Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware Ior Ransomware

Ior Ransomware

До Mezo през Ransomwareг
Превод на:
български език

Тъй като атаките на ransomware стават все по-сложни и разрушителни, защитата на вашите устройства от вредни заплахи никога не е била по-важна. Тези атаки могат да криптират вашите данни, да нарушат бизнес операциите и да изнудват пари от жертвите, често без гаранция за възстановяване на данни. Неотдавнашното откритие на Ior Ransomware подчертава постоянната заплаха, която представляват съвременните семейства рансъмуер. Разбирането как работи Ior Ransomware и извършването на силни действия за сигурност може значително да намали риска да станете жертва на подобни атаки.

Ior Ransomware: Нова заплаха в семейството на Dharma

Рансъмуерът Ior принадлежи към прословутата фамилия Dharma Ransomware , която има репутацията, че е насочена както към бизнеси, така и към физически лица. След като Ior зарази система, той бързо криптира файловете и ги преименува, използвайки формата filename.id-[ID STRING].[имейл на атакуващия].ior. Например „document.pdf“ ще бъде преименуван на „document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior“, като заключва файла и го прави недостъпен за потребителя.

Рансъмуерът Ior оставя след себе си два вида бележки за откуп:

  • Изскачащ прозорец, който незабавно информира жертвата за атаката.
  • Файл с име „manual.txt“, който предоставя подробни инструкции как да възстановите шифрованите данни.

Тези бележки за откуп насочват жертвата да се свърже с нападателите чрез предоставените имейл адреси—jasalivan@420blaze.it или ja.salivan@keemail.me—в рамките на 12 часа. Бележката също така предлага декриптиране на до три файла (по-малки от 3 MB) като доказателство, че декриптирането е възможно. Нападателите обаче предупреждават да не се опитват да преименуват криптирани файлове или да използват инструменти за декриптиране на трети страни, заплашвайки трайна загуба на данни или по-високи разходи за декриптиране, ако бъдат предприети тези действия.

Методите за атака: Как рансъмуерът заразява системи

Ior Ransomware е силно заплашителен не само поради възможностите си за криптиране на файлове, но и поради агресивния си подход за деактивиране на функциите за сигурност и осигуряване на устойчивост. Зловреден софтуер:

  • Шифрова както локални, така и споделени в мрежата файлове, като засяга не само заразения компютър, но и всички свързани устройства за съхранение или системи.
  • Деактивира защитната стена на системата, което прави устройството по-уязвимо за по-нататъшни атаки.
  • Изтрива Shadow Volume Copies, което не позволява на потребителите да възстановяват файлове с помощта на вградени точки за възстановяване на Windows.
  • Копира се в директорията %LOCALAPPDATA% и се регистрира с клавишите за изпълнение на Windows, което му позволява да се рестартира автоматично, когато системата се рестартира.

Освен това рансъмуерът Ior е способен да събира данни за местоположение и да изключва определени директории от криптиране, което предполага ниво на персонализиране въз основа на стратегията на атакуващия.

Инфекционни вектори: Как се доставя Ior Ransomware

Подобно на много разновидности на рансъмуер в семейството на Dharma, Ior Ransomware често се доставя чрез уязвими услуги на протокола за отдалечен работен плот (RDP). Киберпрестъпниците използват слаби конфигурации на RDP, като използват груба сила или речникови атаки, за да пробият лошо управлявани идентификационни данни. Това обаче не е единственият начин, по който Ior заразява системи:

  • Повредени прикачени файлове или връзки към имейли : Фишинг имейлите с опасни прикачени файлове или вградени връзки са често срещан метод за доставка на ransomware.
  • Използвани уязвимости на софтуера : Системите без корекции са основна цел за рансъмуер, тъй като нападателите могат да използват известни уязвимости в остарял софтуер или операционни системи.
  • Пиратски софтуер : Нелегално изтегленият софтуер често крие злонамерен софтуер, включително рансъмуер, който несъзнателно се изпълнява от потребителите.
  • Компрометирани уебсайтове : Потребителите може да бъдат подмамени да изтеглят зловреден софтуер чрез измамни реклами, фалшиви изтегляния или компрометирани уебсайтове.
  • Мрежи Peer-to-Peer (P2P) и програми за изтегляне от трети страни : Опасните файлове могат лесно да се разпространяват чрез платформи за торент или мениджъри за изтегляне на трети страни, които нямат контрол за сигурност.

