Рансъмуер PayForRepair

В епоха, в която цифровите операции управляват нашия личен, професионален и финансов живот, значението на поддържането на стабилна киберсигурност не може да бъде надценено. Ransomware, по-специално, се е превърнал в една от най-опасните заплахи в киберпространството, способна да заключи потребителите от техните данни и да изисква солидни суми за връщането им. Неотдавнашна заплаха, която предизвиква вълни в кръговете по киберсигурност, е рансъмуерът PayForRepair – вариант на скандалното семейство Dharma . Ето всичко, което трябва да знаете, за да сте в безопасност.

Ново лице в старо семейство: Какво представлява PayForRepair рансъмуер?

Рансъмуерът PayForRepair е сложна издънка на линията на рансъмуер Dharma. Основната му цел е да криптира данните на жертвите и да изнудва плащане за дешифриране. Веднъж изпълнен на устройство, злонамереният софтуер се насочва към широк спектър от типове файлове и ги добавя с различен маркер: специфичен за жертвата идентификатор, имейл за връзка с нападателите (напр. payforrepair@tuta.io) и разширението „.P4R“. Например файл с първоначално име „1.jpg“ може да стане „1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R.“

В допълнение към криптирането на файлове, злонамереният софтуер пуска съобщение за откуп като текстов файл, наречен info.txt, във всички засегнати директории и стартира изскачащо съобщение с по-подробни искания. Жертвите са инструктирани да се свържат с нападателите по имейл и да платят в биткойни, за да извлекат уж файловете си. Като примамка престъпниците предлагат безплатен тест за дешифриране на ограничен брой файлове, за да спечелят доверие.

Тактики и поведение: Как работи PayForRepair

PayForRepair проявява няколко поведения, типични за вариантите на Dharma:

• Селективно криптиране : Избягва подправянето на основни системни файлове, за да поддържа операционната система работеща, като гарантира, че жертвите все още могат да преглеждат бележки за откуп и да извършват плащания.
• Прекратяване на процеса : Изключва активните процеси - като база данни или софтуер за документи - за да получи достъп до отворени файлове.
• Механизми за устойчивост : Рансъмуерът се инсталира в „%LOCALAPPDATA%“, добавя записи в регистъра за автоматично стартиране и гарантира, че работи след всяко рестартиране на системата.
• Изтриване на скрито копие : премахва копията на скритите томове, за да предотврати прости опции за възстановяване на файлове.
• Географско насочване : Въз основа на данни за геолокация може да пропусне определени региони или да даде приоритет на други въз основа на икономически или политически съображения.

Как се разпространява: Входни точки и вектори на инфекция

Докато Dharma Ransomware традиционно се разпространява чрез атаки с груба сила на протокола за отдалечен работен плот (RDP), PayForRepair не е изключение и използва множество техники за разпространение:

• Използвани RDP услуги : Лошо защитените RDP крайни точки често са грубо принудени да получат достъп.
• Фишинг имейли и връзки : Измамните прикачени файлове или връзки в имейли и DMs остават любим вектор на инфекция.
• Изтегляния по пътя и фалшив софтуер : Измамни изтегляния от сайтове на трети страни, злонамерена реклама и фалшиви софтуерни кракове или актуализации помагат за разпространението на злонамерения софтуер.
• Разпространение по мрежа и сменяемо устройство : След като влезе в мрежата, рансъмуерът може да се разпространи в други свързани системи и устройства.

Не плащайте – защитавайте вместо това: Най-добри практики за сигурност

Плащането на откуп никога не трябва да се счита за жизнеспособно решение. Няма гаранция, че киберпрестъпниците ще изпълнят обещанията си. Вместо това, укрепете защитата си с тези практики за киберсигурност:

1. Укрепете сигурността на устройството и мрежата
2. Използвайте силни, креативни пароли за всички акаунти; прилагане на многофакторно удостоверяване.
3. Деактивирайте неизползваните услуги за отдалечен достъп като RDP или ги ограничете чрез VPN и IP бели списъци.
4. Поддържайте защитната си стена активна и я конфигурирайте правилно, за да блокира подозрителна дейност.
5. Често актуализирайте вашите операционни системи и софтуер, за да коригирате известни уязвимости.
6. Практикувайте навици за безопасни файлове и уеб
7. Бъдете внимателни с прикачените файлове и връзки към имейли – не отваряйте нищо от неизвестни източници.
8. Изтегляйте софтуер само от официални или реномирани платформи.
9. Избягвайте да използвате пиратски програми, кракове или програми за ключове, които често са пълни със зловреден софтуер.
10. Инсталирайте и поддържайте надежден антивирусен/антизловреден софтуер със защита в реално време.
11. Редовно създавайте офлайн резервни копия на основни файлове и ги съхранявайте на прекъснати устройства или защитени облачни платформи.

Последни мисли: Превенцията е най-доброто лечение

Тъй като инфекция с рансъмуер като PayForRepair е компрометирала вашата система, възможностите за възстановяване са оскъдни и несигурни. Премахването на злонамерения софтуер е от съществено значение, но това няма да декриптира файловете – само съществуващи резервни копия или инструменти за декриптиране (ако има такива) могат да помогнат. Най-добрата защита е проактивната: укрепете позицията си по отношение на киберсигурността, бъдете бдителни онлайн и обучавайте другите около вас. Киберпрестъпността няма да изчезне, но с подготовка не е задължително да победи.