Рансъмуер Solara

Solara е наскоро наблюдаван щам на рансъмуер, за който изследователите твърдят, че е изграден върху публично разпространения код на семейството Chaos. Рансъмуер като Solara криптира потребителски файлове, изисква плащане и може трайно да наруши достъпа до важни данни, така че защитата на устройствата и архивирането е от съществено значение.

КАКВО ПРАВИ СОЛАРА

По време на анализа е наблюдавано как Solara криптира файлове и добавя текстовия низ „.solara“ към имената на файловете (например „1.png“ → „1.png.solara“). Зловредният софтуер също така изпраща искане за откуп с име „read_it.txt“, в което се твърди, че жертвата е задействала „анти-крак“ защита и се инструктира жертвите да получат инструмент за декриптиране от онлайн злонамерен софтуер. Няколко статии и примерни анализи свързват Solara със семейството рансъмуер вируси Chaos и описват подобно поведение (криптиране, заместване на разширения и искане за откуп в открит текст).

ЗАПИСИ ЗА ОТКУП И ИСКОВЕ ЗА ПЛАЩАНЕ

В съобщението за откуп, разгледано от анализатори, се твърди, че възстановяването на файлове е „почти невъзможно“ без инструмента за декриптиране на нападателя. Бележката инструктира жертвите да се свържат с потребител на Discord (xenqxd) и предлага опции за плащане като Paysafecard (в Полша) или малка сума в Bitcoin. Забележително е, че някои примерни примери пропускат смислени канали за контакт, което може да показва незряла или шегаджийска кампания, или оператори, които просто не очакват да преговарят. Отнасяйте се към всички подобни искания с изключително подозрение.

МОЖЕТЕ ЛИ ДА ВЪЗСТАНОВИТЕ ФАЙЛОВЕ БЕЗ ДА ПЛАЩАТЕ?

Като цяло, файловете, криптирани от заплахи от семейство Chaos, не могат да бъдат възстановени без правилния ключ за декриптиране. Ако имате чисти, офлайн резервни копия отпреди заразяването, възстановяването им е най-безопасният препоръчителен начин. Плащането не се препоръчва, тъй като престъпниците често не предоставят използваеми декриптори, а плащането на средства води до по-нататъшна престъпна дейност.

ЧЕСТО ЧЕСТО ПРЕНОСИЛИ НА ИНФЕКЦИЯ

• Пиратски софтуер, кейгени и „кракнати“ помощни програми, маскирани със зловреден софтуер.
• Злонамерени прикачени файлове и връзки към имейли (макроси, скриптове, EXE файлове на Office).
• Заразени реклами, компрометирани или неофициални сайтове за изтегляне, P2P/торент мрежи, USB устройства и програми за изтегляне от трети страни.

НЕЗАБАВНИ ДЕЙСТВИЯ, АКО ПОДОЗРЯВАТЕ ИНФЕКЦИЯ

Изолирайте машината незабавно : изключете се от мрежите (кабелна/Wi-Fi) и демонтирайте всички споделени/мрежови устройства, за да спрете страничното разпространение.

Запазете доказателствата : не изключвайте и изключвайте захранването, ако събирате памет или криминалистични артефакти, вместо това заснемайте образи на паметта и диска, ако имате възможност, или се обадете на екип за реагиране при инциденти.

Използвайте резервни копия : Възстановявайте от надеждни резервни копия, след като зловредният софтуер бъде премахнат и системите бъдат възстановени; не възстановявайте резервни копия, които може да са били свързани по време на заразяването.

Не плащайте, освен ако екип за реагиране при инциденти не е оценил всички опции и последици; плащането не е гарантирано и може да насърчи бъдещи атаки.

НАЙ-ДОБРИ ПРАКТИКИ ЗА СИГУРНОСТ

Поддържайте актуална, многопластова защита, която включва следните практики в ежедневните операции:

Управление на корекции : прилагайте своевременно актуализации за сигурност на операционната система и приложенията; много щамове на ransomware използват известни и коригирани уязвимости.

Минимални привилегии и хигиена на акаунтите : стартирайте потребители с акаунти, които не са администратори, наложете силно многофакторно удостоверяване за отдалечен достъп и привилегировани акаунти и наблюдавайте за необичайно поведение при влизане.

Стратегия за архивиране : Създавайте резервни копия редовно и ги дръжте отделно от мрежата. В крайна сметка, резервните копия са най-ефективният начин за възстановяване срещу атаки с криптиране.

Защита на крайни точки и EDR : внедрете надеждни решения за откриване и реагиране в крайни точки, които могат да откриват аномалии при изпълнение, да блокират злонамерени полезни товари и да осигурят бързо ограничаване. Поддържайте сигнатурите и телеметрията активирани.

Обучение на потребителите и устойчивост на фишинг : обучете потребителите да избягват използването на кракове/кейгени, да проверяват подателите и връзките на имейли и да се отнасят с подозрение към неочаквани прикачени файлове. Симулираните фишинг кампании и кампании за повишаване на осведомеността намаляват човешкия рисков фактор.

Контроли на приложенията и ограничения за макроси : деактивирайте макросите на Office по подразбиране, блокирайте изпълнението от често срещани места за злоупотреба (напр. %AppData%, временни папки) и използвайте списък с разрешени приложения, където е възможно.

ЗАКЛЮЧИТЕЛНИ БЕЛЕЖКИ

Солара илюстрира често срещани рискове, свързани с публично достъпните конструктори на ransomware: форковете и вариантите се разпространяват, а атакуващите непрекъснато адаптират методите си на разпространение, за да се насочат към специфични общности (докладите посочват гейминг форумите и каналите за пиратски софтуер като вероятни примамки). Най-добрите защити са превенцията, силните резервни копия, бързото ограничаване и работата с обучени екипи за реагиране, а не плащането на откупи. Ако подозирате компрометиране и се нуждаете от поетапна помощ за почистване, съберете примерни индикатори (имена на файлове, хешове, текст на бележка за откуп) и се консултирайте с доверен доставчик на услуги за реагиране при инциденти или с вашия доставчик на услуги за сигурност за насоки за ограничаване и възстановяване.