Rabattilbud med flere licenser
Trusseldatabase Ransomware RDAT-ransomware

RDAT-ransomware

Med Mezo i Ransomware
Oversæt til:

Ransomware er fortsat en af de mest forstyrrende trusler mod hjemmebrugere og organisationer. En enkelt indtrængen kan forvrænge dokumenter, fotos og forretningsdata på få minutter og derefter afpresse ofrene for adgang. RDAT Ransomware, en udløber af den produktive Dharma-familie, illustrerer, hvorfor lagdelte forsvar og disciplineret genopretningsplanlægning er afgørende.

Trusselsprofil: RDAT i et overblik

Infosec-forskere identificerede RDAT under en bred gennemgang af ny malware. Det er en Dharma-variant, der er specialbygget til dataafpresning: den krypterer filer og presser ofrene til at betale for dekryptering. RDAT er rettet mod både lokale drev og netværksdelinger og undgår bevidst kritiske systemfiler, så enheden forbliver bootbar, og offeret kan læse løsesummen.

Hvad ofrene ser

Når RDAT udføres, krypterer den en bred vifte af filtyper. Filnavne ændres for at inkludere et unikt offer-ID, angriberens e-mail og filtypenavnet '.RDAT', for eksempel:
1.png bliver til 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

To løsesumsnotater følger: et pop op-vindue, der angiver, at filerne er krypterede, og en tekstfil med navnet 'DAT_INFO.txt' med kontaktinstruktioner. Operatørerne tilbyder at dekryptere op til tre filer (med forbehold for størrelses-/formatbegrænsninger) som bevis, samtidig med at de advarer om, at brug af tredjepartsværktøjer eller ændring af krypterede data kan forårsage permanent tab. Disse taktikker er designet til at opbygge troværdighed og hastende karakter, ikke til at hjælpe dig.

Hvordan RDAT forbliver og spredes

RDAT arver Dharmas persistens- og anti-gendannelsesstrategi. Malwaren kopierer sig selv til %LOCALAPPDATA%, registrerer autorun-poster via specifikke Run-nøgler og genstarter efter genstart. For at blokere hurtige gendannelser sletter den Volume Shadow Copies. Før kryptering afslutter den processer, der kan holde filer åbne (databaser, dokumentlæsere og lignende), hvilket sikrer maksimal dækning. Den forsøger også at undgå 'dobbeltkryptering' af data, der allerede er ramt af anden ransomware, ved at kontrollere mod en kendt liste, en ufuldkommen sikkerhedskontrol.

Målvalg og geofencing

Malwaren indsamler geolokationsdata for at vurdere, om et offer sandsynligvis vil betale. Hvis regionen virker ugunstig, økonomisk eller af geopolitiske årsager, kan den helt springe kryptering over. Denne adfærd handler udelukkende om at maksimere udbyttet af løsesummen.

Hvorfor det er et tabende væddemål at betale

Dekryptering efter et ransomware-angreb er normalt umulig uden angribernes nøgler, medmindre stammen er alvorligt fejlbehæftet. Selv da er det risikabelt at betale: mange ofre modtager aldrig fungerende dekrypteringsprogrammer. Betaling finansierer også flere angreb. Den ansvarlige vej er at udrydde malwaren, genopbygge fra pålidelige sikkerhedskopier og hærde systemer for at forhindre en gentagelse.

Bekræftede leveringskanaler

Indtrængen i Dharma-familien starter ofte med eksponeret eller svagt beskyttet Remote Desktop Protocol (RDP). Angribere er afhængige af brute-force- og dictionary-angreb, og når de er inde, kan de deaktivere værtsfirewalls. Ud over RDP udnytter økosystemet phishing og social engineering, malvertising, upålidelige softwarekilder, spam-vedhæftninger og loader/bagdørs-trojanere. Ondsindede nyttelaster sendes almindeligvis som arkiver (RAR/ZIP), eksekverbare filer, scripts (inklusive JavaScript) og dokumenter (PDF, Office, OneNote). Visse familier spredes også via lokale netværk og flytbare medier.

Inddæmning og genopretning

Fjern ransomware for at stoppe yderligere kryptering, men forstå, at fjernelse ikke gendanner låste filer. Gendannelse kræver rene, versionsbaserede sikkerhedskopier. Guldstandarden er at opbevare kopier på flere steder og medietyper, herunder offlinelagring, som malware ikke kan røre ved.

Almindelige adgangs- og distributionsvektorer for ransomware-trusler omfatter:

  • Eksponerede/svage RDP-tjenester, legitimationsoplysninger og brute-force-logins
  • Phishing-e-mails, social engineering-lokkemidler, spam-vedhæftninger og -links, malvertising, trojanske downloads, drive-by-downloads, piratkopieret software og 'cracks', falske opdateringsprogrammer og loader-/bagdørsinfektioner; lateral spredning via LAN og flytbare USB-/lagerenheder

Konklusion

RDAT Ransomware er en disciplineret, profitdrevet Dharma-variant: den persisterer på tværs af genstarter, sletter gendannelsespunkter, målretter både lokale og delte data og bruger presstaktikker som våben til at udpresse betaling. Den mest pålidelige vej til modstandsdygtighed er proaktiv hærdning plus robuste, offline-kompatible sikkerhedskopier og veløvet gendannelse. Betal ikke; udrydd, gendan og stram forsvaret for at forhindre det næste forsøg.

Beskeder

Følgende beskeder tilknyttet RDAT-ransomware blev fundet:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

Trending

Mest sete

Indlæser...