Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware DeadLock

Ransomware DeadLock

El Mezo el Ransomware
Traduir a:

Les campanyes modernes de ransomware estan dissenyades específicament per convertir les vostres dades personals o organitzatives en un avantatge. Un cop xifrats els fitxers crítics, els atacants tenen totes les cartes, tret que us hàgiu preparat amb antelació. Una higiene de seguretat sòlida, defenses per capes i estratègies de còpia de seguretat resistents redueixen dràsticament les probabilitats que un sol fitxer adjunt maliciós, un instal·lador piratejat o una descàrrega no autoritzada provoqui una interrupció del negoci o una pèrdua permanent de dades. DeadLock Ransomware és un bon exemple de per què aquests fonaments són importants.

Què diferencia DeadLock?

DeadLock és una família de ransomware que xifra fitxers i etiqueta cada víctima amb un identificador únic. Durant un atac, codifica les dades de l'usuari i canvia el nom de cada fitxer xifrat afegint l'ID de la víctima i l'extensió ".dlock" al nom del fitxer original. Per exemple: "1.png" es converteix en "1.png.F8C6A8.dlock" i "2.pdf" es converteix en "2.pdf.F8C6A8.dlock". Aquest ID s'utilitza durant tot el procés d'extorsió per rastrejar la víctima i vincular els pagaments a les claus de desxifrat. DeadLock també deixa anar una nota de rescat el nom del fitxer de la qual conté aquest mateix identificador (per exemple, "LLEGEIX-ME.F8C6A8.txt") i canvia el fons de pantalla de l'escriptori per reforçar que el sistema ha estat compromès.

Dins de la nota de rescat

La nota planteja diversos punts clau dissenyats per guiar els propers moviments de la víctima. Afirma que els fitxers xifrats no es poden restaurar sense una "clau de desxifratge única" que només posseeixen els atacants. Es demana a les víctimes que instal·lin el missatger de sessió centrat en la privadesa i que es posin en contacte amb ells mitjançant un ID de sessió proporcionat (que de nou es correspon amb l'identificador de cada víctima incrustat als noms dels fitxers). Els atacants demanen a la víctima que enviï un fitxer xifrat més la "clau personal" (el seu ID únic) per a la seva verificació. Aquesta és una tàctica habitual destinada a generar confiança desxifrant una mostra inofensiva.

Tàctiques de pagament i pressió

Els operadors de DeadLock exigeixen criptomoneda, concretament Bitcoin o Monero. Prometen que, després del pagament, lliuraran un desxifratge que funcioni. Com passa amb la majoria d'operacions de ransomware, no hi ha cap garantia exigible. La nota també utilitza la por per dissuadir els intents de recuperació independents: adverteix a les víctimes que no canviïn el nom dels fitxers xifrats i que no provin eines de desxifratge de tercers, afirmant que aquestes accions podrien corrompre les dades permanentment o augmentar el preu de la recuperació. Aquests avisos són en part tècnics (una manipulació inadequada pot complicar la recuperació) i en part de pressió psicològica.

Comprovació de la realitat del desxifratge

L'experiència amb el ransomware en general, i els propis missatges dels operadors, donen suport a una dura veritat: en la majoria dels casos, no es poden desxifrar els fitxers codificats per DeadLock sense la cooperació i les eines dels atacants. Això deixa dues vies de recuperació realistes: (1) còpies de seguretat que estaven fora de línia, fora del lloc, versionades o que no eren accessibles al programari maliciós en el moment de l'atac; o (2) pagar el rescat i esperar que els delinqüents compleixin l'acord. Pagar és arriscat: els atacants poden desaparèixer, lliurar un desxifrador trencat o utilitzar el pagament com a senyal que sou un objectiu fàcil per a futures extorsions. Sempre que sigui possible, confieu en còpies de seguretat no afectades en lloc de fer un pagament de rescat.

Per què importa l’eliminació completa

Fins i tot després que s'hagi completat el xifratge, deixar el ransomware al sistema és perillós. Els components residuals poden tornar a xifrar els fitxers recentment creats, obtenir credencials, obrir portes del darrere o intentar moure's lateralment per la xarxa local. L'eradicació, recolzada per l'escaneig de punts finals, la inspecció de memòria i una revisió de les tasques programades, les entrades d'inici i els controladors de domini, és fonamental per evitar que es repeteixin els danys.

