Zeo рансъмуер

Защитата на личните и бизнес системите от разрушителен зловреден софтуер е от съществено значение, тъй като дори еднократно компрометиране може да доведе до дълготрайни последици. Ransomware-ът остава една от най-разрушителните заплахи в обращение, а Zeo Ransomware е отличен пример за сложността, до която са достигнали съвременните изнудващи операции.

Нов вариант с познати корени

Zeo се появи по време на рутинен мониторинг на заплахите и бързо беше свързан с дългогодишното семейство рансъмуер вируси Dharma. След като проникне в система, той криптира данни и променя имената на файловете, като добавя специфичен за жертвата идентификатор, имейл адреса на нападателите и разширението „.zeo“. Типичен пример е трансформиран файл, като например „1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo“.

След фазата на криптиране, Zeo предоставя две известия за откуп: изскачащ прозорец, съдържащ разширени инструкции, и текстов файл с име „info.txt“. И двете подчертават, че единственият начин за възстановяване на достъпа е да се свържете с нападателите и да платите откуп в биткойн. Изскачащото съобщение се опитва да изгради доверие, като предлага ограничен безплатен тест за декриптиране, като същевременно заплашва с необратими щети, ако жертвите променят файлове или се опитат да възстановят данните самостоятелно.

Как работи Zeo „под капака“

Подобно на други варианти на Dharma, Zeo се фокусира върху криптирането на данни, съхранявани както локално, така и в споделени в мрежата местоположения. Стабилността на системата се запазва, тъй като Zeo избягва намеса в критични компоненти на операционната система. За да предотврати грешки по време на криптиране, той прекратява процеси, свързани с файлове, които са отворени в момента, като например бази данни и програми за преглед на документи.

Рансъмуерът включва няколко поведенчески предпазни мерки. Той проверява събраните данни за геолокация, за да определи дали да продължи с атаки, като потенциално избягва региони, които може да са нерентабилни или политически чувствителни. Включва и механизъм, предназначен да предотврати двойно криптиране, въпреки че логиката за изключване е непълна и не отчита всяко семейство рансъмуер.

Устойчивостта се постига чрез два основни метода: копиране на себе си в директорията %LOCALAPPDATA% и регистриране на записи за автоматично стартиране под специфични ключове за изпълнение. Zeo допълнително изтрива Volume Shadow Copies, за да премахне вградените опции за възстановяване, на които потребителите иначе биха могли да разчитат.

Вектори на инфекцията и тактики за разпространение

Заплахите, базирани на Дхарма, често проникват в системи чрез открити или лошо защитени услуги на Remote Desktop Protocol. Нападателите разчитат на груба сила и речникови атаки, за да получат достъп, а защитните стени на компрометираните системи може да бъдат отслабени или деактивирани скоро след проникването.

Други начини за разпространение остават широко разпространени. Злонамерените лица често разчитат на подвеждащи имейли, злонамерени прикачени файлове, компрометирани изтегляния, измамни актуализации, краквания и пиратско съдържание. Опасните полезни товари се появяват в множество формати, включително архиви, изпълними файлове, документи, JavaScript файлове и други. В някои случаи злонамереният софтуер се разпространява странично към други устройства в същата мрежа или чрез преносимо хранилище.

Защо плащането на откупа не е безопасно решение

Жертвите рядко разполагат с техническите средства за декриптиране на файлове, засегнати от съвременния рансъмуер. Освен ако зловредният софтуер не съдържа критична грешка, само операторите притежават необходимите ключове. Плащането на откупа обаче не гарантира, че нападателите ще доставят функциониращ декриптор и жертвите често губят както парите, така и данните си. Финансирането на подобни операции също така поддържа по-нататъшна престъпна дейност.

Премахването на рансъмуер е необходимо, за да се предотвратят по-нататъшни щети, но премахването на Zeo не възстановява криптирани файлове. Възстановяването е възможно само чрез чисти резервни копия, съхранявани на отделни места, като например офлайн устройства или защитени отдалечени сървъри.

Засилване на сигурността на устройствата

Многопластовият подход драстично намалява риска от компрометиране с ransomware. Следните практики спомагат за засилване на дългосрочната устойчивост:

Основни превантивни мерки

Поддържайте строг контрол върху достъпа до протокола за отдалечен работен плот (Remote Desktop Protocol), като използвате силни, уникални идентификационни данни, деактивирате външен достъп, когато е ненужен, и налагате ограничаване на скоростта или многофакторно удостоверяване.

Прилагайте актуализации на сигурността своевременно в цялата операционна система, инсталиран софтуер и компоненти, изложени на мрежата.

Допълнителни препоръки за най-добри практики

Съхранявайте надеждни, версирани резервни копия на множество изолирани места, включително офлайн или непроменяеми хранилища.

• Използвайте надеждни инструменти за сигурност, за да наблюдавате за подозрителна активност и да блокирате злонамерен софтуер преди изпълнение.
• Подхождайте скептично към непоискани имейли, прикачени файлове и оферти за изтегляне, особено към тези, които се представят за легитимни организации или предлагат безплатен софтуер.
• Избягвайте пиратски софтуер, ненадеждни портали за изтегляне и съмнителни реклами, базирани на браузър.
• Ограничавайте администраторските права, когато е възможно, и се уверете, че ежедневните задачи се изпълняват с помощта на акаунти, които не са администратори.

Чрез комбиниране на дисциплинирана системна хигиена с надежден контрол на достъпа и добре поддържани резервни копия, потребителите значително намаляват излагането си на заплахи като Zeo Ransomware и са по-добре подготвени за бързо възстановяване в случай на атака.