacante puede impedir el acceso a todo el volumen, lo que bloquea al usuario de su propio sistema. En este caso, es una función de Windows. No habría evidencia de cualquier cosa "instalada" en el sistema, pero más bien habría evidencia de una intrusión si el sistema estuviera configurado de tal manera que la cuenta del usuario pudiera verse comprometida de forma remota o en persona con la inserción de un dispositivo infectado.
En falla de disco
Cuando falla un disco, simplemente reemplaza el dispositivo porque fue un fallo físico. Si varios discos fallan, entonces hay un problema con el controlador. Solo puede saber si un disco ha fallado probándolo en una máquina diferente si un disco nuevo presenta los mismos síntomas, o si prueba un disco nuevo en la máquina fallida y funciona, entonces sabe que el controlador está bien. En situaciones como un RAID en el que varios discos trabajan juntos, un disco defectuoso puede sacar otros discos, por lo que existe la posibilidad de un fallo sistémico en varios dispositivos. Piense en los sectores defectuosos y la corrupción de archivos en una sola unidad que se duplica en varias copias en un RAID. La falla del disco generalmente se limita a una sola máquina, con la excepción de las redes donde los terminales (clientes ligeros) se conectan a un sistema central. Reemplazar un disco fallido generalmente soluciona el problema. Estadísticamente, no es probable que experimente el mismo problema a menos que el disco de reemplazo se haya comprado al mismo tiempo y haya sido parte de la misma ejecución del proveedor, en cuyo caso podría tratarse de un defecto del fabricante de una línea de componentes.
No siempre es solo una máquina con Ransomware
Algunos ransomware pueden en realidad cifrar más de una máquina en una red. Tengo un cliente cuyo servidor estaba infectado y permití que el virus se propagara a varias máquinas en la red y luego el servidor y las estaciones de trabajo estaban bloqueados. En los casos en que el servidor no esté infectado, pero actúe como un host, esto puede causar infecciones recurrentes en las estaciones de trabajo que se conectan a los archivos infectados. En cualquier caso, el problema debe solucionarse sistemáticamente para detener la infección.
Si un disco duro en una estación de trabajo muere, no replica la falla en una red. La comparación de fallas de ransomware y disco duro es como comparar el cáncer con una extremidad rota; ambos son debilitantes.
La mayoría de las personas no tienen copias de seguridad. La mayoría de las personas que tienen copias de seguridad, no las han probado para asegurarse de que funcionan.
La diferencia real entre la falla del disco y el ransomware es que pagar el rescate es más barato que pagar a una compañía de recuperación de datos, y es más probable que recupere sus datos.
En general, la falla del disco duro puede no ser tan dañina con las precauciones y los servicios de recuperación, mientras que el ransomware está diseñado para ser mucho más dañino intencionalmente.
Para que las copias de seguridad sean útiles tienes que hacerlas regularmente. Si trabaja en su computadora y su última copia de seguridad fue hace una semana, los archivos creados en una semana pueden tener un valor de 50-100 $ / €, independientemente de lo que exija el atacante. Y si las fotos sin copia de seguridad están involucradas, la mayoría está aún más dispuesta a pagar. Esto hace que este tipo de ataque sea bastante rentable.
La mayoría de las personas no tienen ni idea de las computadoras. Simplemente son usuarios simples, con poco conocimiento de qué evitar o qué podría salir mal. Después de todo, en la mayoría de los casos cuando tienes un virus o un rootkit, conocerás a alguien que te pueda ayudar, guardar tus archivos, formatear tu computadora y reinstalar Windows por ti. Eso significa que para esos usuarios el ataque sale de la nada y simplemente no están preparados.
Y la gente también es perezosa. Incluso si supieran que las copias de seguridad son útiles, la mayoría sería demasiado perezosa para conectar su computadora a una unidad externa periódicamente. Y la mayoría no sabría realmente cómo hacerlo, además de extraer todos los archivos que les gustan manualmente en el disco. En cuyo caso, podrían perder fácilmente algunos o copiar tantos archivos que el proceso se vuelve tedioso con el tiempo.
Además, si sus copias de seguridad están conectadas a su red / computadora, también pueden ser vulnerables, porque está esperando una falla en el disco, pero cree que su red / computadora generalmente está a salvo de la mayoría de las vulnerabilidades o a los usuarios se les dijo qué hacer. evitar.
Si se realizan copias de seguridad, y el ransomware no puede acceder a esas copias de seguridad, entonces solo será suficiente obtener la copia de seguridad (después de eliminar por completo el software de ransomware de la computadora infectada).
Si el medio de copia de seguridad está siempre conectado (por ejemplo, recurso compartido de red montado, disco duro USB, etc.), es posible que el ransomware también cifre las copias de seguridad.
