Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware DeadLock Ransomware

DeadLock Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:

Οι σύγχρονες καμπάνιες ransomware έχουν σχεδιαστεί ειδικά για να μετατρέπουν τα προσωπικά ή τα εταιρικά σας δεδομένα σε μόχλευση. Μόλις κρυπτογραφηθούν τα κρίσιμα αρχεία, οι εισβολείς κρατούν όλα τα χαρτιά, εκτός αν έχετε προετοιμαστεί εκ των προτέρων. Η ισχυρή υγιεινή ασφαλείας, οι πολυεπίπεδες άμυνες και οι ανθεκτικές στρατηγικές δημιουργίας αντιγράφων ασφαλείας μειώνουν δραματικά τις πιθανότητες ένα μόνο κακόβουλο συνημμένο, ένα παραβιασμένο πρόγραμμα εγκατάστασης ή μια αθέμιτη λήψη να οδηγήσει σε διακοπή της επιχείρησης ή μόνιμη απώλεια δεδομένων. Το DeadLock Ransomware είναι ένα καλό παράδειγμα του γιατί αυτά τα βασικά στοιχεία έχουν σημασία.

Τι κάνει το Deadlock να ξεχωρίζει

Το DeadLock είναι μια οικογένεια ransomware κρυπτογράφησης αρχείων που επισημαίνει σε κάθε θύμα ένα μοναδικό αναγνωριστικό. Κατά τη διάρκεια μιας επίθεσης, ανακατεύει τα δεδομένα χρήστη και μετονομάζει κάθε κρυπτογραφημένο αρχείο προσθέτοντας το αναγνωριστικό του θύματος και την επέκταση '.dlock' στο αρχικό όνομα αρχείου. Για παράδειγμα: Το '1.png' γίνεται '1.png.F8C6A8.dlock' και το '2.pdf' γίνεται '2.pdf.F8C6A8.dlock'. Αυτό το αναγνωριστικό χρησιμοποιείται σε όλη τη διαδικασία εκβίασης για την παρακολούθηση του θύματος και τη σύνδεση των πληρωμών με κλειδιά αποκρυπτογράφησης. Το DeadLock εμφανίζει επίσης ένα σημείωμα λύτρων του οποίου το όνομα αρχείου ενσωματώνει το ίδιο αναγνωριστικό (π.χ., "READ ME.F8C6A8.txt") και αλλάζει την ταπετσαρία της επιφάνειας εργασίας για να ενισχύσει την υπόνοια ότι το σύστημα έχει παραβιαστεί.

Μέσα στο Σημείωμα των Λύτρων

Το σημείωμα αναφέρει αρκετά βασικά σημεία που έχουν σχεδιαστεί για να καθοδηγήσουν τις επόμενες κινήσεις του θύματος. Υποστηρίζει ότι τα κρυπτογραφημένα αρχεία δεν μπορούν να αποκατασταθούν χωρίς ένα «μοναδικό κλειδί αποκρυπτογράφησης» που κατέχουν μόνο οι εισβολείς. Τα θύματα καλούνται να εγκαταστήσουν το Session Messenger που εστιάζει στην προστασία της ιδιωτικής ζωής και να επικοινωνήσουν χρησιμοποιώντας ένα παρεχόμενο Session ID (που και πάλι αντιστοιχίζεται στο αναγνωριστικό ανά θύμα που είναι ενσωματωμένο στα ονόματα αρχείων). Οι εισβολείς ζητούν από το θύμα να στείλει ένα κρυπτογραφημένο αρχείο συν το «προσωπικό κλειδί» (το μοναδικό του αναγνωριστικό) για επαλήθευση. Αυτή είναι μια κοινή τακτική που αποσκοπεί στην οικοδόμηση εμπιστοσύνης μέσω της αποκρυπτογράφησης ενός ακίνδυνου δείγματος.

Τακτικές Πληρωμής και Πίεσης

Οι χειριστές του Deadlock απαιτούν κρυπτονομίσματα, συγκεκριμένα Bitcoin ή Monero. Υπόσχονται ότι, μετά την πληρωμή, θα παραδώσουν ένα λειτουργικό αποκρυπτογραφητή. Όπως συμβαίνει με τις περισσότερες επιχειρήσεις ransomware, δεν υπάρχει εκτελεστή εγγύηση. Το σημείωμα χρησιμοποιεί επίσης τον φόβο για να αποθαρρύνει τις ανεξάρτητες προσπάθειες ανάκτησης: προειδοποιεί τα θύματα να μην μετονομάζουν κρυπτογραφημένα αρχεία και να μην δοκιμάζουν εργαλεία αποκρυπτογράφησης τρίτων, ισχυριζόμενοι ότι τέτοιες ενέργειες θα μπορούσαν να καταστρέψουν τα δεδομένα μόνιμα ή να αυξήσουν το κόστος ανάκτησης. Αυτές οι προειδοποιήσεις είναι εν μέρει τεχνικές (ο ακατάλληλος χειρισμός μπορεί πράγματι να περιπλέξει την ανάκτηση) και εν μέρει ψυχολογικής πίεσης.

