Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware NeZha Ransomware

NeZha Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:

Το ransomware παραμένει μια από τις πιο ανατρεπτικές απειλές που αντιμετωπίζουν άτομα και οργανισμοί. Μία μόνο επιτυχημένη εισβολή μπορεί να σταματήσει τις λειτουργίες, να καταστρέψει ή να εξαλείψει ευαίσθητα δεδομένα και να πυροδοτήσει δαπανηρές προσπάθειες ανάκτησης. Η δημιουργία ισχυρών, πολυεπίπεδων αμυντικών συστημάτων πριν από ένα περιστατικό είναι ο μόνος αξιόπιστος τρόπος για την ελαχιστοποίηση των επιπτώσεων όταν, και όχι αν, οι εισβολείς δοκιμάσουν την τύχη τους.

Επισκόπηση απειλών

Οι ερευνητές έχουν εντοπίσει ένα εξελιγμένο στέλεχος που ονομάζεται NeZha ransomware. Όπως και άλλες οικογένειες σε αυτήν την κατηγορία, ο βασικός στόχος του NeZha είναι απλός: η κρυπτογράφηση όσο το δυνατόν περισσότερων αρχείων και στη συνέχεια η εξαναγκαστική πληρωμή για ένα κλειδί αποκρυπτογράφησης. Οι χειριστές του τοποθετούνται ως η μόνη οδός για την αποκατάσταση και εντείνουν την πίεση με χρονικά όρια και απειλές διαρροής δεδομένων.

Συμπεριφορά συστήματος και αλλαγές αρχείων

Μόλις το NeZha αποκτήσει πρόσβαση, ξεκινά την κρυπτογράφηση δεδομένων χρηστών και επιχειρήσεων σε κοινές τοποθεσίες. Κατά τη διάρκεια της κρυπτογράφησης, μετονομάζει επίσης στοιχεία προσθέτοντας ένα αναγνωριστικό συγκεκριμένο για το θύμα και την επέκταση '.NeZha'. Σε παρατηρούμενες περιπτώσεις, τα ονόματα αρχείων αποκτούν ένα αναγνωριστικό τύπου GUID. Για παράδειγμα, ένα αβλαβές αρχείο όπως το '1.png' έχει παρατηρηθεί να μετατρέπεται σε ένα όνομα παρόμοιο με το '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha.' Αφού ολοκληρώσει το πέρασμα του, το NeZha αφήνει ένα σημείωμα λύτρων με τίτλο 'README.TXT' στους επηρεαζόμενους καταλόγους.

Σημείωμα λύτρων και τακτικές πίεσης

Το σημείωμα υποστηρίζει ότι οι βάσεις δεδομένων, τα έγγραφα, οι φωτογραφίες και άλλα αρχεία είναι κρυπτογραφημένα και ότι η αγορά ενός κλειδιού αποκρυπτογράφησης από τους εισβολείς είναι η μόνη λύση. Για να χτίσουν αξιοπιστία, οι εγκληματίες συχνά προσφέρουν να αποκρυπτογραφήσουν ένα μη κρίσιμο αρχείο δωρεάν. Προειδοποιούν κατά της τροποποίησης κλειδωμένων αρχείων, της χρήσης αποκρυπτογραφητών τρίτων ή της αναζήτησης εξωτερικής βοήθειας, ισχυριζόμενοι ότι αυτό θα αυξήσει τις απώλειες. Ορίζεται προθεσμία 24 ωρών για την αρχική επαφή. Εάν χαθεί, οι χειριστές απειλούν να διαρρεύσουν ή να πουλήσουν ευαίσθητα εταιρικά δεδομένα που ισχυρίζονται ότι έχουν κλέψει, ένα παράδειγμα «διπλού εκβιασμού».

Η πραγματικότητα της ανάκαμψης και το δίλημμα πληρωμής

Τεχνικά, τα περισσότερα σύγχρονα ransomware δεν μπορούν να αποκρυπτογραφηθούν χωρίς τα ιδιωτικά κλειδιά των εισβολέων, εκτός εάν το κακόβουλο λογισμικό είναι σοβαρά ελαττωματικό, κάτι που είναι ασυνήθιστο. Η πληρωμή, ωστόσο, είναι επικίνδυνη και αποθαρρύνεται: πολλά θύματα δεν λαμβάνουν ποτέ λειτουργικά αποκρυπτογραφικά εργαλεία ακόμη και μετά τη μεταφορά χρημάτων, και η πληρωμή στηρίζει εγκληματική δραστηριότητα. Η ασφαλέστερη οδός είναι να βασίζεστε σε καθαρά, εκτός σύνδεσης αντίγραφα ασφαλείας και σε επίσημη απόκριση σε περιστατικά.

