Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Lunavara RDAT lunavara

RDAT lunavara

Aastaks Mezo aastal Lunavara
Tõlgi:

Lunavara on endiselt üks kodukasutajate ja organisatsioonide ees seisvatest kõige häirivamatest ohtudest. Üksainus sissetung võib minutitega segi ajada dokumendid, fotod ja äriandmed ning seejärel ohvritelt juurdepääsu välja pressida. RDAT lunavara, mis on viljaka Dharma perekonna haru, näitab, miks on olulised mitmekihilised kaitsemehhanismid ja distsiplineeritud taastamisplaanid.

Ohuprofiil: RDAT lühidalt

Infoturbe teadlased tuvastasid RDATi tekkivate pahavarade laiaulatusliku ülevaate käigus. See on Dharma-variant, mis on spetsiaalselt loodud andmete väljapressimiseks: see krüpteerib faile ja survestab ohvreid dekrüpteerimise eest maksma. RDAT sihib nii kohalikke draive kui ka võrgus jagatud ressursse, vältides teadlikult kriitilisi süsteemifaile, et seade jääks käivitatavaks ja ohver saaks lunaraha märkmeid lugeda.

Mida ohvrid näevad

Kui RDAT käivitub, krüpteerib see laia valikut failitüüpe. Failinimesid muudetakse nii, et need sisaldaksid unikaalset ohvri ID-d, ründaja e-posti aadressi ja laiendit '.RDAT', näiteks:
1.png-st saab 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Järgnevad kaks lunaraha nõudvat märkust: hüpikaken, mis teatab, et failid on krüptitud, ja tekstifail nimega „DAT_INFO.txt” koos kontaktandmetega. Operaatorid pakuvad tõendina kuni kolme faili dekrüpteerimist (suuruse/vormingu piirangute kohaselt), hoiatades samal ajal, et kolmandate osapoolte tööriistade kasutamine või krüptitud andmete muutmine võib põhjustada püsivat kadu. Need taktikad on loodud usaldusväärsuse ja kiireloomulisuse suurendamiseks, mitte teie abistamiseks.

Kuidas RDAT püsib ja levib

RDAT pärib Dharma püsivuse ja taastamise vastase taktika. Pahavara kopeerib end kausta %LOCALAPPDATA%, registreerib automaatkäivituse kirjed kindlate käivitusvõtmete kaudu ja taaskäivitub pärast taaskäivitamist. Kiire taastamise blokeerimiseks kustutab see draivi varikoopiad. Enne krüpteerimist lõpetab see protsessid, mis võivad faile avatuna hoida (andmebaasid, dokumendilugerid jms), tagades maksimaalse katvuse. Samuti püüab see vältida juba teise lunavara poolt tabatud andmete „topeltkrüpteerimist“, kontrollides neid teadaoleva nimekirja alusel, mis on ebatäiuslik turvakontroll.

Sihtmärgi valik ja geopiirded

Pahavara kogub geograafilise asukoha andmeid, et hinnata, kas ohver on valmis maksma. Kui piirkond tundub majanduslikult või geopoliitilistel põhjustel ebasoodne, võib see krüpteerimise täielikult vahele jätta. Selline käitumine seisneb üksnes lunaraha maksimeerimises.

Miks maksmine on kaotav panus

Pärast lunavararünnakut on dekrüpteerimine ründajate võtmeteta tavaliselt võimatu, välja arvatud juhul, kui tüvel on tõsised vead. Isegi siis on maksmine riskantne: paljud ohvrid ei saa kunagi toimivaid dekrüpteerijaid. Maksmine rahastab ka rohkem rünnakuid. Vastutustundlik tee on pahavara hävitada, usaldusväärsetest varukoopiatest uuesti üles ehitada ja süsteemid tugevdada, et vältida kordumist.

Kinnitatud tarnekanalid

Dharma-perekonna sissetungid algavad sageli avatud või nõrgalt kaitstud kaugtöölaua protokolliga (RDP). Ründajad tuginevad toore jõu ja sõnastikurünnakutele ning võivad sisse pääsedes host-tulemüürid keelata. Lisaks RDP-le kasutab ökosüsteem andmepüüki ja sotsiaalset manipuleerimist, pahavara levitamist, ebausaldusväärseid tarkvaraallikaid, rämpsposti manuseid ja laadur-/tagaukstroojaid. Pahatahtlikke pakette saadetakse tavaliselt arhiividena (RAR/ZIP), käivitatavate failidena, skriptidena (sh JavaScript) ja dokumentidena (PDF, Office, OneNote). Teatud perekonnad levivad ka kohalike võrkude ja eemaldatavate andmekandjate kaudu.

Ohjeldamine ja taastamine

Edasise krüpteerimise peatamiseks kõrvaldage lunavara, kuid pidage meeles, et eemaldamine ei taasta lukustatud faile. Taastamiseks on vaja puhtaid ja versioonitud varukoopiaid. Põhiline on koopiate säilitamine mitmes asukohas ja meediumitüübil, sealhulgas võrguühenduseta salvestusruumis, kuhu pahavara ei pääse.

Lunavaraohtude levinud juurdepääsu- ja levikuvektorid on järgmised:

  • Avatud/nõrgad RDP-teenused, volituste lisamine ja jõhkra jõuga sisselogimised
  • Õngitsuskirjad, sotsiaalse manipuleerimise peibutised, rämpsposti manused ja lingid, pahavara levitamine, troojalastega nakatunud allalaadimised, automaatselt allalaaditavad failid, piraattarkvara ja „crackid”, võltsitud uuendajad ning laaduri/tagaukse kaudu nakatumised; levik LAN-i ja eemaldatavate USB-mäluseadmete kaudu.

Lõppkokkuvõttes

RDAT lunavara on distsiplineeritud ja kasumile orienteeritud Dharma variant: see püsib ka taaskäivituste ajal, kustutab taastepunkte, sihib nii kohalikke kui ka jagatud andmeid ning kasutab relvana survetaktikaid raha väljapressimiseks. Kõige usaldusväärsem viis vastupidavuse saavutamiseks on ennetav karastamine koos töökindlate, võrguühenduseta varunduste ja hästi harjutatud taastamisvõimalustega. Ärge makske; hävitage, taastage ja tugevdage kaitset, et vältida järgmist katset.

Sõnumid

Leiti järgmised RDAT lunavara-ga seotud teated:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

Trendikas

Enim vaadatud

Laadimine...