Рансъмуер DeadLock

Съвременните кампании за рансъмуер са създадени специално, за да превърнат вашите лични или организационни данни в предимство. След като критичните файлове бъдат криптирани, нападателите държат всички карти, освен ако не сте се подготвили предварително. Силната хигиена на сигурността, многопластовите защити и устойчивите стратегии за архивиране драстично намаляват вероятността един-единствен злонамерен прикачен файл, кракнат инсталатор или нелоялно изтегляне да доведе до прекъсване на бизнеса или трайна загуба на данни. DeadLock Ransomware е добър пример защо тези фундаментални принципи са важни.

Какво отличава DeadLock

DeadLock е семейство рансъмуер програми за криптиране на файлове, които маркират всяка жертва с уникален идентификатор. По време на атака, те бъркат потребителските данни и преименуват всеки криптиран файл, като добавят идентификационния номер на жертвата и разширението „.dlock“ към оригиналното име на файла. Например: „1.png“ става „1.png.F8C6A8.dlock“ и „2.pdf“ става „2.pdf.F8C6A8.dlock“. Този идентификатор се използва по време на целия процес на изнудване за проследяване на жертвата и свързване на плащанията с ключове за декриптиране. DeadLock също така изпраща съобщение за откуп, чието име на файл вгражда същия идентификатор (напр. „READ ME.F8C6A8.txt“) и променя тапета на работния плот, за да подчертае, че системата е била компрометирана.

Вътре в бележката за откуп

Бележката прави няколко ключови точки, предназначени да насочат следващите действия на жертвата. В нея се твърди, че криптираните файлове не могат да бъдат възстановени без „уникален ключ за декриптиране“, който притежават само нападателите. На жертвите се казва да инсталират Session Messenger, фокусиран върху поверителността, и да се свържат с тях, използвайки предоставен Session ID (отново съпоставяне с идентификатора на жертвата, вграден в имената на файловете). Нападателите молят жертвата да изпрати един криптиран файл плюс „личния ключ“ (техния уникален ID) за проверка. Това е често срещана тактика, целяща да изгради доверие чрез декриптиране на безобиден образец.

Тактики за плащане и натиск

Операторите на DeadLock изискват криптовалута, по-специално Bitcoin или Monero. Те обещават, че след плащане ще доставят работещ декриптор. Както при повечето операции с ransomware, няма приложима гаранция. Бележката също така използва страх, за да обезкуражи независимите опити за възстановяване: тя предупреждава жертвите да не преименуват криптирани файлове и да не опитват инструменти за декриптиране на трети страни, твърдейки, че подобни действия могат да повредят данните за постоянно или да увеличат цената на възстановяването. Тези предупреждения са отчасти технически (неправилното боравене наистина може да усложни възстановяването) и отчасти психологически натиск.

Проверка на реалността при дешифриране

Опитът с ransomware като цяло и собствените съобщения на операторите подкрепят горчивата истина: в повечето случаи не можете да декриптирате файлове, разшифровани от DeadLock, без сътрудничеството и инструментите на нападателите. Това оставя два реалистични пътя за възстановяване: (1) работещи резервни копия, които са били офлайн, извън сайта, с версии или по друг начин не са били достъпни за зловредния софтуер по време на атаката; или (2) плащане на откупа и надежда, че престъпниците ще спазят сделката. Плащането е рисковано: нападателите могат да изчезнат, да доставят повреден декриптор или да използват плащането като сигнал, че сте лесна мишена за бъдещо изнудване. Винаги, когато е възможно, разчитайте на незасегнати резервни копия, вместо да плащате откуп.

Защо пълното премахване е важно

Дори след завършване на криптирането, оставянето на ransomware в системата е опасно. Остатъчните компоненти могат да криптират повторно новосъздадени файлове, да събират идентификационни данни, да отварят задни врати или да се опитват да се придвижват странично през локалната мрежа. Елиминирането, подкрепено от сканиране на крайни точки, проверка на паметта и преглед на планирани задачи, записи при стартиране и домейн контролери, е от решаващо значение за предотвратяване на повторни щети.

