Was ist RSA-4096-Ransomware und wie schützt man sich davor?
RSA-Ransomwareverwendet eine bestimmte Art von Verschlüsselung, um anvisierte Unternehmen lahmzulegen. Dies ist das RSA-Verschlüsselung
RSA-4096 ist ein legitimer Verschlüsselungscode . Es ist eines der besten Verschlüsselungssysteme, mit denen Sie Ihre Daten bei der Übertragung schützen können. Aber leider kann ein allgemein verfügbares System sowohl von Schurken als auch von ehrlichen Geschäftsleuten genutzt werden. RSA-4096-Ransomware ist ein Ransomware-Angriff, der die RSA-Verschlüsselung mit einem 4096-Bit-Schlüssel verwendet – es handelt sich nicht um den Namen eines bestimmten Ransomware-Pakets.
Was ist RSA?
Der Name ' RSA „gilt für einen Verschlüsselungsschlüssel und das Unternehmen, das das Verschlüsselungssystem verwaltet und vertreibt. Dieses Geschäft heißt RSA Security LLC .
Drei Personen haben das RSA-Verschlüsselungssystem entwickelt: Ron Rivest , Adi Shamir , Und Leonard Adleman . Der Name des Systems leitet sich vom ersten Buchstaben dieser drei Nachnamen ab. Dann arbeite ich bei der Massachusetts Institute of Technology (MIT), die drei erfinden RSA im Jahr 1977. Das von ihnen entwickelte Produkt erhielt 1983 ein Patent. Leider wurde dieses Patent jedoch dem MIT und nicht den drei einzelnen Erfindern erteilt.
Obwohl sie das Patent nicht besaßen, einigten sich die drei mit dem MIT darauf, die von ihnen erfundene Technologie exklusiv zu nutzen und gründeten das Unternehmen RSA. Das Original Patent Die Entwicklung der RSA-Verschlüsselung lief im September 2000 aus, sodass die Formel für RSA öffentlich bekannt wurde.
RSA-Verschlüsselung ist die Sicherheitsfunktion, die das Hypertext Transfer Protocol ( HTTP ) in das Hypertext Transfer Protocol/Secure ( HTTPS ). Es ist für den Schutz von Webtransaktionen verantwortlich und wird auch häufig verwendet virtuelles privates Netzwerk (VPN)-Systeme.
RSA ist also keine Ransomware; Es handelt sich um ein Schutzsystem für Internetübertragungen. Aufgrund seiner Struktur ist RSA jedoch ideal für Hacker, die Ransomware erstellen.
Was ist asymmetrische Schlüsselkryptographie?
Die Formel, die zum Entschlüsseln von Daten in einem verwendet wird Asymmetrisches Schlüsselverschlüsselungssystem unterscheidet sich von der Formel, die es verschlüsselt hat. Die beiden Formeln können durch Verwendung anderer Schlüssel zu denselben Ergebnissen gelangen. Der Schlüssel ist eine Variable – es ist eine der Zahlen, die in die Formel eingefügt werden und deren Wirkung verändern. Daher nützt es Ihnen nichts, wenn Sie die Formel kennen, da Sie die Verschlüsselung einer anderen Person immer noch nicht entschlüsseln können, wenn Sie nicht über die fehlende Nummer verfügen. Aus diesem Grund konnte das RSA-System auch nach der Veröffentlichung der Formel im Jahr 2000 überleben und gedeihen.
Für eine einfache Erklärung von asymmetrische Kryptographie Bedenken Sie, dass 2 x 10 = 20 und 4 x 5 = 20. Stellen Sie sich vor, dass die Verschlüsselungsformel das Hinzufügen einer Zahl zum ASCII-Code für ein Zeichen beinhaltet. Diese Zahl ergibt sich aus der Formel: 2 xUND. Sie können diesen Text entschlüsseln, indem Sie eine Zahl subtrahieren und den ursprünglichen ASCII-Code erzeugen. Die Entschlüsselungsformel lautet 4 xMit. Wenn Sie also möchten, dass jemand einen Text verschlüsselt, den Ihr anderer Entschlüsselungsschlüssel entschlüsselt, generieren Sie SchlüsselpaareUNDUndMit. Du sendestUNDzur Verschlüsselung an Ihren Korrespondenten. Der Korrespondent sendet Ihnen dann den verschlüsselten Text und Sie entschlüsseln ihn, indem Sie die Entschlüsselungsformel verwendenMit.
In RSA ist die Formel unendlich komplizierter als das hier gegebene Beispiel. Es ist so clever, dass es so ist unmöglich damit jeder, der den Verschlüsselungsschlüssel abfängt, herausfinden kann, was der Entschlüsselungsschlüssel ist. Im RSA-System können Sie einen Text nicht mithilfe des Verschlüsselungsschlüssels entschlüsseln.
