Ransomware Solara
Solara és una soca de ransomware observada recentment que, segons els investigadors, està basada en el codi de la família Chaos, que circula públicament. El ransomware com Solara xifra els fitxers dels usuaris, exigeix el pagament i pot interrompre permanentment l'accés a dades importants, per la qual cosa la protecció dels dispositius i les còpies de seguretat és essencial.
Taula de continguts
QUÈ FA SOLARA
Durant l'anàlisi, es va observar que Solara xifrava fitxers i afegia la cadena de text '.solara' als noms de fitxer (per exemple, '1.png' → '1.png.solara'). El programari maliciós també genera una nota de rescat anomenada 'read_it.txt' que afirma que la víctima va activar una protecció 'anti-crack' i indica a les víctimes que obtinguin una eina de desxifratge d'un actor en línia. Diversos articles i anàlisis de mostra vinculen Solara amb la família de ransomware Chaos i descriuen un comportament similar (xifratge, substitució d'extensions i una nota de rescat en text sense format).
NOTA DE RESCAT I RECLAMACIONS DE PAGAMENT
El missatge de rescat examinat pels analistes afirma que la recuperació d'arxius és "gairebé impossible" sense l'eina de desxifratge de l'atacant. La nota indica a les víctimes que contactin amb un usuari de Discord (xenqxd) i suggereix opcions de pagament com ara Paysafecard (a Polònia) o una petita quantitat de Bitcoin. Cal destacar que algunes mostres ometen canals de contacte significatius, cosa que pot indicar una campanya immadura o semblant a una broma, o operadors que simplement no esperen negociar. Tracteu totes aquestes demandes amb extrema sospita.
ES PODEN RECUPERAR FITXERS SENSE PAGAR?
En general, els fitxers xifrats per les amenaces de la família Chaos no es poden recuperar sense la clau de desxifratge adequada. Si teniu còpies de seguretat netes i fora de línia d'abans de la infecció, restaurar-les és la ruta més segura recomanada. Es desaconsella pagar, els delinqüents sovint no lliuren desxifradors utilitzables i pagar fons aprofundeix l'activitat delictiva.
VECTORS D’INFECCIÓ COMUNS
- Programari pirata, keygens i utilitats "crackejades" disfressades amb programari maliciós.
- Adjunts i enllaços de correu electrònic maliciosos (macros, scripts, EXE d'Office).
- Anuncis infectats, llocs de descàrrega compromesos o no oficials, xarxes P2P/torrent, unitats USB i descàrregues de tercers.
ACCIONS IMMEDIATES SI SOSPETES D’UNA INFECCIÓ
Aïlleu la màquina immediatament : desconnecteu-la de les xarxes (amb fil/wifi) i desmunteu qualsevol unitat compartida/de xarxa per aturar la propagació lateral.
Preserveu les proves : no reinicieu l'ordinador si esteu recopilant artefactes de memòria o forenses, en comptes d'això, captureu imatges de memòria i de disc si en teniu la capacitat o truqueu a la resposta a incidents.
Utilitzeu còpies de seguretat : Restaureu des de còpies de seguretat de confiança un cop s'hagi eliminat el programari maliciós i s'hagin reconstruït els sistemes; no restaureu còpies de seguretat que puguin haver estat connectades en el moment de la infecció.
No pagueu si un equip de resposta a incidents no ha avaluat totes les opcions i conseqüències; no es garanteix que el pagament funcioni i pot fomentar futurs atacs.
MILLORS PRÀCTIQUES DE SEGURETAT
Mantenir una defensa actualitzada i per capes que inclogui les pràctiques següents en les operacions diàries:
Gestió de pegats : apliqueu les actualitzacions de seguretat del sistema operatiu i de les aplicacions amb promptitud; moltes soques de ransomware exploten vulnerabilitats conegudes i amb pegats.
Privilegis mínims i higiene de comptes : executa usuaris amb comptes que no siguin d'administrador, aplica una autenticació multifactor forta per a l'accés remot i els comptes privilegiats i supervisa el comportament d'inici de sessió inusual.
Estratègia de còpia de seguretat : creeu còpies de seguretat regularment i manteniu-les separades de la xarxa. Al cap i a la fi, les còpies de seguretat són el control de recuperació més eficaç contra els atacs de xifratge.
Protecció de punts finals i EDR : implementa solucions de detecció i resposta de punts finals de bona reputació que puguin detectar anomalies d'execució, bloquejar càrregues útils malicioses i permetre una contenció ràpida. Mantingueu les signatures i la telemetria habilitades.
Educació dels usuaris i resistència al phishing : formeu els usuaris per evitar executar cracks/keygens, verificar els remitents i els enllaços dels correus electrònics i tractar els fitxers adjunts inesperats amb sospita. Les campanyes simulades de phishing i de conscienciació redueixen el factor de risc humà.
Controls d'aplicacions i restriccions de macros : desactiveu les macros d'Office per defecte, bloquegeu l'execució des d'ubicacions d'abús habituals (per exemple, %AppData%, carpetes temporals) i utilitzeu la llista de permesos d'aplicacions sempre que sigui possible.
NOTES DE CLAUSURA
Solara il·lustra els riscos comuns relacionats amb els creadors de ransomware disponibles públicament: proliferen les bifurcacions i variants, i els atacants adapten contínuament els mètodes de distribució per atacar comunitats específiques (els informes destaquen els fòrums de jocs i els canals de programari pirata com a possibles esquers). Les millors defenses són la prevenció, les còpies de seguretat sòlides, la contenció ràpida i treballar amb equips de resposta formats, en comptes de pagar rescats. Si sospiteu que hi ha hagut un compromís i necessiteu ajuda per a la neteja pas a pas, recopileu indicadors de mostra (noms de fitxer, hashes, text de la nota de rescat) i consulteu un proveïdor de resposta a incidents de confiança o el vostre proveïdor de seguretat per obtenir orientació sobre contenció i recuperació.
Missatges
S'han trobat els missatges següents associats a Ransomware Solara:
Oh uh, your pc was hacked by Solara Ransomware! |