Най-добри практики за сигурност за защита срещу рансъмуер

За да се предпазите от рансъмуер и други киберзаплахи, важно е да следвате най-добрите практики за сигурност. Като сте проактивни и вземете правилните предпазни мерки, можете значително да намалите риска да станете жертва на тези атаки. Ето основните стъпки за укрепване на вашата защита срещу ransomware:

  1. Редовно архивирайте данните си: Честите архиви са най-силната ви защита срещу ransomware. Уверете се, че всички основни файлове са архивирани на независимо устройство за съхранение или облачна услуга, която е прекъсната от вашата основна система. По този начин, ако вашите данни са криптирани, можете да ги възстановите, без да се налага да плащате откупа.
  2. Сигурен отдалечен достъп: Ако използвате RDP или други услуги за отдалечен достъп, уверете се, че те са сигурно конфигурирани:

Деактивирайте RDP, ако не се използва.

Използвайте силни, уникални пароли за акаунти с отдалечен достъп.

Активирайте многофакторно удостоверяване (MFA) за допълнителна сигурност.

Ограничете RDP достъпа до конкретни IP адреси чрез защитна стена или VPN.

  1. Поддържайте системите и софтуера актуализирани: Остарелият софтуер е честа цел за атаки на ransomware. Уверете се, че вашата операционна система, приложения и софтуер против зловреден софтуер са надстроени с най-новите корекции за сигурност. Автоматизирайте актуализациите, където е възможно, за да сведете до минимум прозореца на уязвимостта.
  2. Внедрете решения против ransomware: Инвестирайте в уважаван софтуер против злонамерен софтуер, който включва защита срещу ransomware. Много съвременни пакети за сигурност могат да открият подозрително поведение, като криптиране на файлове или неупълномощени промени в системните настройки, и да спрат рансъмуера, преди да причини щети.
  3. Бъдете внимателни с имейлите: Фишинг имейлите остават един от най-ефективните начини за нападателите да доставят рансъмуер. Избягвайте да кликвате върху непоискани прикачени файлове или връзки към имейл. Проверете легитимността на неочакваните имейли, дори ако изглежда, че идват от надеждни източници.
  4. Използвайте силни, уникални пароли: Слабите пароли са основна уязвимост при атаките на ransomware, особено тези, включващи тактика на груба сила на RDP. Използвайте силни, сложни пароли и ги променяйте редовно. Помислете за използването на мениджър на пароли за съхраняване и генериране на уникални пароли за различни акаунти.
  5. Деактивирайте макроси и ограничете изпълнението на скриптове: Много инфекции с ransomware започват чрез злонамерени макроси в документи или чрез използване на скриптови машини като PowerShell. Деактивирайте макросите по подразбиране и ограничете изпълнението на скрипт, за да минимизирате риска от инфекция.
  6. Използвайте защитна стена и мрежово сегментиране: защитната стена може да спре неоторизиран достъп до вашата система, а мрежовото сегментиране може да намали разпространението на ransomware в организацията. Чрез изолиране на критични системи и ограничаване на достъпа до мрежата можете да ограничите щетите от атака.

Заключение: Бъдете информирани и подготвени

Рансъмуерът Ior, подобно на други членове на семейството Dharma, представлява сериозна заплаха както за отделни лица, така и за организации. Способността му да шифрова данни, да деактивира функциите за сигурност и да се разпространява през компрометирани мрежи го прави страхотен противник. Въпреки това, като възприемете най-добрите практики, описани по-горе – редовно архивиране, софтуерни актуализации, стабилни контроли за отдалечен достъп и силни пароли – можете да укрепите защитните си механизми и да минимизирате въздействието на ransomware атака. Ключът към безопасността е проактивната бдителност и ангажираността към най-добрите практики за киберсигурност.

Бележката за откуп, която се показва от Ior Ransomware като изскачащ прозорец:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Съобщение от нападателите, доставено като текстов файл:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'

Подобни публикации

Тенденция

Имейл измама с парични награди на Samsung

Фишинг, Спам
Удобството на онлайн комуникацията е свързано със значителни рискове. Киберпрестъпниците непрекъснато измислят сложни схеми, за да заблудят нищо неподозиращите потребители, поради което е от съществено значение за всички да останат бдителни, докато навигират в онлайн света. Една такава тактика, която в момента циркулира, е имейл измамата с парични награди на Samsung, умело прикрит опит за...

PrivAci

Потенциално нежелани програми, Рекламен софтуер, Похитители на браузъри
Потенциално нежеланите програми (PUP) представляват значителен риск за цифровата сигурност и поверителността на потребителите. Тези приложения често идват в комплект с легитимен софтуер или се...

Най-гледан

Зареждане...