DeadLocki lunavara

Tänapäevased lunavarakampaaniad on loodud selleks, et teie isikuandmeid või organisatsiooniandmeid potentsiaalseks kasuks pöörata. Kui kriitilised failid on krüpteeritud, on ründajatel kõik kaardid käes, kui te pole selleks eelnevalt valmistunud. Tugev turvahügieen, kihiline kaitse ja vastupidavad varundusstrateegiad vähendavad oluliselt tõenäosust, et üks pahatahtlik manus, krüptitud installiprogramm või võltsallalaadimine põhjustab äritegevuse katkemist või jäädavat andmete kadu. DeadLocki lunavara on hea näide sellest, miks need põhialused on olulised.

Mis eristab DeadLocki teistest

DeadLock on faile krüpteerivate lunavarade perekond, mis märgistab iga ohvri unikaalse identifikaatoriga. Rünnaku ajal segab see kasutajaandmeid ja nimetab iga krüptitud faili ümber, lisades algsele failinimele ohvri ID ja laiendi '.dlock'. Näiteks: '1.png' saab '1.png.F8C6A8.dlock' ja '2.pdf' saab '2.pdf.F8C6A8.dlock'. Seda ID-d kasutatakse kogu väljapressimisprotsessi vältel ohvri jälgimiseks ja maksete sidumiseks dekrüpteerimisvõtmetega. DeadLock saadab ka lunarahanõude, mille failinimi sisaldab sama identifikaatorit (nt "READ ME.F8C6A8.txt") ja muudab töölaua taustapilti, et kinnitada süsteemi ohtu sattumist.

Lunaraha märkuse sees

Märkuses tuuakse välja mitu olulist punkti, mis peaksid ohvri järgmisi samme suunama. See väidab, et krüpteeritud faile ei saa taastada ilma „unikaalse dekrüpteerimisvõtmeta“, mis on ainult ründajatel. Ohvritele öeldakse, et nad peaksid installima privaatsusele keskenduva seansisõnumirakenduse ja võtma ühendust antud seansi ID abil (mis jällegi viitab failinimedesse manustatud ohvri identifikaatorile). Ründajad paluvad ohvril saata kontrollimiseks ühe krüpteeritud faili ja „isikliku võtme“ (nende unikaalse ID). See on levinud taktika, mille eesmärk on luua usaldust ohutu näidise dekrüpteerimise teel.

Makse- ja survetaktika

DeadLocki operaatorid nõuavad krüptovaluutat, täpsemalt Bitcoini või Monerot. Nad lubavad, et pärast makse sooritamist edastavad nad toimiva dekrüpteerija. Nagu enamiku lunavaraoperatsioonide puhul, puudub ka siin jõustatav garantii. Märkus kasutab hirmu ka iseseisvate taastamiskatsete takistamiseks: see hoiatab ohvreid krüptitud failide ümbernimetamise ja kolmandate osapoolte dekrüpteerimistööriistade proovimise eest, väites, et sellised tegevused võivad andmeid jäädavalt rikkuda või taastamise hinda tõsta. Need hoiatused on osaliselt tehnilised (ebaõige käsitsemine võib taastamist tõepoolest raskendada) ja osaliselt psühholoogilise surve all.

Dekrüpteerimise reaalsuse kontroll

Üldiselt on nii lunavaraga seotud kogemus kui ka operaatorite endi sõnumid kinnitanud karmi tõde: enamasti ei saa DeadLocki abil segatud faile ilma ründajate koostöö ja tööriistadeta dekrüpteerida. Seega jääb kaks realistlikku taastamisteed: (1) töötada varukoopiatega, mis olid rünnaku ajal võrguühenduseta, väljaspool saiti, versioonitud või muul viisil pahavarale ligipääsmatud; või (2) maksta lunaraha ja loota, et kurjategijad kokkuleppest kinni peavad. Maksmine on riskantne: ründajad võivad kaduda, toimetada kohale katkise dekrüpteerija või kasutada makset signaalina, et olete tulevaste väljapressimiste jaoks pehme sihtmärk. Võimaluse korral toetuge lunaraha maksmise asemel kahjustamata varukoopiatele.

Miks on täielik eemaldamine oluline?

Isegi pärast krüpteerimise lõppu on lunavara süsteemi jätmine ohtlik. Järelejäänud komponendid võivad uuesti krüpteerida äsjaloodud faile, koguda volitusi, avada tagauksi või proovida liikuda horisontaalselt üle kohaliku võrgu. Hävitamine koos lõpp-punktide skaneerimise, mälu kontrollimise ning ajastatud ülesannete, käivituskirjete ja domeenikontrollerite ülevaatamisega on korduva kahju vältimiseks ülioluline.

