Рансъмуер Zollo

Заплахите от зловреден софтуер продължават да се развиват по сложност, което прави защитата на устройствата критичен приоритет както за отделни лица, така и за организации. Атаките от рансъмуер, по-специално, могат да причинят сериозни оперативни смущения, финансови загуби и излагане на чувствителни данни. Една наскоро наблюдавана заплаха е Zollo Ransomware, злонамерена програма, предназначена да криптира файлове и да изнудва жертвите за плащане. Разбирането на това как работи тази заплаха и как се разпространява е от съществено значение за изграждането на по-силна защита срещу подобни атаки.

Появата на рансъмуер вируса Zollo

Рансъмуер вирусът Zollo е идентифициран като вариант на семейството рансъмуер вируси MedusaLocker. Подобно на други членове на това семейство, той е проектиран да прониква в системи, да криптира ценни файлове и да принуждава жертвите да платят откуп в замяна на декриптиране.

След като бъде изпълнен на компрометирано устройство, зловредният софтуер сканира системата за достъпни файлове и ги криптира, използвайки силни криптографски алгоритми. След криптирането, рансъмуерът променя имената на файловете, като добавя отличително разширение, като например „.zollo6“. Например:

• 1.png става 1.png.zollo6
• 2.pdf става 2.pdf.zollo6

Числото в разширението може да варира, но резултатът остава същият: криптираните файлове стават недостъпни за потребителя. В допълнение към заключването на файловете, рансъмуерът променя тапета на работния плот на системата и поставя на устройството съобщение за откуп, озаглавено „READ_NOTE.html“.

Методи за криптиране и съобщение за откуп

В бележката с искане за откуп, оставена от нападателите, се твърди, че файловете са били защитени с помощта на комбинация от RSA и AES криптиране, които са често използвани криптографски методи в съвременните операции с ransomware. Според бележката, всеки опит за възстановяване, преименуване или промяна на криптирани файлове може да доведе до трайно увреждане на данните.

Нападателите настояват, че никой публично достъпен софтуер не може да възстанови файловете и твърдят, че само техният собствен инструмент за декриптиране може да възстанови достъпа. Жертвите са инструктирани да се свържат с операторите чрез предоставените имейл адреси:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

Съобщението въвежда и елемент на натиск във времето: жертвите са предупредени, че размерът на откупа ще се увеличи, ако не се установи контакт в рамките на 72 часа.

Тактики за кражба на данни и двойно изнудване

Особено обезпокоителна характеристика на този вариант на ransomware е твърдението, че поверителни данни са били откраднати преди криптирането. Нападателите твърдят, че тази информация се съхранява на частен сървър под техен контрол.

Според съобщението за откуп, плащането ще доведе до изтриване на откраднатите данни от техните сървъри. Ако откупът не бъде платен, операторите заплашват да публикуват или продадат информацията. Тази стратегия, известна като двойно изнудване, увеличава натиска върху жертвите, като комбинира криптиране на данни с риск от разкриване на публични данни.

Дори когато жертвите се съобразят с исканията за откуп, няма гаранция, че нападателите ще предоставят функционален инструмент за декриптиране или ще изтрият открадната информация. Поради тази причина специалистите по киберсигурност обикновено обезкуражават плащането на откуп.

Как се разпространява рансъмуер вирусът Zollo

Кампаниите за рансъмуер често разчитат на измама и социално инженерство, за да проникнат в системите. Нападателите често маскират злонамерени файлове като легитимни файлове, за да подведат потребителите да ги изпълнят.

Често срещани вектори на инфекция включват:

• Злонамерени прикачени файлове към имейли или вградени връзки във фишинг имейли
• Фалшиви известия за техническа поддръжка, предназначени да примамят жертвите да изтеглят зловреден софтуер
• Кракнат софтуер, неофициални генератори на ключове и пиратски приложения
• Остарял софтуер с неотстранени уязвимости
• Компрометирани уебсайтове, злонамерени реклами и мрежи за споделяне на файлове от типа „peer-to-peer“
• Програми за изтегляне от трети страни или заразени USB устройства

След стартирането си, рансъмуерът започва да криптира файловете незабавно и може да се опита да се разпространи в свързани системи в рамките на една и съща мрежа.

Предизвикателства при възстановяване и реагиране при инциденти

След криптиране, жертвите обикновено не могат да отварят засегнатите файлове без ключа за декриптиране на нападателите. Възстановяването става възможно само при определени обстоятелства, най-вече когато съществуват сигурни резервни копия, които не са били свързани към заразената система по време на атаката.

Незабавното премахване на рансъмуер вируса е от съществено значение след откриването му. Ако зловредният софтуер остане активен на дадено устройство, той може да продължи да криптира допълнителни файлове или да се опита да се разпространи към други машини в мрежата. Следователно бързата изолация на заразената система може да ограничи щетите и да предотврати по-нататъшното разпространение.

Основни практики за сигурност за предотвратяване на ransomware

Силните навици за сигурност значително намаляват вероятността от заразяване от заплахи като Zollo Ransomware. Ефективната защита изисква комбинация от проактивни технически контроли и предпазливо поведение на потребителите.

Редовното актуализиране на операционните системи, приложенията и инструментите за сигурност е от решаващо значение, тъй като много ransomware кампании използват уязвимости в остарял софтуер. Също толкова важно е използването на надеждни антивирусни решения или решения за защита на крайни точки, способни да откриват подозрително поведение.

Поддържането на офлайн или облачни резервни копия е една от най-ефективните предпазни мерки. Резервните копия трябва да се съхраняват отделно от основната система, за да не могат да бъдат криптирани по време на атака. В случай на инфекция, чистите резервни копия могат да позволят възстановяване на системите без плащане на откуп.

Потребителите също трябва да подхождат с повишено внимание към прикачените файлове към имейли и файловете за изтегляне. Подозрителните файлове, особено тези, които твърдят, че са спешни или изискват незабавни действия, трябва да бъдат проверени преди отваряне. Организациите често засилват тази защита чрез филтриране на имейли, изолиране на прикачени файлове и обучение за повишаване на осведомеността за сигурността.

Сегментирането на мрежата може допълнително да намали риска, като ограничи докъде може да се разпространи ransomware, след като влезе в дадена среда. В комбинация с контрол на достъпа и системи за мониторинг, сегментирането помага за ограничаване на инфекциите, преди да засегнат критична инфраструктура.

Заключителни мисли

Заплахите от рансъмуер, като например Zollo Ransomware, подчертават важността на проактивните мерки за киберсигурност. Чрез криптиране на файлове, заплашване с разкриване на данни и оказване на натиск върху жертвите с изисквания за откуп с ограничен срок, нападателите се стремят да принудят бързи плащания.

Многопластова стратегия за защита, комбинираща системни актуализации, надеждни резервни копия, софтуер за сигурност и предпазливи потребителски практики, остава най-ефективният начин за смекчаване на тези заплахи. Ранното откриване и бързата реакция могат драстично да намалят въздействието на инцидентите с ransomware и да защитят ценни данни от необратима загуба.