AntiHackeri lunavara

Isiku- ja äriandmete kaitsmine tänapäevaste pahavaraohtude eest pole enam valikuline, vaid operatiivne vajadus. Lunavara haldajad täiustavad pidevalt oma taktikaid, tööriistu ja sotsiaalse manipuleerimise skeeme, et maksimeerida häireid ja väljapressida makseid. Isegi väiksemad organisatsioonid ja kodukasutajad satuvad regulaarselt rünnaku alla ning taastumine võib olla keeruline või võimatu ilma ettevalmistuseta. Xoristide perekonda kuuluv AntiHacker Ransomware on just selline oht.

OHU ÜLEVAADE JA PÄRITOLU

AntiHacker on pahatahtlik programm, mille avastasid infoturbeuurijad ja mis liigitatakse Xorist lunavarade perekonda. Xoristi-põhised ohud on tavaliselt loodud raamistiku abil, mida ründajad saavad kohandada, muutes kuvatavat lunarahateadet, faililaiendit, keeleelemente ja muid parameetreid. AntiHacker järgib tuttavat Xoristi käsiraamatut: see krüpteerib ohvri andmed ja nõuab seejärel tasu väidetava dekrüpteerimisvõtme eest.

FAILIDE KRÜPTIMISE KÄITUMINE JA MÄRGISTAMINE

Kui AntiHacker süsteemi rikkub, otsib see kasutajatele ligipääsetavaid andmeid nii kohalikelt draividelt kui ka potentsiaalselt kaardistatud võrguasukohtadest. Sihikule võetakse lai valik failitüüpe: dokumendid, pildid, arhiivid, multimeediafailid ja muud väärtuslikud andmesalvestused. Iga krüptitud üksuse nimeks lisatakse algse failinime lõppu string '.antihacker2017'. Näiteks failist, mille algne nimi oli '1.png', saab '1.png.antihacker2017'; '2.pdf'-ist saab '2.pdf.antihacker2017'; ja see muster kordub kõigis töödeldud failides. Lisatud laiendusel on kaks eesmärki: see annab ohvrile visuaalselt märku rünnakust ja aitab lunavaral tuvastada, milliseid üksusi see on juba käsitlenud.

LUNAMÄRKUSED, HÜPIKAKVANDED JA TAUSTATUD SÕNUMID

Pärast krüpteerimisrutiini lõpetamist muudab AntiHacker ohvri töölaua taustapilti ja saadab lunaraha teate kahes paralleelses vormingus: hüpikaknas ja tekstifailis nimega „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” (vene keeles „KUIDAS FAILE DEKRÜPTIDA”). Hüpikaknas ja tekstifailis kuvatava sõnumi sisu on sama. Taustapildi variant sisaldab aga täiendavat sotsiaalse manipuleerimise keelt, mis väidetavalt õigustab rünnakut seetõttu, et kasutaja külastas teatud täiskasvanutele suunatud või ebaseaduslikke veebisaite. See häbistamise eesmärk on avaldada ohvritele survet kiiresti ja vaikselt maksta.

TÄHELEPANU KODEERIMISE KORRALDUS

Süsteemides, mis ei kasuta kirillitsa tähemärke, võib hüpikaknas kuvatav lunaraha tekst tunduda loetamatu jama. Seetõttu võivad ohvrid näha rikutud sõnumiakent, kuid leida loetavad juhised siiski tekstifailist. Ründajad jätavad sageli lokaliseerimisandmed tähelepanuta; kaitsjad saavad selliseid artefakte kasutada seotud intsidentide rühmitamiseks.

SUNNIMEHHAANIKAD: PEAMISED SISENEMIST PIIRANGUD JA OHUD

Lunaraha juhised ütlevad, et ohvrid peavad dekrüpteerimisvõtme saamiseks ründajatega ühendust võtma. Samuti kehtestavad need range piirangu: võtme sisestamiseks on lubatud ainult 50 katset, mille järel teates väidetakse, et krüpteeritud andmed lähevad jäädavalt kaotsi. Lisahoiatused kinnitavad, et turvatööriistade kasutamine, taaskäivitamine või masina sulgemine muudab failid dekrüpteerimatuks. Need hirmutamistaktikad on lunavara käsiraamatutes tavalised ja nende eesmärk on heidutada kasutajaid professionaalse abi otsimisest või turvaliste parandusmeetodite proovimisest.

MIKS ON LUNARAHA MAKSMINE RISKANTS?

Puudub garantii, et AntiHackeri (või mis tahes lunavara) taga olevad küberkurjategijad pakuvad pärast maksmist toimivat dekrüpteerimislahendust. Maksvad ohvrid ei saa sageli midagi, saavad katkise võtme või satuvad korduva väljapressimise sihtmärkideks. Maksmine rahastab ka käimasolevaid kuritegelikke operatsioone ja ergutab edasisi rünnakuid. Mõistlik on vältida maksmist igal võimalusel ja keskenduda teie kontrolli all olevatele taastamisviisidele.