Levinud ummikseisu nakkusvektorid

Ründajad vajavad esialgu tugipunkti. Lunavara kampaaniaid on seostatud mitmete levituskanalitega, mis kasutavad ära kasutajate usaldust, uudishimu ja kulude kokkuhoiu otseteid:

• Piraat- või „krüptitud” kommertstarkvara, sh komplektis olevad võtmegeneraatorid ja litsentsi möödahiilimise tööriistad, mis salaja pahavara installivad.
• Tarkvarakrõksud, võtmegeneraatorid ja mitteametlikud aktivaatorid, mis on tõmmatud warez-i või torrentisaitidelt.
• Pahatahtlikud e-posti manused: lõksudega varustatud Wordi dokumendid (sageli makrotoega), PDF-failid, ZIP-arhiivid, skriptifailid või käivitatavad failid, mis on maskeeritud arveteks, saatelehtedeks või kiireloomulisteks personalitöö vormideks.
• Pahatahtlik reklaam (malvertising), mis suunab kasutajad ümber rünnakukomplektidele või petturlikele allalaadimislehtedele.
• Võrdõigusvõrgu jagamisplatvormid ja kolmandate osapoolte allalaadimiskeskused, mis pakendavad installifaile ümber peidetud kasuliku sisuga.
• Eemaldatavad andmekandjad (nt nakatunud USB-draivid), mis käivituvad automaatselt või ahvatlevad kasutajaid saastunud faile käivitama.
• Võltsitud tehnilise toe portaalid, mis survestavad kasutajaid alla laadima lunavaralaadurit sisaldavaid „parandusi” või „värskendusi”.
• Ohustatud legitiimsed veebisaidid, millele on lisatud automaatselt allalaaditavaid faile või sisestatud skripte, mis edastavad sisu.

Parimad turvapraktikad oma kaitse tugevdamiseks

Kihiline turvalisus vähendab järsult lunavarajuhtumi levikuulamisraadiust. Allpool on toodud prioriteetsed kaitsemeetmed, mis aitavad vältida DeadLocki ja sarnaste ohtude õnnestumist:

• Hoidke kriitiliste andmete usaldusväärseid ja võrguühenduseta varukoopiaid.
• Parandage operatsioonisüsteeme, rakendusi ja püsivara viivitamatult, eriti haavatavaid teenuseid ja tootlikkuse pakette, mis on altid makro- või ärakasutamise kuritarvitustele.
• Kasutage usaldusväärset lõpp-punkti kaitset/EDR-i koos käitumispõhise lunavara tuvastamise ja automaatse isoleerimisega.
• Jõustage vähima privileegiga kasutajakontod; keelake kohaliku administraatori õigused seal, kus need pole vajalikud; eraldage administraatori volitused igapäevasest kasutamisest.
• Piira makrode täitmist, skriptiinterpretaatoreid ja allkirjastamata binaarfaile rühmapoliitika, rakenduste lubatud loendi ja kontrollitud kaustadele juurdepääsu abil.
• Juurutage e-posti turvalisuse filtreerimine: liivakasti manused, kontrollige linke ja märgistage kahtlased failitüübid või võltsitud saatjadomeenid.
• Keelake eemaldataval andmekandjal automaatne käivitamine ja skannige USB-seadmeid enne ühendamist.
• Nõua kaugjuurdepääsu, administraatori konsoolide ja varundushaldusliideste jaoks mitmefaktorilist autentimist (MFA).

Pikaajalised õppetunnid

DeadLock kinnitab korduvat teemat lunavaratüüpide puhul: ründajad ei vaja tipptasemel ärakasutamisviise, kui lõppkasutajad laadivad rutiinselt alla krüptitud tööriistu, avavad kontrollimata manuseid või sirvivad ebausaldusväärseid reklaamivõrgustikke. Põhilised turvatehnikad, paranduste distsipliin, juurdepääsu kontroll, jälgitavad varukoopiad ja kasutajate teadlikkus muudavad potentsiaalse kriisi taastumisväärseks sündmuseks. Investeerige nendesse kaitsemeetmetesse juba praegu; hind on palju madalam kui surve all makstud lunaraha.

Lõppmõtted

Lunavara vastane kaitse luuakse ammu enne, kui rünnak teie ekraani tabab. Mõistes DeadLocki toimimist ja rakendades kihilisi ennetavaid ja taastamismeetmeid, positsioneerite end sellele ja teistele sarnastele ohtudele vastu seisma. Olge skeptiline kõige suhtes, mida te teadlikult ei otsinud ega kontrollinud. Teie valvsus on esimene ja sageli parim kaitseliin.