Keylock Ransomware
Klahvilukk on tuvastatud lunavaraohuna. Lunavara on teatud tüüpi ähvardav tarkvara, mis krüpteerib ohvri failid, muudab need kättesaamatuks ja nõuab seejärel dekrüpteerimisvõtme eest lunaraha. Keylocki puhul krüpteerib see kahjustav tarkvara ohustatud seadmetes asuvad failid ja lisab nende failide failinimedele eraldi laienduse "keylock". Näiteks kui faili algne nimi oli '1.jpg', muudetakse see pärast krüpteerimisprotsessi '1.jpg.keylock'iks ja see nimetamisviis kehtib kõikidele mõjutatud failidele.
Peale selle, kui krüpteerimisprotsess on lõpule viidud, genereerib Keylock ohustatud seadmele lunarahateate, mis on tavaliselt pealkirjaga „README-id-[kasutajanimi].txt”. See lunarahateatis toimib suhtluskanalina ründajate ja ohvri vahel, pakkudes juhiseid lunaraha maksmiseks ja võimalikuks dekrüpteerimisvõtme saamiseks.
Lisaks väärib märkimist, et Keylock mitte ainult ei krüpti faile ega loo lunaraha, vaid muudab ka ohvri töölaua taustapilti. See muudatus tehakse sageli selleks, et tugevdada lunavara olemasolu ja olukorra kiireloomulisust, survestades ohvrit ründajate nõudmisi täitma.
Sisukord
Võtmeluku lunavara püüab oma ohvritelt raha välja pressida
Keylock Ransomware'i töölaua taustapildi eesmärk on suunata need tekstifaili, mis sisaldab peamist lunarahateadet. Selles failis sisalduv lunarahateatis annab selgesõnaliselt teada, et ohvri failid on krüptimise kaudu ligipääsmatuks muudetud. Hämmastavam on vihje, et ründajad on ohvri andmed välja imbunud, tekitades muret andmete võimaliku kokkupuute või väärkasutuse pärast.
Oma krüptitud andmetele juurdepääsu taastamiseks teavitatakse ohvrit, et ta peab hankima ainulaadse dekrüpteerimisvõtme, mis on ainult ründajate valduses. Selle üliolulise dekrüpteerimistööriista omandamise meetod hõlmab lunaraha maksmist, kuigi konkreetset summat ei avalikustata. Ründajad kinnitavad, et aktsepteerivad ainult Bitcoini krüptovaluutat kasutades tehtud makseid.
Ohvritele antakse küberkurjategijatega kontakti loomiseks piiratud 72-tunnine ajavahemik. Kui sellest üliolulisest tähtajast kinni ei peeta, ähvardavad kurjategijad võtta kasutusele drastilisemad toimingud, mis võivad hõlmata kogutud ohvri andmete lekitamist või müüki. Küberkurjategijad pakuvad kuni kolme lukustatud faili tasuta dekrüpteerimist eeldusel, et need ei ületa 2MB ega sisalda üliväärtuslikku infot.
Lisaks annab lunarahateatis ranged hoiatused krüptitud failide ümbernimetamise, muutmise või kustutamise katsete, käsitsi dekrüpteerimise või kolmanda osapoole taastetarkvara või viirusetõrjetööriistade kasutamise eest. Neid tegevusi ei soovitata, kuna need võivad põhjustada pöördumatut andmekao, mis süvendab lunavararünnaku niigi kohutavaid tagajärgi.
Olulised turvameetmed, mida oma seadmetes rakendada
Tugevate turvameetmete rakendamine oma seadmetes on nende kaitsmiseks pahavaraohtude eest ülioluline. Siin on viis olulist turvameedet, mida kaaluda:
- Kasutage pahavaratõrjetarkvara : installige oma seadmetesse hea mainega pahavaratõrjetarkvara. Need programmid suudavad tuvastada ja eemaldada erinevat tüüpi pahavara, sealhulgas viirused, nuhkvara ja lunavara. Hoidke viirusetõrjetarkvara värskendatud, et see suudaks tuvastada uusimad ohud.
- Struktureeritud tarkvaravärskendused : hoidke oma operatsioonisüsteem ja kogu installitud tarkvara ajakohasena. Pahavara kasutab sageli ära aegunud tarkvara turvaauke. Tootjad annavad nende haavatavuste parandamiseks välja turvapaigad ja värskendused, seega on nende värskenduste regulaarne rakendamine hädavajalik.
- Tulemüüri kaitse : lubage oma seadmes tulemüür. Tulemüürid toimivad barjäärina teie seadme ja võimalike Interneti-ohtude vahel. Nad võivad blokeerida volitamata juurdepääsu ja sissetuleva pahatahtliku liikluse. Paljud operatsioonisüsteemid on varustatud sisseehitatud tulemüüridega, mida saab lubada.
