Ransomware Bash 2.0
Ransomware zůstává jednou z nejničivějších hrozeb, kterým čelí jednotlivci i organizace. Jediný úspěšný útok může poškodit vaše soubory, zastavit obchodní operace a vydat citlivá data na milost a nemilost vyděračům. Proaktivní ochrana, vrstvené bezpečnostní kontroly, ostražitost uživatelů a spolehlivé zálohy budou vždy levnější než platit zločincům (a stále nezískat zpět svá data). Ransomware Bash 2.0, označovaný také jako Bash Red, je včasnou připomínkou toho, že nově vznikající rodiny nadále iterují na osvědčeném útočném kódu a zároveň zdokonalují své nátlakové taktiky proti obětem.
Obsah
SETKEJTE SE S BASH 2.0 (BASH RED)
Výzkumníci identifikovali Bash 2.0 při průzkumu aktivity nového malwaru. Hrozba je postavena na kódové základně ransomwaru Chaos, což je framework, který byl opakovaně použit v několika spin-offech. Využití Chaosu dává útočníkům náskok: základní šifrování, manipulace se soubory a rutiny pro výzvy k výkupnému jsou již k dispozici a lze je přizpůsobit pro nové kampaně. Bash 2.0 využívá tyto zděděné funkce k uzamčení dat a vynucení plateb.
CO SE STANE S VAŠIMI SOUBORY
Jakmile se Bash 2.0 spustí v systému, pokusí se zašifrovat dostupná data. Každý postižený soubor obdrží další příponu složenou ze čtyř náhodných znaků, čímž se soubor jako „1.png“ změní na „1.png.2rf9“ (náhodná přípona se liší v závislosti na infekci). Tato konvence přejmenování pomáhá útočníkům (a automatizovaným nástrojům) sledovat, co bylo uzamčeno, a zároveň okamžitě signalizuje obětem, že jejich data již nejsou použitelná. Ransomware také mění tapetu plochy, aby vizuálně zdůraznil vyděračskou zprávu.
ZPRÁVA O VÝKUPNÝCH: BASHRED-README.TXT
Po dokončení šifrování Bash 2.0 odešle textovou zprávu s názvem „bashred-reAdmE.txt“. Zpráva informuje oběť, že soubory jsou zašifrované, a tvrdí, že jedinou schůdnou cestou k obnovení je získání unikátního dešifrovacího klíče a softwaru od útočníků. Oběti jsou instruovány, aby navázaly kontakt a zaplatily; zpráva varuje, že přejmenování, úprava nebo pokus o dešifrování uzamčených dat samostatně by je mohl trvale poškodit. Změna tapety obvykle odráží stejná témata, což zvyšuje naléhavost situace.
JAK REÁLNÁ JE OBNOVA DAT?
Ve většině incidentů s ransomwarem je dešifrování bez spolupráce útočníků technicky neproveditelné, protože šifrování je navrženo tak, aby bylo kryptograficky silné. Pouze ve vzácných případech, obvykle když autoři malwaru udělají závažné chyby v implementaci, je dešifrování možné bez jejich zapojení. Ani platba není zárukou: oběti pravidelně hlásí, že nikdy neobdržely funkční nástroje, obdržely částečné dešifrovací programy nebo narazily na poškozené klíče. Platba také financuje další kriminální operace, což z vás může udělat opakovaný cíl. Z těchto důvodů bezpečnostní odborníci důrazně nedoporučují splňovat požadavky na výkupné.
ZASTAVENÍ KRVÁCENÍ: ODSTRANĚNÍ A ZADRŽENÍ
Odstranění viru Bash 2.0 z infikovaného prostředí je nezbytné pro zabránění šifrování dalších souborů a šíření hrozby do připojených systémů. Vyčištění malwaru však nedešifruje již uzamčená data. Skutečná obnova závisí na bezpečných, offline a nenarušených zálohách. Před obnovou izolujte postižené počítače od sítě, proveďte úplnou kontrolu malwaru pomocí aktualizovaných nástrojů a v případech, kdy nelze zaručit důvěryhodnost, znovu sestavte počítače nebo vytvořte nový obraz systému. Obnovené systémy znovu připojte až po ověření, že jsou čisté.
