Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware NeZha

Ransomware NeZha

El Mezo el Ransomware
Traduir a:

El ransomware continua sent una de les amenaces més disruptives a què s'enfronten individus i organitzacions. Una sola intrusió reeixida pot aturar operacions, corrompre o exfiltrar dades sensibles i desencadenar costosos esforços de recuperació. Construir defenses sòlides i per capes abans d'un incident és l'única manera fiable de minimitzar l'impacte quan, no si, els atacants proven sort.

Visió general de les amenaces

Els investigadors han identificat una soca sofisticada anomenada ransomware NeZha. Com altres famílies d'aquesta categoria, l'objectiu principal de NeZha és simple: xifrar tants fitxers com sigui possible i després coaccionar el pagament per una clau de desxifrat. Els seus operadors es posicionen com l'única via per a la restauració i amplifiquen la pressió amb límits de temps i amenaces de filtració de dades.

Comportament al sistema i canvis de fitxers

Un cop NeZha s'estableix, comença a xifrar les dades dels usuaris i de l'empresa a través d'ubicacions comunes. Durant el xifratge, també canvia el nom dels elements afegint un identificador específic de la víctima i l'extensió ".NeZha". En casos observats, els noms de fitxer obtenen un ID similar a un GUID; per exemple, s'ha vist que un fitxer benigne com ara "1.png" es transforma en un nom similar a "1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha". Després de completar el seu pas, NeZha deixa caure una nota de rescat titulada "README.TXT" als directoris afectats.

Nota de rescat i tàctiques de pressió

La nota afirma que les bases de dades, els documents, les fotos i altres fitxers estan xifrats i que comprar una clau de desxifratge als atacants és l'única solució. Per guanyar credibilitat, els delinqüents sovint ofereixen desxifrar un fitxer no crític de forma gratuïta. Adverteixen contra la modificació de fitxers bloquejats, l'ús de desxifradors de tercers o la cerca d'ajuda externa, afirmant que això augmentarà les pèrdues. S'estableix un termini de 24 hores per al contacte inicial; si no es compleix, els operadors amenacen de filtrar o vendre dades sensibles de l'empresa que afirmen haver exfiltrat, un exemple de "doble extorsió".

La realitat de la recuperació i el dilema del pagament

Tècnicament, la majoria de ransomware moderns no es poden desxifrar sense les claus privades dels atacants, tret que el programari maliciós tingui defectes greus, un escenari poc freqüent. Tanmateix, pagar és arriscat i es desaconsella: moltes víctimes no reben mai desxifradors que funcionin ni tan sols després de transferir fons, i el pagament manté l'activitat delictiva. El camí més segur és confiar en còpies de seguretat netes i fora de línia i en una resposta formal a incidents.

Contenció i retirada

L'eliminació de NeZha atura el xifratge posterior, però no desbloqueja els fitxers ja afectats. Les prioritats haurien de ser aïllar els sistemes infectats de la xarxa, preservar les proves per a la investigació forense, eradicar el programari maliciós mitjançant eines fiables o una reconstrucció neta i, a continuació, restaurar-lo a partir de còpies de seguretat que se sap que hi ha una exfiltració de dades, activeu el vostre pla de resposta a les violacions i tingueu en compte les obligacions legals, reglamentàries i de notificació al client.

Com es propaga normalment NeZha

NeZha segueix el manual de moltes campanyes de ransomware, aprofitant tant els mètodes de lliurament impulsats per l'usuari com pels atacants. Els atacants poden disfressar les càrregues útils com a contingut legítim o introduir-les de contraban en paquets de programari i, a continuació, activar l'execució quan s'obre un fitxer o s'executa un script. Algunes variants també es poden propagar lateralment a les xarxes locals o copiar-se a suports extraïbles.

Vectors de lliurament comuns

  • Suplantació d'identitat (phishing) i enginyeria social que condueixen a l'obertura d'adjunts trampa (Office/OneNote/PDF), scripts (JavaScript), arxius (ZIP/RAR) o executables (.exe/.run).
  • Instal·ladors, carregadors i portes del darrere troians que incorporen ransomware com a segona etapa.
  • Descàrregues enganyoses i manipulades de llocs web compromesos o maliciosos.
  • Fonts de descàrrega no fiables (portals de programari gratuït, miralls de tercers, xarxes P2P).
  • Campanyes de correu brossa, estafes en línia i publicitat maliciosa que redirigeixen a càrregues útils.
  • Eines d'activació il·legals ('cracks'), programari/mitjans piratats i sol·licituds d'actualització falses.
  • Autopropagació a través de xarxes locals i emmagatzematge extraïble (unitats USB, discs durs externs).

Pensaments finals

NeZha s'adapta al motlle modern del ransomware: xifratge ràpid, coacció forta i amenaces creïbles d'exposició de dades. El millor avantatge s'obté abans d'un incident, mitjançant una higiene rigorosa, controls per capes, còpies de seguretat provades i una resposta practicada. Combineu les mesures de seguretat tècniques amb la formació dels usuaris i operacions disciplinades per reduir tant la probabilitat com el radi d'explosió d'un atac NeZha.

Missatges

S'han trobat els missatges següents associats a Ransomware NeZha:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Tendència

Més vist

Carregant...