TAASTUMISE REAALSUSED

AntiHackeri eemaldamine nakatunud süsteemist võib peatada edasise failide krüptimise, kuid see ei dekrüpteeri juba lukustatud andmeid. Kõige usaldusväärsem taastamisviis on kahjustatud failide puhaste koopiate taastamine varukoopiatest, mis olid isoleeritud, võrguühenduseta või muul viisil pahavara käeulatusest väljas. Kui toimivaid varukoopiaid pole, muutuvad andmete taastamise võimalused väga piiratuks.

PRIMAARSEID NAKKUSE VEKTOREID

Lunavara autorid tuginevad samale laiale leviku ökosüsteemile, mis toetab teisi pahavara kategooriaid. AntiHacker pole erand. Ründajad varjavad sageli kasulikke andmeid legitiimse tarkvarana või komplekteerivad neid krüptitud või piraatprogrammide, dokumentide või installiprogrammidega. Juba ainuüksi lõksus oleva faili avamine võib käivitada allalaadimis- või täitmisahela.

• Õngitsus- ja sotsiaalse manipuleerimise peibutised, mida edastatakse e-posti, privaatsõnumite või otsesõnumite teel, mis sisaldavad pahatahtlikke manuseid või manustatud linke.
• Ohtlikud või petturlikud allalaadimised, mis on algatatud ohustatud või pahatahtlikelt veebisaitidelt ilma kasutaja selge nõusolekuta.
• Trooja laadijad ja tagauksed, mis pärast sissetungimist vaikselt lunavara alla laadivad ja käivitavad.
• Ebausaldusväärsed allalaadimisallikad, näiteks tasuta tarkvara saidid, kolmandate osapoolte hostimislehed ja võrdõigusvõrgud (P2P).
• Veebipettused ja pahavarakampaaniad, mis suunavad kasutajad ümber rünnakukomplektide või petturlike programmide juurde.
• Ebaseaduslikud tarkvara aktiveerimise tööriistad („crackid” / võtmegeneraatorid) ja võltsitud tarkvarauuendused, mis installivad pahavara seaduslike paranduste asemel.
• Nakatumisahela käivitamiseks relvaks muudeti arhiivid (ZIP, RAR jne), käivitatavad failid (EXE, RUN jne), skriptifailid (nt JavaScript) ja dokumendivormingud (PDF, Microsoft Office, OneNote ja teised).

KAITSEVÄLJAKUTSUMISE STRATEEGIA ÜLEVAADE

Tõhus lunavaratõrje hõlmab inimesi, protsesse ja tehnoloogiat. Te ei saa loota ühele kaitsekontrollile; eeldage, et vähemalt üks kiht ebaõnnestub. Kombineerige kasutajate teadlikkus, tugevdatud konfiguratsioonid, ranged parandused, usaldusväärsed varundustavad ja tugevad tuvastamis-/reageerimisvõimalused, et vähendada nii AntiHackeri-tüüpi sissetungi tõenäosust kui ka mõju.

• Hoidke olulistest andmetest varukoopiaid.
• Hoidke operatsioonisüsteemid, rakendused ja turvatööriistad täielikult ajakohasena; rakendage parandusi viivitamatult, eriti kaugjuurdepääsu ja failide jagamise teenuste puhul.
• Kasutage mainekaid pahavaravastaseid / lõpp-punkti tuvastamise ja reageerimise (EDR) lahendusi, millel on käitumuslik lunavara tuvastamine ja automaatse tagasipööramise funktsioonid, kui need on toetatud.
• Jõustage vähimõigustega kasutajaõigused; tehke igapäevaseid ülesandeid mitte-administraatori kontode all ja piirake kirjutamisõigust jagatud andmesalvestustele.
• Segmenteeri võrgud ja piira külgmist liikumist; isoleeri varundushoidlad ja kriitilised serverid eraldi juurdepääsutasanditele.
• Nõua mitmefaktorilist autentimist (MFA) kaugsisselogimiste, privilegeeritud toimingute ja varundushalduskonsoolide jaoks.

JÄRELDUS

AntiHackeri lunavara näitab, kuidas ohutegelased kohandavad komplektpõhiseid tarkvaraperekondi, näiteks Xoristi, et luua võimsaid, piirkondlikult sihitud väljapressimisskeeme. Selle andmete krüptimine, failinimede sildistamine, mitmekeelsed lunarahateatised ja sunniviisilised sõnumid on kõik loodud maksete suunamiseks. Kõige tugevamaks vastumeetmeks jääb aga ettevalmistus: isoleeritud varukoopiad, kihiline kaitse, informeeritud kasutajad ja distsiplineeritud reageerimisplaan. Organisatsioonid ja üksikisikud, kes investeerivad nendesse kaitsemeetmetesse, saavad potentsiaalselt katastroofilise lunavarajuhtumi muuta taastatavaks intsidendiks.