JAK SE BASH 2.0 ŠÍŘÍ V DIVOKÉM SÍLE
Útočníci vrhají širokou síť. Mezi běžné distribuční vektory spojené s ransomwarovými kampaněmi a relevantní pro Bash 2.0 patří:
- Škodlivé přílohy nebo odkazy doručované prostřednictvím spamu, spear-phishingu nebo platforem sociálních médií.
- Instalační programy s balíčky nebo instalační programy s trojskými koňmi, které se vydávají za legitimní software, hry, mediální kodeky nebo nástroje pro zvýšení produktivity.
- Drive-by stahování spouštěné prostřednictvím napadených nebo škodlivých webů, často dosažených prostřednictvím malwaru.
- Kanály pro stahování třetích stran, freeware a peer-to-peer stahování se slabou kontrolou integrity.
- Nelegální softwarové „cracky“, keygeny a padělané aktivační nástroje, které tiše doručují datové zásilky.
- Falešné výzvy k aktualizaci (prohlížeče, pluginu, operačního systému nebo aplikace), které instalují malware místo oprav.
Některé sestavení hrozeb jsou schopné laterálního pohybu nebo samošíření, přičemž se pokoušejí procházet lokálními sítěmi nebo se kopírovat na vyměnitelná média, jako jsou USB flash disky a externí disky.
NEJLEPŠÍ BEZPEČNOSTNÍ POSTUPY PRO POSÍLENÍ VAŠÍ OBRANA
- Udržujte zálohy s verzemi, offline a pravidelně testované. Uchovávejte alespoň jednu sadu záloh mimo síť (preferujte neměnné úložiště nebo médium s možností jednorázového zápisu).
- Udržujte operační systémy, aplikace, bezpečnostní sady a firmware plně aktualizované. V případě potřeby povolte automatické aktualizace.
- Nasaďte renomovaná antimalwarová/EDR řešení s detekcí behaviorálního ransomwaru a funkcemi pro vrácení zpět.
- Používejte filtrování e-mailů, sandboxování příloh a brány pro skenování odkazů ke snížení rizika phishingu; proškolte uživatele v rozpoznávání falešných odesílatelů a neočekávaných příloh.
- Zakázat nebo omezit makra a aktivní obsah ve formátech dokumentů; otevřít nevyžádané dokumenty v chráněném zobrazení.
- Pracujte s uživatelskými účty s nejnižšími oprávněními; rezervujte si přihlašovací údaje správce pro vyhrazené, zabezpečené relace.
- Segmentujte sítě a vynucujte řízení přístupu tak, aby jeden ohrožený koncový bod nemohl dosáhnout všech kritických sdílených účtů.
- Vyžadovat vícefaktorové ověřování pro vzdálený přístup, privilegované akce a zálohovací konzole pro správu.
- Zakažte automatické spouštění/přehrávání na vyměnitelných médiích; před připojením k produkčním systémům prohledejte externí disky.
ZÁVĚREČNÉ MYŠLENKY
Ransomware Bash 2.0 ilustruje, jak rychle mohou útočníci přeměnit stávající kódové základny na nové nástroje pro vydírání. Obránci, kteří se spoléhají pouze na detekci založenou na signaturách nebo reakci na poslední chvíli, zůstanou v nevýhodě. Kombinací disciplinovaných strategií zálohování, silné hygieny záplat, vrstvené obrany koncových bodů a e-mailů, návrhu s nejnižšími oprávněními a procvičených postupů reakce dramaticky snížíte pravděpodobnost i dopad události ransomwaru.
Zprávy
Byly nalezeny následující zprávy spojené s Ransomware Bash 2.0:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