Vectors comuns d’infecció de DeadLock

Els atacants necessiten un punt de suport inicial. Les campanyes de ransomware s'han associat amb múltiples canals de distribució que s'aprofiten de la confiança, la curiositat i les dreceres per reduir costos dels usuaris:

  • Programari comercial pirata o "crackejat", inclosos generadors de claus incloses i eines d'elusió de llicències que instal·len programari maliciós en secret.
  • Cracks de programari, keygens i activadors no oficials extrets de llocs web de warez o torrent.
  • Adjunts de correu electrònic maliciosos: documents de Word amb trampa (sovint amb macros habilitades), PDF, arxius ZIP, fitxers de script o càrregues útils executables disfressades de factures, avisos d'enviament o formularis urgents de recursos humans.
  • Publicitat maliciosa (anuncis maliciosos) que redirigeixen els usuaris a kits d'explotació o pàgines de descàrrega fraudulentes.
  • Plataformes de compartició entre iguals i centres de descàrrega de tercers que reempaquetan els instal·ladors amb càrregues útils ocultes.
  • Suports extraïbles (per exemple, unitats USB infectades) que s'executen automàticament o tempten els usuaris perquè iniciïn fitxers contaminats.
  • Portals d'assistència tècnica falsos que pressionen els usuaris perquè descarreguin "correccions" o "actualitzacions" que en realitat contenen el carregador del ransomware.
  • Llocs web legítims compromesos que han estat proveïts de descàrregues automatitzades o scripts injectats que lliuren la càrrega útil.

Millors pràctiques de seguretat per enfortir la vostra defensa

La seguretat per capes redueix dràsticament el radi d'explosió d'un esdeveniment de ransomware. A continuació es mostren els passos defensius prioritzats que ajuden a evitar que DeadLock i amenaces similars tinguin èxit:

  • Mantingueu còpies de seguretat fiables i fora de línia de les dades crítiques.
  • Apliqueu pegats als sistemes operatius, les aplicacions i el firmware amb rapidesa, especialment als serveis exposats i als conjunts de productivitat propensos a l'abús de macros o exploits.
  • Utilitzeu protecció de terminals/EDR de bona reputació amb detecció de ransomware basada en el comportament i aïllament automàtic.
  • Forçar els comptes d'usuari amb privilegis mínims; desactivar l'administrador local on no sigui necessari; separar les credencials d'administrador de l'ús diari.
  • Restringeix l'execució de macros, els intèrprets de scripts i els binaris sense signar mitjançant la política de grup, la llista de permisos d'aplicacions i l'accés controlat a les carpetes.
  • Implementa el filtratge de seguretat del correu electrònic: adjunts de sandbox, inspecciona enllaços i marca tipus de fitxers sospitosos o dominis de remitent falsificats.
  • Desactiveu l'execució automàtica en suports extraïbles i escanegeu els dispositius USB abans de muntar-los.
  • Requereix autenticació multifactor (MFA) per a l'accés remot, les consoles d'administració i les interfícies de gestió de còpies de seguretat.

Lliçons a llarg termini

DeadLock reforça un tema recurrent en totes les famílies de ransomware: els atacants no necessiten exploits d'última generació si els usuaris finals descarreguen eines piratejades, obren fitxers adjunts no verificats o naveguen per xarxes publicitàries no fiables. Les tècniques bàsiques de seguretat, la disciplina de pegats, els controls d'accés, les còpies de seguretat supervisades i la consciència de l'usuari converteixen una possible crisi en un esdeveniment recuperable. Inverteix en aquestes defenses ara; el cost és molt inferior al d'un rescat pagat sota pressió.

Pensaments finals

La resiliència del ransomware es construeix molt abans que un atac arribi a la pantalla. En entendre com funciona DeadLock i implementar controls preventius i de recuperació per capes, us posicionareu per resistir aquesta amenaça i altres de similars. Mantingueu-vos escèptics davant de qualsevol cosa que no hàgiu buscat o verificat deliberadament. La vostra vigilància és la primera, i sovint la millor, línia de defensa.

Missatges

S'han trobat els missatges següents associats a Ransomware DeadLock:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Tendència

Més vist

Carregant...