Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Lunavara NeZha lunavara

NeZha lunavara

Aastaks Mezo aastal Lunavara
Tõlgi:

Lunavara on endiselt üks häirivamaid ohte, millega üksikisikud ja organisatsioonid silmitsi seisavad. Üks edukas sissetung võib peatada tegevuse, rikkuda või välja filtreerida tundlikke andmeid ja käivitada kulukaid taastamistöid. Tugevate ja mitmekihiliste kaitsemehhanismide loomine enne intsidenti on ainus usaldusväärne viis mõju minimeerimiseks siis, kui ründajad ise õnne proovivad, mitte siis, kui nad seda teevad.

Ohu ülevaade

Teadlased on tuvastanud keeruka tüve nimega NeZha lunavara. Nagu teistelgi samasse kategooriasse kuuluvatel perekondadel, on ka NeZha põhieesmärk lihtne: krüpteerida võimalikult palju faile ja seejärel dekrüpteerimisvõtme eest raha välja nõuda. Selle operaatorid positsioneerivad end ainsa taastamisteena ning võimendavad survet ajapiirangute ja andmete lekkeohtudega.

Süsteemi käitumine ja failimuudatused

Kui NeZha on jalge alla saanud, hakkab see krüpteerima kasutaja- ja äriandmeid levinud asukohtades. Krüpteerimise ajal nimetab see ka üksusi ümber, lisades ohvrispetsiifilise identifikaatori ja laiendi „.NeZha”. Täheldatud juhtudel saavad failinimed GUID-laadse ID; näiteks on nähtud, et healoomuline fail, näiteks „1.png”, on teisendatud nimeks, mis sarnaneb nimega „1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha”. Pärast ülesande lõpetamist saadab NeZha kahjustatud kataloogidesse lunaraha nõudva teate pealkirjaga „README.TXT”.

Lunaraha ja surve taktika

Märkuses väidetakse, et andmebaasid, dokumendid, fotod ja muud failid on krüpteeritud ning ründajatelt dekrüpteerimisvõtme ostmine on ainus lahendus. Usaldusväärsuse suurendamiseks pakuvad kurjategijad sageli ühe mittekriitilise faili tasuta dekrüpteerimist. Nad hoiatavad lukustatud failide muutmise, kolmandate osapoolte dekrüpteerijate kasutamise või välise abi otsimise eest, väites, et see suurendab kahjusid. Esmase kontakti võtmiseks on seatud 24-tunnine tähtaeg; kui tähtaega ei järgita, ähvardavad operaatorid lekitada või müüa tundlikke ettevõtte andmeid, mida nad väidetavalt on välja filtreerinud, mis on näide „topeltväljapressimisest“.

Taastumise reaalsus ja makseraskused

Tehnilisest küljest ei saa enamikku tänapäevaseid lunavaraprogramme ilma ründajate privaatvõtmeteta dekrüpteerida, välja arvatud juhul, kui pahavara on tõsiselt vigane – see on haruldane stsenaarium. Maksmine on aga riskantne ja seda ei soovitata: paljud ohvrid ei saa isegi pärast raha ülekandmist toimivat dekrüpteerijat ning maksmine toetab kuritegelikku tegevust. Kindlam tee on loota puhastele, võrguühenduseta varukoopiatele ja ametlikule intsidendile reageerimisele.

Piiramine ja eemaldamine

NeZha eemaldamine peatab edasise krüpteerimise, kuid ei ava juba mõjutatud faile. Prioriteediks peaksid olema nakatunud süsteemide isoleerimine võrgust, tõendite säilitamine kohtuekspertiisi jaoks, pahavara likvideerimine usaldusväärsete tööriistade või puhta taastamise abil ning seejärel taastamine teadaolevatest toimivatest varukoopiatest. Kui kahtlustate andmete lekkimist, aktiveerige oma rikkumisele reageerimise plaan ja kaaluge juriidilisi, regulatiivseid ja klientide teavitamise kohustusi.

Kuidas NeZha tavaliselt levib

NeZha järgib paljude lunavaraprogrammide kampaaniate eeskuju, kasutades ära nii kasutajakeskseid kui ka ründajate endi edastusmeetodeid. Ründajad võivad varjata kasulikku sisu legitiimseks sisuks või smugeldada seda tarkvarapakettidesse ning seejärel käivitada selle faili avamisel või skripti käivitamisel. Mõned variandid võivad levida ka lateraalselt kohalikes võrkudes või kopeerida end eemaldatavale andmekandjale.

Levinud kohaletoimetamise vektorid

  • Andmepüük ja sotsiaalne manipuleerimine, mis viib lõksudega manuste (Office/OneNote/PDF), skriptide (JavaScript), arhiivide (ZIP/RAR) või käivitatavate failide (.exe/.run) avamiseni.
  • Trooja nakatatud installijad, laadijad ja tagauksed, mis teise etapina lunavara sisse tõmbavad.
  • Ohustatud või pahatahtlikelt saitidelt pärit eksitavad ja petlikud allalaadimised.
  • Ebausaldusväärsed allalaadimisallikad (tasuta tarkvaraportaalid, kolmandate osapoolte peeglid, P2P-võrgud).
  • Rämpspostikampaaniad, veebipettused ja pahavara, mis suunavad kasutajaid ümber kasulikele koormustele.
  • Ebaseaduslikud aktiveerimistööriistad („crackid“), piraattarkvara/meedia ja võltsitud värskendusviibad.
  • Ise levib kohalike võrkude ja eemaldatava salvestusruumi (USB-draivid, välised kõvakettad) kaudu.

Lõppmõtted

NeZha sobib tänapäevase lunavara rünnaku mudeliga: kiire krüptimine, tugev sundmeetod ja usutavad andmete lekkimise ohud. Parima mõjuvõimu saate saavutada enne intsidenti range hügieeni, kihiliste kontrollimeetmete, testitud varukoopiate ja harjutatud reageerimise abil. Kombineerige tehnilised kaitsemeetmed kasutajate koolitamise ja distsiplineeritud tegevusega, et vähendada nii NeZha rünnaku tõenäosust kui ka ulatust.

Sõnumid

Leiti järgmised NeZha lunavara-ga seotud teated:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Trendikas

Enim vaadatud

Laadimine...