"¿Por qué esto es diferente a una falla del disco"
Todavía no se ha mencionado un punto: no es realmente diferente. Las personas que pagan por el cifrado de tipo ransomware también pagarán $ 500 para que su disco duro se restaure instantáneamente después de una falla del disco. *
Las copias de seguridadson muy poco comunes en las PC de las personas promedio de la casa. Comprar un NAS y aprender sobre redes y cómo hacer copias de seguridad automatizadas no es barato ni simple para un usuario promedio de computadoras. Comprar un disco duro externo y conectarlo ocasionalmente es barato y simple, pero demasiado engorroso, por lo que la última copia de seguridad tendrá un par de meses. Y no ayuda si utiliza Windows, la forma integrada de hacer copias de seguridad cambia cada 3 años. Las copias de seguridad también tienen el problema de que están en redes compartidas de acceso público, lo que significa que el ransomware podría decidir cifrarlas también.
Además, no olvidemos instalar Windows desde cero, sin tener un disco. Creo que menos del 25% de los usuarios se sienten cómodos haciendo eso, incluso si hay una copia de seguridad, tendrían que ir a un taller de reparación para reparar la PC, reinstalar Windows e instalar la copia de seguridad. El taller de reparaciones también cuesta dinero y significa que la PC no estará disponible durante una semana.
* Un caso especial son las personas que se avergüenzan de haber contraído un virus mientras lo hacen. No sé qué, quieren que el problema desaparezca sin que nadie más lo note. Ellos pagarán el rescate para evitar la humillación.
Con el ransomware, hay un fuerte elemento psicológico: un sentimiento de violación.
Si tu disco duro muere y no tienes respaldo, bueno, es algo que acaba de suceder, como un terremoto.
El ransomware es como si alguien entrara en tu casa, alguien realmente te hizo algo. Además, un disco duro muere y usted no tiene una copia de seguridad, está listo. Si se trata de ransomeware, ahora el usuario debe decidir: ¿pago? Si pago, ¿realmente me darán mis datos?
Si un disco duro muere, ¿cuál es la probabilidad de que otra unidad falle? Si alguien fue lo suficientemente estúpido para descargar el ransomware, es posible que no sepan lo que hicieron y temen que vuelva a suceder. En muchos casos, el usuario probablemente descargó algo, pero muchos de ellos pensarán que fueron "pirateados" y fueron objetivos.
Con éxito quiere decir, ¿por qué la gente paga en lugar de usar copias de seguridad? Algunas posibilidades:
Tienen algo como Carbonite o Mozy como sus copias de seguridad, tienen su contraseña en un archivo .txt y nunca podrán recuperarla ya que están bloqueadas fuera de su computadora
Alguien más configura sus copias de seguridad y no sabe cómo hacerlo, y no quiere admitir que descargó algo y fue atacado por su amigo de TI
Un disco duro muerto es un fallo, el ransomware es un ataque. Si no se realiza ninguna acción, ambos pueden provocar la pérdida de la disponibilidad de los datos. Sin embargo, el ransomware también implica otros ataques o violaciones. botnet? El ransomware no puede ser un truco hecho y hecho.
Las otras respuestas plantean puntos excelentes sobre la disponibilidad de copias de seguridad y la viabilidad del ransomware como método de ataque. Sin embargo, no creo que ninguno haya comparado particularmente el caso específico de ransomware versus falla de disco desde la perspectiva del atacante .
Si tuviera que atacar el sistema informático de alguien y tuve la opción de esos dos resultados con aproximadamente la misma probabilidad de éxito, entonces parece bastante obvio elegir el que potencialmente me proporcione una ganancia monetaria si tiene éxito.
Una vez fui víctima de un ataque que no me permitió iniciar la computadora sin ver una pantalla que indicaba algo en el tono de:
La policía ha detectado que esta computadora está haciendo todo tipo de cosas malas y se debe pagar una multa para resolver los cargos.
Si esto sucede en una computadora que se comparte con aquellos que no conocen el ransomware, esto podría ser mucho más dañino que un borrado "normal" del sistema. Y por lo tanto, es más probable que un ataque produzca algo.
Además de las otras respuestas, me gustaría señalar que algunos ransomware no se anuncian como tales.
En cambio, se disfraza como un componente que alerta al usuario de que ha detectado algunos archivos dañados en la máquina. Luego "procede a buscar una solución en línea", como hace el sistema operativo legítimo, y lleva al usuario a una página web donde puede comprar "un software para reparar su computadora". Por supuesto, los archivos "corruptos" fueron cifrados por el ransomware en primer lugar, y el software que el usuario compra a un precio caro descifra los archivos.
La belleza de este enfoque más seguro y de bajo perfil es que a menudo el usuario ni siquiera se da cuenta de que ha sido estafado. Esto contribuye a aumentar los números para los intentos exitosos de ransomware.
(Desafortunadamente, ya no puedo encontrar las referencias para este tipo de malware; agregaré ejemplos si los encontrara).
Los ataques de ransomware son exitosos porque los usuarios no siempre guardan copias de sus datos confidenciales que no sean en sus computadoras y mucha gente acepta pagar para recuperar sus datos comprometidos.
Mientras haya usuarios que paguen, los ataques de ransomware no se detendrán sino que solo evolucionarán y mejorarán.
Lea otras preguntas en las etiquetas ransomware