Solara Ransomware

Solara je nedávno pozorovaný kmen ransomwaru, o kterém vědci tvrdí, že je postaven na veřejně šířeném kódu rodiny Chaos. Ransomware jako Solara šifruje uživatelské soubory, požaduje platbu a může trvale narušit přístup k důležitým datům, takže ochrana zařízení a záloh je nezbytná.

CO DĚLÁ SOLARA

Během analýzy bylo pozorováno, že Solara šifruje soubory a k jejich názvům přidává textový řetězec '.solara' (například '1.png' → '1.png.solara'). Malware také odesílá výkupné s názvem 'read_it.txt', které tvrdí, že oběť spustila „ochranu proti cracku“, a instruuje oběti, aby si od online aktéra získaly dešifrovací nástroj. Několik článků a analýz vzorků spojuje Solaru s rodinou ransomwarů Chaos a popisuje podobné chování (šifrování, nahrazování přípon a výkupné v prostém textu).

VÝKUPNÝ POPLATEK A NÁROKY NA PLATBU

Zpráva s požadavkem na výkupné, kterou analytici zkoumali, tvrdí, že obnova souborů je „téměř nemožná“ bez dešifrovacího nástroje útočníka. Zpráva instruuje oběti, aby kontaktovaly uživatele Discordu (xenqxd), a navrhuje platební možnosti, jako je Paysafecard (v Polsku) nebo malá částka v bitcoinech. Je pozoruhodné, že některé vzorky vynechávají smysluplné kontaktní kanály, což může naznačovat nezralou nebo žertovnou kampaň, nebo operátory, kteří prostě neočekávají, že budou vyjednávat. Ke všem takovým požadavkům přistupujte s krajní nedůvěrou.

MŮŽETE OBNOVIT SOUBORY BEZ PLACENÍ?

Soubory zašifrované hrozbami z rodiny Chaos obecně nelze obnovit bez správného dešifrovacího klíče. Pokud máte čisté, offline zálohy z doby před infekcí, je jejich obnovení nejbezpečnější doporučenou cestou. Placení se nedoporučuje, zločinci často nedodávají použitelné dešifrovací programy a placení finančních prostředků dále podporuje kriminální činnost.

BĚŽNÍ PŘENOSCI INFEKCE

• Pirátský software, keygeny a „cracknuté“ utility maskované malwarem.
• Škodlivé e-mailové přílohy a odkazy (makra, skripty, EXE soubory sady Office).
• Infikované reklamy, napadené nebo neoficiální stránky pro stahování, P2P/torrent sítě, USB disky a stahovací programy třetích stran.

OKAMŽITÉ OPATŘENÍ PŘI PODEZŘENÍ NA INFEKCI

Okamžitě izolujte počítač : odpojte se od sítí (kabelových/Wi-Fi) a odpojte všechny sdílené/síťové disky, abyste zabránili šíření viru.

Zachování důkazů : Nevypínejte a nezapínejte počítač, pokud shromažďujete paměť nebo forenzní artefakty, místo toho zachyťte obrazy paměti a disků, pokud máte k tomu možnost, nebo volejte oddělení reakce na incidenty.

Používejte zálohy : Po odstranění malwaru a restartování systémů obnovujte systém z důvěryhodných záloh; neobnovujte zálohy, které mohly být připojeny v době infekce.

Neplaťte, dokud tým pro reakci na incidenty neposoudil všechny možnosti a důsledky; platba není zaručena a může podpořit budoucí útoky.

NEJLEPŠÍ BEZPEČNOSTNÍ POSTUPY

Udržujte aktuální, vícevrstvou obranu, která zahrnuje následující postupy v každodenním provozu:

Správa záplat : neprodleně instalujte aktualizace zabezpečení operačního systému a aplikací; mnoho kmenů ransomwaru zneužívá známé a opravené zranitelnosti.

Nejmenší oprávnění a hygiena účtů : spouštět uživatele s neadministrátorskými účty, vynucovat silné vícefaktorové ověřování pro vzdálený přístup a privilegované účty a sledovat neobvyklé chování při přihlašování.

Strategie zálohování : Pravidelně vytvářejte zálohy a uchovávejte je odděleně od sítě. Zálohy jsou koneckonců nejúčinnějším způsobem obnovy proti šifrovacím útokům.

Ochrana koncových bodů a EDR : nasaďte renomovaná řešení pro detekci a reakci na koncové body, která dokáží detekovat anomálie při provádění, blokovat škodlivé datové části a umožnit rychlé zadržení. Udržujte signatury a telemetrii povolené.

Vzdělávání uživatelů a odolnost proti phishingu : školit uživatele, aby se vyhýbali používání cracků/keygenů, ověřovali odesílatele e-mailů a odkazy a s podezřením zacházeli s neočekávanými přílohami. Simulované phishingové a osvětové kampaně snižují lidský rizikový faktor.

Ovládací prvky aplikací a omezení maker : ve výchozím nastavení zakažte makra Office, blokujte spouštění z běžných míst zneužívání (např. %AppData%, dočasné složky) a v případě potřeby používejte seznam povolených aplikací.

ZÁVĚREČNÉ POZNÁMKY

Solara ilustruje běžná rizika spojená s veřejně dostupnými nástroji pro tvorbu ransomwaru: množí se forky a varianty a útočníci neustále přizpůsobují distribuční metody tak, aby cílili na konkrétní komunity (zprávy uvádějí herní fóra a kanály s pirátským softwarem jako pravděpodobné lákadla). Nejlepší obranou je prevence, silné zálohy, rychlé omezení a spolupráce s vyškolenými týmy pro reakci, nikoli placení výkupného. Pokud máte podezření na kompromitaci a potřebujete podrobnou pomoc s čištěním, shromážděte vzorové indikátory (názvy souborů, haše, text výzvy k výkupnému) a poraďte se s důvěryhodným poskytovatelem reakce na incidenty nebo s vaším dodavatelem zabezpečení, který vám poskytne pokyny k omezení a obnově.