- Kasutajate teadlikkus ja ohutu sirvimise tavad : õpetage ennast ja oma kasutajaid (kui see on kohaldatav) ohutute veebipõhiste tavade kohta. Vältige failidele juurdepääsu ega ebausaldusväärsetest allikatest pärinevate linkide klõpsamist. Olge e-kirjade manuste ja linkidega ettevaatlik ning ärge kunagi jagage isiklikku teavet tundmatute või kahtlaste veebisaitidega.
- Varundamine ja andmete taastamine : varundage regulaarselt oma andmeid välis- või pilvmällu. Kui kogete pahavararünnakut, saate oma failid tagasi tuua ilma lunaraha maksmata või olulist teavet kaotamata. Veenduge, et varukoopiaid tehakse automaatselt ja need salvestatakse turvaliselt.
Lisaks neile viiele olulisele turvameetmele on väga oluline olla tarkvara allalaadimisel ja installimisel ettevaatlik, eriti kontrollimata allikatest. Pidage meeles andmepüügikatseid ja soovimatuid e-kirju ning ärge avage manuseid ega klõpsake linke, kui te pole kindel nende õiguspärasuses. Samuti kaaluge avalikele WiFi-võrkudele juurdepääsul virtuaalse privaatvõrgu (VPN) kasutamist, et kaitsta oma andmeid võimaliku pealtkuulamise eest.
Keylock Ransomware loodud lunarahateate täistekst on järgmine:
'YOUR FILES ARE ENCRYPTED
Teie failid on tugevate krüpteerimisalgoritmidega krüptitud ja muudetud ning neil on nüüd laiend "keylock"!
Faili struktuur ei olnud kahjustatud. Ärge muretsege, teie unikaalne krüpteerimisvõti on meie serveris turvaliselt salvestatud ja teie andmeid saab kiiresti ja turvaliselt dekrüpteerida.
Garanteerime, et saate kõik oma andmed hõlpsalt taastada.Anname teile täielikud juhised. Ja aitab teid, kuni dekrüpteerimisprotsess on täielikult lõppenud.
Saame tõestada, et suudame kõik teie andmed dekrüpteerida. Palun saatke meile 3 mitteolulist, väikest (~2 MB) krüptitud faili, mis salvestatakse juhuslikult teie serverisse. Lisage igasse kausta ka meie poolt jäetud fail README-id.txt.
Me dekrüpteerime need failid ja saadame need teile tõestuseks. Pange tähele, et tasuta testdekrüpteerimiseks mõeldud failid ei tohiks sisaldada väärtuslikku teavet.
Kui te ei alusta meiega dialoogi 72 tunni jooksul, oleme sunnitud teie failid avalikult avaldama. Teie kliente ja partnereid teavitatakse andmelekkest.
Nii saab teie maine rikutud. Kui te ei reageeri, oleme sunnitud kasumi teenimiseks müüma huvitatud isikutele kõige olulisemat teavet, nagu andmebaasid ja isikuandmed.
See on lihtsalt äri.
Me ei hooli sinust ja teie tehingutest, välja arvatud eeliste saamine.Kui me oma tööd ja kohustusi ei täida - keegi ei tee meiega koostööd. See ei ole meie huvides.
Kui soovite oma faile dekrüpteerida, peate maksma Bitcoinides.
Kui soovite seda olukorda lahendada, lisage kirjale see fail README-id.txt ja kirjutage KÕIGILE neile kahele meiliaadressile:võtmehoidja@onionmail.org
keybranch@mailfence.com
Võite meile ka Telegramis sõnumeid saata: hxxps://t.me/key_chain
TÄHTIS!
Soovitame agentide ülemaksmise vältimiseks meiega otse ühendust võtta. Teie andmed on krüptitud ja ainult MEIE OLEME omame dekrüpteerimisvõtit. Andmete dekrüpteerimiseks kulub pärast maksmist kõigest 1 tund, mitte rohkem kui.
Palume saata oma sõnum KÕIGILE meie kahele e-posti aadressile ja Telegramile, kuna erinevatel põhjustel ei pruugita teie e-kirja kohale toimetada.
Meie kirja võidakse tunnistada rämpspostiks, seega kontrollige kindlasti rämpsposti kausta.
Kui me ei vasta teile 24 tunni jooksul, kirjutage meile teiselt meiliaadressilt.
Palun ärge raisake aega, see toob teie ettevõttele kaasa vaid täiendava kahju.
Palun ärge nimetage faile ise ümber ja proovige neid dekrüpteerida. Me ei saa teid aidata, kui faile muudetakse.
Kui proovite oma andmete taastamiseks või viirusetõrjelahenduste taastamiseks kasutada mis tahes kolmanda osapoole tarkvara, tehke kõikidest krüptitud failidest varukoopia.
Kui kustutate praegusest arvutist krüptitud failid, ei pruugi teil olla võimalik neid dekrüpteerida.
Töölaua taustapildina kuvatav teade on järgmine:
Find README-id.txt and follow the instruction.'