Έλεγχος Πραγματικότητας Αποκρυπτογράφησης

Η εμπειρία με το ransomware γενικά, και η ανταλλαγή μηνυμάτων από τους ίδιους τους χειριστές, υποστηρίζει μια σκληρή αλήθεια: στις περισσότερες περιπτώσεις, δεν μπορείτε να αποκρυπτογραφήσετε κωδικοποιημένα αρχεία DeadLock χωρίς τη συνεργασία και τα εργαλεία των εισβολέων. Αυτό αφήνει δύο ρεαλιστικές διαδρομές ανάκτησης: (1) λειτουργικά αντίγραφα ασφαλείας που ήταν εκτός σύνδεσης, εκτός ιστότοπου, με έκδοση ή με άλλο τρόπο μη προσβάσιμα στο κακόβουλο λογισμικό κατά τη στιγμή της επίθεσης ή (2) πληρωμή των λύτρων και ελπίδα ότι οι εγκληματίες θα τηρήσουν τη συμφωνία. Η πληρωμή είναι επικίνδυνη: οι εισβολείς μπορεί να εξαφανιστούν, να παραδώσουν ένα προβληματικό αποκρυπτογραφητή ή να χρησιμοποιήσουν την πληρωμή ως σήμα ότι είστε ευάλωτος στόχος για μελλοντική εκβίαση. Όπου είναι δυνατόν, βασιστείτε σε μη επηρεασμένα αντίγραφα ασφαλείας αντί να πραγματοποιήσετε πληρωμή λύτρων.

Γιατί η πλήρης αφαίρεση έχει σημασία

Ακόμα και μετά την ολοκλήρωση της κρυπτογράφησης, η παραμονή του ransomware στο σύστημα είναι επικίνδυνη. Τα υπολειπόμενα στοιχεία ενδέχεται να κρυπτογραφήσουν ξανά τα νεοδημιουργημένα αρχεία, να συλλέξουν διαπιστευτήρια, να ανοίξουν κερκόπορτες ή να επιχειρήσουν πλευρική μετακίνηση στο τοπικό δίκτυο. Η εξάλειψή του, υποστηριζόμενη από σάρωση τελικών σημείων, έλεγχο μνήμης και έλεγχο προγραμματισμένων εργασιών, καταχωρήσεων εκκίνησης και ελεγκτών τομέα, είναι κρίσιμη για την αποτροπή επαναλαμβανόμενων ζημιών.

Συνήθεις φορείς μόλυνσης σε αδιέξοδο

Οι επιτιθέμενοι χρειάζονται ένα αρχικό στήριγμα. Οι καμπάνιες ransomware έχουν συσχετιστεί με πολλαπλά κανάλια διανομής που εκμεταλλεύονται την εμπιστοσύνη των χρηστών, την περιέργεια και τις συντομεύσεις μείωσης κόστους:

  • Πειρατικό ή «σπασμένο» εμπορικό λογισμικό, συμπεριλαμβανομένων των συνδυασμένων γεννητριών κλειδιών και εργαλείων παράκαμψης αδειών χρήσης που εγκαθιστούν κρυφά κακόβουλο λογισμικό.
  • Κρακαρίσματα λογισμικού, keygens και ανεπίσημα ενεργοποιητές που προέρχονται από ιστότοπους warez ή torrent.
  • Κακόβουλα συνημμένα ηλεκτρονικού ταχυδρομείου: έγγραφα Word με παγίδες (συχνά με δυνατότητα μακροεντολών), PDF, αρχεία ZIP, αρχεία δέσμης ενεργειών ή εκτελέσιμα φορτία που μεταμφιέζονται σε τιμολόγια, ειδοποιήσεις αποστολής ή επείγουσες φόρμες HR.
  • Κακόβουλες διαφημίσεις (κακόβουλες διαφημίσεις) που ανακατευθύνουν τους χρήστες σε κιτ εκμετάλλευσης ή σε αθέμιτες σελίδες λήψης.
  • Πλατφόρμες κοινής χρήσης peer-to-peer και κόμβοι λήψης τρίτων που ανασυσκευάζουν προγράμματα εγκατάστασης με κρυφά ωφέλιμα φορτία.
  • Αφαιρούμενα μέσα (π.χ. μολυσμένες μονάδες USB) που εκτελούνται αυτόματα ή δελεάζουν τους χρήστες να εκκινήσουν μολυσμένα αρχεία.
  • Ψεύτικες πύλες τεχνικής υποστήριξης που πιέζουν τους χρήστες να κατεβάζουν «διορθώσεις» ή «ενημερώσεις» που περιέχουν στην πραγματικότητα το πρόγραμμα φόρτωσης ransomware.
  • Παραβιασμένοι νόμιμοι ιστότοποι στους οποίους έχουν γίνει seeds με drive-by downloads ή injected scripts που παρέχουν το payload.

