Bash 2.0 lunavara
Lunavara on endiselt üks häirivamaid ohte, millega üksikisikud ja organisatsioonid silmitsi seisavad. Üks edukas sissetung võib teie failid segi paisata, äritegevuse peatada ja tundlikud andmed väljapressijate meelevalda anda. Ennetav kaitse, kihiline turvakontroll, kasutajate valvsus ja usaldusväärsed varukoopiad on alati odavamad kui kurjategijatele maksmine (ja ikkagi andmete mittetagasi saamine). Bash 2.0 lunavara, mida jälgitakse ka kui Bash Red, on õigeaegne meeldetuletus, et uued perekonnad jätkavad tõestatud rünnakukoodi täiustamist, täiustades samal ajal oma survetaktikat ohvrite vastu.
Sisukord
TUTVU BASH 2.0-GA (BASH RED)
Teadlased tuvastasid Bash 2.0 uut pahavarategevust uurides. Oht põhineb Chaos lunavara koodibaasil, raamistikul, mida on korduvalt kasutatud mitmetes kõrvalsaadustes. Chaose ärakasutamine annab ründajatele eelise: põhikrüptimine, failide käsitlemine ja lunaraha nõudmise rutiinid on juba olemas ja neid saab uute kampaaniate jaoks kohandada. Bash 2.0 kasutab neid päritud võimalusi andmete lukustamiseks ja maksete väljapressimiseks.
MIS TEIE FAILIDEGA JUHTUB
Kui Bash 2.0 süsteemis käivitub, proovib see krüpteerida ligipääsetavaid andmeid. Iga kahjustatud fail saab neljast juhuslikust tähemärgist koosneva lisalaiendi, muutes näiteks faili „1.png” failiks „1.png.2rf9” (juhuslik järelliide varieerub olenevalt nakkusest). See ümbernimetamise tava aitab ründajatel (ja automatiseeritud tööriistadel) jälgida, mis on lukustatud, andes samal ajal ohvritele koheselt märku, et nende andmed pole enam kasutatavad. Lunavara muudab ka töölaua taustapilti, et väljapressimissõnumit visuaalselt rõhutada.
LUNARAHA SÕNUM: BASHRED-README.TXT
Pärast krüpteerimise lõpetamist saadab Bash 2.0 tekstisõnumi nimega „bashred-reAdmE.txt”. Sõnumis teavitatakse ohvrit, et failid on krüpteeritud, ja väidetakse, et ainus toimiv taastamistee on hankida ründajatelt unikaalne dekrüpteerimisvõti ja tarkvara. Ohvritele antakse juhised luua kontakt ja maksta; märkus hoiatab, et lukustatud andmete ümbernimetamine, muutmine või iseseisev dekrüpteerimine võib neid jäädavalt rikkuda. Taustapildi vahetus kajastab tavaliselt samu teemasid, suurendades kiireloomulisust.
KUI TÕELINE ON ANDMETE TAASTAMINE?
Enamiku lunavaraintsidentide puhul on dekrüpteerimine ilma ründajate koostööta tehniliselt teostamatu, kuna krüpteering on loodud krüptograafiliselt tugevaks. Ainult harvadel juhtudel, tavaliselt siis, kui pahavara autorid teevad tõsiseid rakendusvigu, on dekrüpteerimine võimalik ilma nende kaasamiseta. Isegi maksmine ei ole garanteeritud: ohvrid teatavad regulaarselt, et nad ei saa kunagi töötavaid tööriistu, saavad osalisi dekrüpteerijaid või puutuvad kokku rikutud võtmetega. Maksmine rahastab ka edasisi kuritegelikke operatsioone, mis võib muuta teid korduvaks sihtmärgiks. Nendel põhjustel ei soovita turvaspetsialistid tungivalt lunaraha nõudmist täita.
VERITSUSE PEATAMINE: EEMALDAMINE JA PIIRAMINE
Bash 2.0 eemaldamine nakatunud keskkonnast on oluline, et peatada täiendavate failide krüpteerimine ja ohu levik ühendatud süsteemidesse. Pahavara puhastamine aga ei dekrüpteeri juba lukustatud andmeid. Tõeline taastamine sõltub turvalistest, võrguühenduseta ja kahjustamata varukoopiatest. Enne taastamist isoleeri kahjustatud masinad võrgust, tee täielik pahavara skannimine ajakohaste tööriistadega ja taasta või loo uus kujutis, kui usaldusväärsust ei saa tagada. Taastatud süsteemid tuleb uuesti ühendada alles pärast nende puhtuse kontrollimist.