Често срещани вектори на инфекция с Deadlock

Нападателите се нуждаят от първоначална опорна точка. Кампаниите за рансъмуер са свързани с множество канали за разпространение, които се възползват от доверието на потребителите, любопитството и преките пътища за намаляване на разходите:

• Пиратски или „кракнат“ търговски софтуер, включително пакетни генератори на ключове и инструменти за заобикаляне на лицензи, които тайно инсталират зловреден софтуер.
• Софтуерни кракове, кейгени и неофициални активатори, изтеглени от warez или торент сайтове.
• Злонамерени прикачени файлове към имейли: хакерски атаки върху Word документи (често с активирани макроси), PDF файлове, ZIP архиви, скриптови файлове или изпълними полезни файлове, маскирани като фактури, известия за доставка или спешни HR формуляри.
• Злонамерени реклами (малвертисинг), които пренасочват потребителите към експлойт комплекти или нелоялни страници за изтегляне.
• Платформи за споделяне от тип „peer-to-peer“ и центрове за изтегляне на трети страни, които преопаковат инсталаторите със скрити полезни товари.
• Сменяеми носители (напр. заразени USB устройства), които се стартират автоматично или изкушават потребителите да стартират заразени файлове.
• Фалшиви портали за техническа поддръжка, които оказват натиск върху потребителите да изтеглят „корекции“ или „актуализации“, всъщност съдържащи файла за зареждане на ransomware.
• Компрометирани легитимни уебсайтове, на които са били инсталирани файлове за изтегляне „drive-by“ или са били инжектирани скриптове, доставящи полезния товар.

Най-добри практики за сигурност за укрепване на вашата защита

Многослойната сигурност рязко намалява радиуса на взривяване на събитие с ransomware. По-долу са изброени приоритетни защитни стъпки, които помагат за предотвратяване на успеха на DeadLock и подобни заплахи:

• Поддържайте надеждни, офлайн резервни копия на критични данни.
• Своевременно актуализирайте операционните системи, приложенията и фърмуера, особено услугите и пакетите за продуктивност, които са изложени на риск от макроси или експлойти.
• Използвайте надеждна защита на крайните точки/EDR с откриване на ransomware въз основа на поведението и автоматична изолация.
• Приложете потребителски акаунти с най-ниски привилегии; деактивирайте локалния администратор, където не е необходим; отделете администраторските идентификационни данни от тези за ежедневна употреба.
• Ограничете изпълнението на макроси, интерпретаторите на скриптове и неподписаните двоични файлове чрез групови правила, списък с разрешени приложения и контролиран достъп до папки.
• Внедряване на филтриране за защита на имейли: прикачени файлове в пясъчник, проверка на връзки и маркиране на подозрителни типове файлове или фалшиви домейни на податели.
• Деактивирайте автоматичното стартиране на сменяеми носители и сканирайте USB устройства преди монтиране.
• Изисквайте многофакторно удостоверяване (MFA) за отдалечен достъп, администраторски конзоли и интерфейси за управление на резервни копия.

Дългосрочни уроци

DeadLock подсилва повтаряща се тема в семействата ransomware: нападателите не се нуждаят от авангардни експлойти, ако крайните потребители рутинно изтеглят кракнати инструменти, отварят непроверени прикачени файлове или преглеждат ненадеждни рекламни мрежи. Основните техники за сигурност, дисциплината при инсталиране на кръпки, контролът на достъпа, наблюдаваните резервни копия и осведомеността на потребителите превръщат потенциална криза в събитие, което може да се възстанови. Инвестирайте в тези защити сега; цената е далеч по-ниска от откуп, платен под напрежение.

Заключителни мисли

Устойчивостта на ransomware се изгражда много преди атаката да достигне екрана ви. Като разбирате как работи DeadLock и внедрявате многопластови превантивни и възстановителни контроли, вие се позиционирате, за да устоите на тази и други подобни заплахи. Бъдете скептични към всичко, което не сте проучили или проверили умишлено. Вашата бдителност е първата и често най-добрата линия на защита.