Περιορισμός και απομάκρυνση

Η κατάργηση του NeZha σταματά την περαιτέρω κρυπτογράφηση, αλλά δεν ξεκλειδώνει τα ήδη επηρεασμένα αρχεία. Οι προτεραιότητες θα πρέπει να είναι η απομόνωση των μολυσμένων συστημάτων από το δίκτυο, η διατήρηση αποδεικτικών στοιχείων για εγκληματολογική έρευνα, η εξάλειψη του κακόβουλου λογισμικού χρησιμοποιώντας αξιόπιστα εργαλεία ή μια καθαρή ανακατασκευή και, στη συνέχεια, η επαναφορά από γνωστά και καλά αντίγραφα ασφαλείας. Εάν υποψιάζεστε ότι υπάρχει διαρροή δεδομένων, ενεργοποιήστε το σχέδιο αντιμετώπισης παραβίασης και λάβετε υπόψη τις νομικές, κανονιστικές και τις υποχρεώσεις ειδοποίησης πελατών.

Πώς εξαπλώνεται συνήθως το NeZha

Το NeZha ακολουθεί το παράδειγμα πολλών καμπανιών ransomware, αξιοποιώντας μεθόδους παράδοσης που βασίζονται τόσο στον χρήστη όσο και στον εισβολέα. Οι εισβολείς μπορούν να μεταμφιέσουν τα ωφέλιμα φορτία ως νόμιμο περιεχόμενο ή να τα εισάγουν λαθραία σε πακέτα λογισμικού και στη συνέχεια να ενεργοποιήσουν την εκτέλεση όταν ανοιχτεί ένα αρχείο ή εκτελεστεί ένα σενάριο. Ορισμένες παραλλαγές μπορούν επίσης να διαδοθούν πλευρικά σε τοπικά δίκτυα ή να αντιγραφούν σε αφαιρούμενα μέσα.

Κοινά διανύσματα παράδοσης

  • Ηλεκτρονικό "ψάρεμα" (phishing) και κοινωνική μηχανική που οδηγούν στο άνοιγμα συνημμένων που έχουν παγιδευτεί (Office/OneNote/PDF), σεναρίων (JavaScript), αρχείων (ZIP/RAR) ή εκτελέσιμων αρχείων (.exe/.run).
  • Εγκαταστάτες, φορτωτές και backdoors με Trojan που εισβάλλουν ransomware ως δεύτερο στάδιο.
  • Λήψεις από παραπλανητικές ιστοσελίδες (drive-by) και παραπλανητικές λήψεις από παραβιασμένους ή κακόβουλους ιστότοπους.
  • Μη αξιόπιστες πηγές λήψης (δωρεάν πύλες, καθρέφτες τρίτων, δίκτυα P2P).
  • Καμπάνιες ανεπιθύμητης αλληλογραφίας, διαδικτυακές απάτες και κακόβουλη διαφήμιση που ανακατευθύνουν σε payloads.
  • Παράνομα εργαλεία ενεργοποίησης («cracks»), πειρατικό λογισμικό/μέσα και ψεύτικες προτροπές ενημέρωσης.
  • Αυτοδιασπορά μέσω τοπικών δικτύων και αφαιρούμενων μέσων αποθήκευσης (μονάδες USB, εξωτερικοί σκληροί δίσκοι).

Τελικές σκέψεις

Το NeZha ταιριάζει στο σύγχρονο πρότυπο ransomware: γρήγορη κρυπτογράφηση, ισχυρός καταναγκασμός και αξιόπιστες απειλές έκθεσης δεδομένων. Η καλύτερη μόχλευση αποκτάται πριν από ένα περιστατικό, μέσω αυστηρής υγιεινής, πολυεπίπεδων ελέγχων, δοκιμασμένων αντιγράφων ασφαλείας και πρακτικής απόκρισης. Συνδυάστε τις τεχνικές διασφαλίσεις με την εκπαίδευση των χρηστών και τις πειθαρχημένες λειτουργίες για να μειώσετε τόσο την πιθανότητα όσο και την ακτίνα έκρηξης μιας επίθεσης NeZha.

Μηνύματα

Τα ακόλουθα μηνύματα που σχετίζονται με το NeZha Ransomware βρέθηκαν:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,998
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...