KUIDAS BASH 2.0 LEVIB LOODUSES
Ründajad heidavad laia võrgu. Lunavara kampaaniatega seotud ja Bash 2.0-ga seotud levinud levikuvektorid on järgmised:
- Pahatahtlikud manused või lingid, mis on edastatud rämpsposti, andmepüügi või sotsiaalmeedia platvormide kaudu.
- Komplekteeritud või troojalastega nakatunud installijad, mis esinevad legitiimse tarkvara, mängude, meediakoodekite või tööviljakusvahenditena.
- Ohustatud või pahatahtlike saitide kaudu käivitatud automaatsed allalaadimised, millele sageli jõutakse pahatahtliku reklaami teel.
- Kolmandate osapoolte, tasuta tarkvara ja võrdõigusvõrgu allalaadimiskanalid, millel on nõrgad terviklikkuse kontrollid.
- Ebaseaduslikud tarkvara "murdmised", võtmegeneraatorid ja võltsitud aktiveerimisutiliidid, mis edastavad märkamatult kasulikku lasti.
- Võltsvärskenduste viipad (brauseri, pistikprogrammi, operatsioonisüsteemi või rakenduse jaoks), mis installivad pahavara paranduste asemel.
Mõned ohuversioonid on võimelised külgliikumiseks või ise levima, püüdes läbida kohalikke võrke või kopeerida end eemaldatavale andmekandjale, näiteks USB-mälupulkadele ja välistele kõvaketastele.
PARIMAD TURVATAVAD KAITSE TUGEVDAMISEKS
- Hoidke versioonitud, võrguühenduseta ja regulaarselt testitud varukoopiaid. Hoidke vähemalt ühte varukoopiat võrguväliselt (eelistatavalt muutmatul salvestusruumil või ühekordselt kirjutataval andmekandjal).
- Hoidke operatsioonisüsteemid, rakendused, turvapaketid ja püsivara täielikult uuendatud. Lubage automaatsed uuendused, kui see on otstarbekas.
- Juurutage mainekaid pahavaravastaseid/EDR-lahendusi, mis tuvastavad käitumusliku lunavara ja pakuvad tagasipööramise võimalusi.
- Kasutage andmepüügiriski vähendamiseks meilide filtreerimist, manuste liivakastifunktsiooni ja linkide skannimist; koolitage kasutajaid tuvastama võltsitud saatjaid ja ootamatuid manuseid.
- Keelake või piirake makrosid ja aktiivset sisu dokumendivormingutes; avage soovimatud dokumendid kaitstud vaates.
- Töötage vähima privileegiga kasutajakontodega; reserveerige administraatori volitused spetsiaalsete ja turvatud seansside jaoks.
- Segmenteerige võrke ja rakendage juurdepääsukontrolle nii, et üks ohustatud lõpp-punkt ei saaks jõuda kõigi kriitiliste jagamisteni.
- Nõua mitmefaktorilist autentimist kaugjuurdepääsu, privilegeeritud toimingute ja varunduskonsoolide jaoks.
- Keela automaatne käivitamine/esitamine eemaldataval andmekandjal; skanni väliseid draive enne tootmissüsteemidele ühendamist.
LÕPPMÕTTED
Bash 2.0 lunavara näitab, kui kiiresti saavad ohutegijad olemasolevaid koodibaase uuteks väljapressimisvahenditeks ümber kujundada. Kaitsjad, kes toetuvad ainult signatuuripõhisele tuvastamisele või viimase hetke reageerimisele, jäävad ebasoodsasse olukorda. Distsiplineeritud varundusstrateegiate, tugeva plaastrihügieeni, kihiliste lõpp-punktide ja e-posti kaitsemeetmete, vähimõiguste disaini ja harjutatud reageerimisstrateegiate kombineerimise abil vähendate oluliselt nii lunavarajuhtumi tõenäosust kui ka mõju.
Sõnumid
Leiti järgmised Bash 2.0 lunavara-ga seotud teated:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