Bei der asymmetrischen Kryptografie ist es üblich, den Verschlüsselungsschlüssel zu veröffentlichen, den Entschlüsselungsschlüssel jedoch geheim zu halten. Daher wird der Verschlüsselungsschlüssel auch als öffentlicher Schlüssel und der Entschlüsselungsschlüssel als privater Schlüssel bezeichnet. Daher werden asymmetrische Schlüsselsysteme auch als „ Verschlüsselung mit öffentlichem Schlüssel .“
Was ist 4096?
Durch Ersetzen möglicher Werte lässt sich der Schlüssel leicht erraten. Dies nennt man a Brute-Force-Angriff . Allerdings wird die Zeit, die zum Knacken eines Verschlüsselungsschlüssels durch Durchlaufen aller möglichen Werte benötigt wird, bei längeren Schlüsseln komplizierter.
Die Länge von Verschlüsselungsschlüsseln wird in Bits und nicht in Zeichen ausgedrückt. Da Bits in Bytes mit einer Länge von acht Bits gespeichert werden, beträgt die Länge des Verschlüsselungsschlüssels normalerweise ein Vielfaches von acht.
RSA begann mit einem 1024-Bit-Schlüssel . Leider würde das Knacken viele Ressourcen und viel Zeit in Anspruch nehmen. Hacker machen sich nicht die Mühe, riesige Computer zu kaufen und Jahre zu brauchen, um einen Verschlüsselungsschlüssel zu knacken. Dies liegt vor allem daran, dass Cybersicherheitssysteme häufig die von ihnen verwendeten Schlüssel ändern. Wenn es dem Hacker also gelingt, einen 1024-Bit-Schlüssel mit roher Gewalt zu knacken, wäre dieser nicht mehr verwendet worden.
Obwohl Hacker nicht über die Ressourcen verfügen, um Verschlüsselungen zu knacken, haben Regierungen diese. Die chinesische Regierung ist besonders daran interessiert Knacken Sie die RSA-Verschlüsselung weil es regelmäßig in VPNs zum Schutz des Internetverkehrs verwendet wird. Man geht davon aus, dass es Technikern der chinesischen Regierung gelungen ist, RSA mit einem 1024-Bit-Schlüssel zu knacken, sodass diese Schlüssellänge nicht mehr als sicher gilt.
Die nächsthöhere verfügbare Länge des RSA-Schlüssels beträgt 2048 Bit. Die meiste Ransomware verwendet RSA mit einem 2048-Bit-Schlüssel . Die robusteste und unknackbarste Version von RSA verwendet jedoch a 4096-Bit-Schlüssel .
Es ist wahrscheinlich, dass chinesische Regierungstechniker nun damit beschäftigt sind, den nächsten Schritt zu knacken, nämlich den 2048-Bit-Schlüssel, da sie jetzt in der Lage sind, 1024-Bit zu knacken. Um etwas Zeit zu gewinnen, am meisten sicherheitsbewusst Organisationen auf der ganzen Welt haben ihren Schutz durch die Umstellung auf einen 4096-Bit-Schlüssel für ihre RSA-Verschlüsselung erhöht. Leider haben einige wenige Ransomware-Hersteller dieselbe Strategie umgesetzt.
RSA-4096-Ransomware
Obwohl ein längerer Schlüssel sicherer ist, erfordert er mehr Verarbeitung, und die Verschlüsselung mit langen Schlüsseln kann dies tun eine lange Zeit dauern fertigstellen. Hacker möchten nicht, dass der Verschlüsselungsprozess langsam ist. Wenn ein Zielunternehmen über Dateischutzsysteme verfügt, erkennt die Sicherheitssoftware den Ransomware-Angriff bereits bei der ersten Verschlüsselung.
RSA-4096 ist nicht nur langsam, sondern das gesamte RSA-System ist zeitaufwändig und wird nicht für die Verschlüsselung großer Datenmengen empfohlen. Stattdessen gibt es sie bessere und schnellere Verschlüsselungen das zum Verschlüsseln von Dateien verwendet werden kann.
Die bekannteste Verschlüsselung, die heute weltweit in Betrieb ist, ist die fortgeschrittener Verschlüsselungsstandard (AES). Dabei handelt es sich um eine symmetrische Verschlüsselung, das heißt, dass zum Verschlüsseln und Entschlüsseln von Daten derselbe Schlüssel verwendet wird. Symmetrische Systeme erfordern deutlich kürzere Schlüssel, die höchste Schlüssellänge beträgt im Betrieb mit AES 256 Bit .