Βέλτιστες πρακτικές ασφαλείας για την ενίσχυση της άμυνάς σας

Η πολυεπίπεδη ασφάλεια μειώνει απότομα την ακτίνα έκρηξης ενός συμβάντος ransomware. Παρακάτω παρατίθενται τα κατά προτεραιότητα αμυντικά βήματα που βοηθούν στην αποτροπή της επιτυχίας του DeadLock και παρόμοιων απειλών:

  • Διατηρήστε αξιόπιστα, εκτός σύνδεσης αντίγραφα ασφαλείας κρίσιμων δεδομένων.
  • Άμεση ενημέρωση κώδικα για λειτουργικά συστήματα, εφαρμογές και υλικολογισμικό, ειδικά για υπηρεσίες και σουίτες παραγωγικότητας που είναι εκτεθειμένες σε μακροεντολές ή εκμετάλλευση.
  • Χρησιμοποιήστε αξιόπιστη προστασία τερματικών σημείων/EDR με ανίχνευση ransomware βάσει συμπεριφοράς και αυτόματη απομόνωση.
  • Επιβολή λογαριασμών χρηστών με τα λιγότερα προνόμια. Απενεργοποίηση τοπικού διαχειριστή όπου δεν απαιτείται. Διαχωρισμός των διαπιστευτηρίων διαχειριστή από την καθημερινή χρήση.
  • Περιορίστε την εκτέλεση μακροεντολών, τους διερμηνείς σεναρίων και τα μη υπογεγραμμένα δυαδικά αρχεία μέσω πολιτικής ομάδας, καταχώρισης σε λίστα επιτρεπόμενων εφαρμογών και ελεγχόμενης πρόσβασης σε φακέλους.
  • Αναπτύξτε φιλτράρισμα ασφαλείας email: συνημμένα σε περιβάλλον δοκιμών, ελέγξτε συνδέσμους και επισημάνετε ύποπτους τύπους αρχείων ή πλαστογραφημένους τομείς αποστολέα.
  • Απενεργοποιήστε την αυτόματη εκτέλεση σε αφαιρούμενα μέσα και σαρώστε τις συσκευές USB πριν από τη σύνδεση.
  • Απαιτείται πολυπαραγοντικός έλεγχος ταυτότητας (MFA) για απομακρυσμένη πρόσβαση, κονσόλες διαχειριστή και διεπαφές διαχείρισης αντιγράφων ασφαλείας.

Μαθήματα Μακροπρόθεσμης Διάρκειας

Το DeadLock ενισχύει ένα επαναλαμβανόμενο θέμα σε όλες τις οικογένειες ransomware: οι εισβολείς δεν χρειάζονται exploits αιχμής εάν οι τελικοί χρήστες κατεβάζουν συστηματικά εργαλεία που έχουν παραβιαστεί, ανοίγουν μη επαληθευμένα συνημμένα ή περιηγούνται σε μη αξιόπιστα δίκτυα διαφημίσεων. Οι βασικές τεχνικές ασφαλείας, η πειθαρχία στις ενημερώσεις κώδικα, οι έλεγχοι πρόσβασης, τα παρακολουθούμενα αντίγραφα ασφαλείας και η ευαισθητοποίηση των χρηστών, μετατρέπουν μια πιθανή κρίση σε ένα ανακτήσιμο συμβάν. Επενδύστε σε αυτές τις άμυνες τώρα. Το κόστος είναι πολύ χαμηλότερο από ένα λύτρο που καταβάλλεται υπό πίεση.

Τελικές Σκέψεις

Η ανθεκτικότητα σε ransomware χτίζεται πολύ πριν μια επίθεση χτυπήσει την οθόνη σας. Κατανοώντας πώς λειτουργεί το DeadLock και εφαρμόζοντας πολυεπίπεδα προληπτικά και ανακτητικά μέτρα ελέγχου, τοποθετείτε τον εαυτό σας σε θέση να αντιμετωπίσει αυτήν την απειλή και άλλες παρόμοιες. Παραμείνετε επιφυλακτικοί απέναντι σε οτιδήποτε δεν αναζητήσατε ή επαληθεύσατε σκόπιμα. Η επαγρύπνησή σας είναι η πρώτη και συχνά η καλύτερη γραμμή άμυνας.

Μηνύματα

Τα ακόλουθα μηνύματα που σχετίζονται με το DeadLock Ransomware βρέθηκαν:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,851
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...