RestoreMyData lunavara
Pahavara kampaaniad arenevad pidevalt ja lunavara on endiselt üks kahjulikumaid ohte igas suuruses kasutajatele ja organisatsioonidele. Üks edukas sissetung võib peatada toimingud, rikkuda varukoopiaid, käivitada andmete lekkeid põhjustava väljapressimise ning kaasa tuua pikki ja kulukaid taastamisprotsesse. Ennetav kaitse ja distsiplineeritud reageerimine mängivad otsustavat rolli rünnaku ulatuse piiramisel siis, kui rünnak toimub, mitte siis, kui see toimub.
Sisukord
Mis on RestoreMyData lunavara?
RestoreMyData lukustab ohvrite andmed ja nõuab neilt lunaraha. See lunavara tüvi tuvastati käimasolevate ohtude otsimise uurimiste käigus. Nagu teisedki kaasaegsed perekonnad, krüpteerib see faile ja nõuab dekrüpteerimisvahendi eest tasu, väites samal ajal, et emigreerib tundlikke äriandmeid, et avaldada ohvritele avalike lekete abil survet.
Kuidas rünnak lahti rullub
Pärast jalgealuse saavutamist, sageli sotsiaalse manipuleerimise, pahatahtlike allalaadimiste või teisese pahavara kaudu, käivitab lunavara oma krüpteerimisrutiini. Iga mõjutatud failinime muudetakse, lisades sellele laiendi „.restoremydata.pw”. Näiteks „1.png” saab nimeks „1.png.restoremydata.pw” ja „2.pdf” saab nimeks „2.pdf.restoremydata.pw”. Kui krüpteerimine on lõppenud, saadab pahavara lunaraha nõudva teate nimega „HOW_TO_RECOVERY_FILES.txt”. Teade on selgelt suunatud ettevõtetele, mitte kodukasutajatele, hoiatades, et operatsioonid on ohus, failidele ei pääse ligi ilma ründajate abita ja varastatud ettevõtte andmed avaldatakse, kui nõudmisi eiratakse.
Lunaraha sees Märkus: Taktika ja surve
Sõnumis väidetakse, et ainult ründajatel on ainulaadne dekrüpteerimisvõti ja et teiste ohvrite jaoks kasutatavad dekrüpteerijad ei tööta. See hoiatab krüpteeritud failide muutmise eest, et vältida pöördumatut kahju. „Dekrüpteerimise tõendina“ pakuvad operaatorid ühe testfaili, tavaliselt kuni 2 MB, taastamist, mitte kriitilist vara, näiteks andmebaasi, varukoopiat või suurt arvutustabelit. See on levinud sotsiaalse manipuleerimise tehnika, mille eesmärk on suurendada usaldusväärsust ja veenda ohvreid maksma.
Lunaraha maksmine: riskid ja tegelikkus
Enamasti pole tänapäevase lunavara poolt lukustatud failide dekrüpteerimine ründaja võtmeteta teostatav. Maksmine ei garanteeri aga failide taastamist; ohvrid teatavad sageli, et nad ei ole pärast raha ülekandmist midagi kasulikku saanud. Maksmine õhutab ka kuritegelikku ökosüsteemi. Kaitstav lahendus on vältida maksmist, keskenduda hävitamisele ja taastada failid puhastest varukoopiatest.
Püsivus, külgmine liikumine ja levik
Lisaks esialgsele kompromiteerimisele üritavad mõned ohud liikuda horisontaalselt läbi kohalike võrkude, kuritarvitada haldustööriistu, koguda mandaate ja levida eemaldatavate andmekandjate (USB-draivid, välised kettad) kaudu. Eeldatakse, et RestoreMyData on võimeline kasutama ökosüsteemis kasutatavaid sarnaseid tehnikaid, mis tähendab, et ohu ohjeldamise kiirus on kriitilise tähtsusega, kui ohuindikaatorid on avastatud.
Esialgne juurdepääs ja edastuskanalid
Lunavara levitajad kasutavad äratuntavaid levikuteid: õngitsuskirju ja sõnumeid lõksudega manuste või linkidega, troojalasi ja laadureid, mis hiljem sisu saadavad, juhuslikke allalaadimisi ohustatud saitidelt, vabavara portaale ja P2P-võrke ümberpakendatud installifailidega, pahavara levitamist, võltsitud värskendusi ja kräkkimistööriistu. Pahatahtlik sisu on sageli maskeeritud arhiividena (ZIP/RAR), käivitatavate failidena, PDF-failidena, Office'i või OneNote'i dokumentidena, JavaScriptina ja muuna; käivitamine algab hetkel, mil kasutaja faili avab või käivitab.
Hävitamise ja taastamise strateegia
Isoleerige mõjutatud süsteemid viivitamatult võrgust, et peatada krüptimise levik ja andmete lekkimine. Tehke põhjalik eemaldamine, kasutades usaldusväärseid ja täielikult ajakohaseid turvatööriistu. Pidage meeles, et eemaldamine peatab edasise kahju, kuid ei dekrüpteeri juba lukustatud andmeid. Taastamiseks tuleks kasutada varukoopiaid, mida pole veel mõjutatud.
Lõppkokkuvõttes
RestoreMyData lunavara on näide tänapäevasest topeltväljapressimise käsiraamatust: kiire krüptimine, unikaalsed ohvrivõtmed, surve all olevad lunarahanõuded ja ähvardused varastatud andmete lekitamiseks. Vältige maksmist igal võimalusel, eemaldage pahavara otsustavalt ja tuginege taastamiseks tugevdatud, regulaarselt testitud varukoopiatele. Organisatsioonid, mis ühendavad kihilise ennetamise, range privileegide kontrolli, vastupidavad varukoopiad ja harjutatud intsidentidele reageerimise, parandavad oluliselt oma võimalusi seda tüüpi rünnakutele vastu seista.
Sõnumid
Leiti järgmised RestoreMyData lunavara-ga seotud teated:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