Hacker nutzen AES-256 Um Dateien zu verschlüsseln, speichern Sie die Verschlüsselungsschlüssel in einer Datei auf dem Zielcomputer und verschlüsseln Sie diese Datei mit RSA-4096 Verschlüsselung. Eine weitere symmetrische Schlüsselverschlüsselung, die Hacker häufig verwenden, ist Salsa20 . Wenn Sie also von RSA-basierter Ransomware angegriffen wurden, wurden Ihre Dateien entweder mit AES-256 oder Salsa20 verschlüsselt.
Wie funktioniert die RSA-4096-Ransomware?
Ransomware-Hacker verwenden gerne die RSA-Verschlüsselung, da es keine Rolle spielt, ob Sicherheitsanalysten den Verschlüsselungsschlüssel entdecken. Bei manchen Ransomware-Programmen handelt es sich um den RSA-Schlüssel fest codiert in das Programm ein. In anderen Fällen, beispielsweise bei komplexerer Angriffssoftware, die RSA-4096 verwendet, ist der Verschlüsselungsschlüssel im Angriffspaket enthalten eine separate Datei . Dies ermöglicht es den Hackern, für jeden Angriff problemlos einen anderen RSA-Schlüssel zu verwenden.
In den meisten Fällen wird die Ransomware generiert einen separaten AES-Schlüssel für jede Datei, die es verschlüsselt. Anschließend werden der ursprüngliche Dateiname und der Verschlüsselungsschlüssel in eine Datenbankdatei geschrieben. Normalerweise ändert das Verschlüsselungsprogramm den Namen der verschlüsselten Datei. Sobald alle Dateien konvertiert wurden, wird die Ransomware verschlüsselt die Datenbankdatei mit RSA-4096. Manchmal wird der Schlüssel auch im Lösegeldschein angezeigt.
Wenn Opfer die Hacker kontaktieren, um Lösegeldzahlungen auszuhandeln, müssen sie den Schlüssel als Identifikationsnummer angeben. Wenn die Hacker beabsichtigen, die Systeme der zahlenden Opfer wiederherzustellen, senden sie eine zurück Entschlüsseler , in dem bereits der entsprechende Entschlüsselungsschlüssel eingebettet ist. Dieser Entschlüsseler entschlüsselt zunächst die Datenbankdatei und arbeitet sich dann durch jede Zeile dieser Datei, wobei er die referenzierte Datei mit dem gespeicherten AES-Schlüssel entschlüsselt.
In einigen Fällen generiert die Ransomware eine separate Angriffs-ID. Das Programm muss die ID und den RSA-Verschlüsselungsschlüssel an senden Befehls- und Kontrollserver in diesen Fällen . In sporadischen Fällen ist der RSA-Schlüssel lokal generiert, und der Entschlüsselungsschlüssel wird mit der Angriffs-ID gesendet und dann vom lokalen Computer gelöscht.
Welche Ransomware verwendet RSA-4096?
Obwohl die meiste Ransomware RSA für die äußere Verschlüsselungsschicht verwendet, wird die Verschlüsselung normalerweise mit einem 2046-Bit-Schlüssel eingesetzt. Nur eine Handvoll derzeit bekannter Ransomware verwendet RSA mit einem 4096-Bit-Schlüssel und alle diese verschlüsseln Dateien mit AES-256. Diese sind:
- Raubüberfall
- TeslaCrypt 3.0
- WastedLocker
- Ryuk
Frühere Versionen von TeslaCrypt hat die RSA-Verschlüsselung nicht zum Schutz der Verschlüsselungsschlüssel-Indexdatei verwendet. Stattdessen wurde eine symmetrische Verschlüsselung verwendet, die Sicherheitsberater knacken konnten. Mit Version 3 der Ransomware stellten die Hacker diesen Schutz auf RSA um.
So schützen Sie sich vor RSA-4096-Ransomware
Leider gibt es das keine Möglichkeit zu knacken die RSA-4096-Verschlüsselung, die die Verschlüsselungsschlüsseldatenbank bei diesen Ransomware-Angriffen schützt. Allerdings senden die Hackergruppen, die auf RSA-4096 basierende Ransomware betreiben, einen Entschlüsseler an die Lösegeldzahler zurück, der eine vollständige Wiederherstellung des Systems ermöglicht.
Die beste Strategie besteht darin, zu verhindern, dass alle Formen von Ransomware auf Ihr System gelangen. Es gibt zwei Möglichkeiten, wie die Ransomware mit RSA-4096 an ein Ziel gelangt. Einer ist durch einen infizierter E-Mail-Anhang oder ein gefälschter Torrent-Download, und der andere erfolgt über eine Verbindung RDP .
Stellen Sie sicher, dass Ihre RDP-Ports geschlossen sind oder für den Zugriff ein sicheres Passwort erforderlich ist. Weisen Sie Ihre Benutzer darauf hin, keine Anhänge aus E-Mails herunterzuladen.
Ihre Verteidigungsstrategie muss auch Folgendes umfassen Automatisierte Anti-Ransomware Sicherheitssoftware.
Die besten Tools zur Abwehr von RSA-4096-Ransomware
Überwachung der Dateiintegrität ist praktisch, um einen Ransomware-Angriff zu blockieren. Es ist auch wichtig, sichern Überprüfen Sie regelmäßig alle Ihre Dateien und stellen Sie sicher, dass keine Viren auf den Backup-Server gelangen.
Das beste Schutzsystem zur Verhinderung von Ransomware muss vorhanden sein kombinieren Präventionsdienste, Erkennungssysteme und Notfallreaktionsmechanismen. Hier sind zwei Pakete, die Sie in Betracht ziehen sollten.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight ist ein koordiniertes Endpunkterkennungs- und Reaktionssystem, das eine cloudbasierte Überwachung geräteresidenter Geräte ermöglicht AV der nächsten Generation Software. Dieses Endpunktpaket ist einzeln erhältlich als Falcon Prevent . Falcon Insight ist also Falcon Prevent mit einer SaaS-Konsole zur Verwaltung jeder AV-Instanz.
Hauptmerkmale:
- Hybrid System
- Zentralisiert die Bedrohungserkennung
- Lokaler Schutz
- Zero-Day-Erkennung
- Kann mehrere Standorte abdecken
Der Einblick Cloud Controller überwacht Aktivitätsberichte, die von Endpunktagenten gesendet werden, und sucht nach Anzeichen einer Gefährdung, ähnlich wie bei einem SIEM . Zunächst erhält der Cloud-Dienst einen Threat-Intelligence-Feed, der die Suche nach Indikatoren anpasst. Anschließend führen die Endpunkt-Agenten ihre Prüfungen durch, was bedeutet, dass der Schutz auch dann bestehen bleibt, wenn das Gerät vom Netzwerk getrennt wird.
Das Insight-Paket beinhaltet sofortige Antwort Maßnahmen, die das Gerät isolieren, um die Verbreitung von Viren wie Ransomware zu verhindern. Es kann auch Benutzerkonten herunterfahren, kompromittieren und verdächtige Prozesse beenden.
Vorteile:
- Der Geräteschutz bleibt auch dann bestehen, wenn der Endpunkt vom Netzwerk getrennt wird
- Geräteagent verfügbar für Windows, Linux und macOS
- Kann Endpunkte an mehreren Standorten und auch die Geräte von Mitarbeitern umfassen, die von zu Hause aus arbeiten
- Zentralisiert die Bedrohungssuche mit ständig aktualisierten Bedrohungsinformationen
- Bietet einen gemeinsamen Threat-Intelligence-Pool für alle Endpunkte
Nachteile:
- Die kostenlose Testversion deckt nur das Endpunktelement ab
Das Falcon-System sucht nach Aktivitätsanomalien und nicht für eine Liste von Dateien oder Prozessnamen. Dadurch ist es in der Lage, Zero-Day-Angriffe zu blockieren. Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.
CrowdStrike Prevent starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist eine entscheidende Wahl, wenn Ihr System sensible Daten enthält. Denn der Diebstahl oder die Beschädigung sensibler Daten kann Ihrem Unternehmen hohe Geldstrafen und Rechtsstreitigkeiten einbringen.
Hauptmerkmale:
- Sensible Datenerkennung
- Datenschutz
- Überwachung der Dateiintegrität
- Verfolgung der Benutzeraktivität
Das DataSecurity Plus-System umfasst a Dateiintegritätsmonitor (FIM). Dadurch werden unbefugte Änderungen an Dateien erkannt und die Verschlüsselungsaktivität von Ransomware frühzeitig erkannt.
Zu den in DataSecurity Plus enthaltenen Schnellreaktionen gehören das Beenden von Prozessen, das Sperren von Benutzerkonten, das Blockieren der Kommunikation mit bestimmten IP-Adressen und das Isolieren des Geräts vom Netzwerk. Darüber hinaus schützt DataSecurity Plus laufende Geräte Windows , die die üblichen Ziele der RSA-4096-Ransomware sind.
Vorteile:
- Ransomware-Frühwarnung durch Erkennung von Dateiänderungen
- Schnelle Reaktion auf Malware-Anzeichen, um böswillige Aktivitäten zu unterbinden
- Stellt einen Prüfpfad bereit
- Isoliert infizierte Geräte, um die Ausbreitung der Bedrohung zu verhindern
Nachteile:
- Nur für Windows Server verfügbar
ManageEngine DataSecurity Plus wird installiert auf Windows Server, und es ist verfügbar für eine 30-tägige kostenlose Testversion .