Solara lunavara

Solara on hiljuti täheldatud lunavara tüvi, mis teadlaste sõnul põhineb avalikult levitatud Chaose perekonna koodil. Selline lunavara nagu Solara krüpteerib kasutajafailid, nõuab tasu ja võib jäädavalt häirida juurdepääsu olulistele andmetele, seega on seadmete ja varukoopiate kaitsmine hädavajalik.

MIDA SOLARA TEEB

Analüüsi käigus täheldati, et Solara krüpteerib faile ja lisab failinimedele tekstistringi '.solara' (näiteks '1.png' → '1.png.solara'). Pahavara saadab ka lunaraha nõudva teate nimega 'read_it.txt', mis väidab, et ohver käivitas 'pragunemisvastase' kaitse ja juhendab ohvreid hankima veebipõhiselt tegutsejalt dekrüpteerimistööriista. Mitmed kirjutised ja näidisanalüüsid seovad Solara Chaose lunavara perekonnaga ja kirjeldavad sarnast käitumist (krüpteerimine, laienduse asendamine ja lihttekstiga lunaraha nõudv teade).

LUNAMÄÄRUS JA MAKSENÕUDED

Analüütikute poolt uuritud lunarahasõnumis väidetakse, et failide taastamine on ründaja dekrüpteerimistööriistata „peaaegu võimatu”. Märkuses antakse ohvritele juhised võtta ühendust Discordi kasutajaga (xenqxd) ja pakutakse välja maksevõimalusi, näiteks Paysafecard (Poolas) või väike summa Bitcoini. Märkimisväärne on see, et mõnedes näidistes puuduvad olulised kontaktkanalid, mis võib viidata alaealisele või naljataolisele kampaaniale või operaatoritele, kes lihtsalt ei kavatse läbirääkimisi pidada. Suhtuge kõigisse sellistesse nõudmistesse äärmise kahtlustusega.

KAS SAAD FAILE TAAS TAAS MAKSMATA?

Üldiselt ei ole Chaose perekonna ohtude poolt krüpteeritud faile ilma korraliku dekrüpteerimisvõtmeta taastada. Kui teil on puhtad ja võrguühenduseta varukoopiad enne nakatumist, on nende taastamine kõige turvalisem soovitatav viis. Tasuline maksmine ei ole soovitatav, kuna kurjategijad ei paku sageli kasutatavaid dekrüpteerijaid ja raha maksmine soodustab kuritegelikku tegevust.

LEVINUD NAKKUSE VEKTORID

• Piraattarkvara, võtmegeneraatorid ja pahavaraga maskeeritud „krakitud” utiliidid.
• Pahatahtlikud e-posti manused ja lingid (Office'i makrod, skriptid, EXE-failid).
• Nakatunud reklaamid, ohustatud või mitteametlikud allalaadimissaidid, P2P/torrent-võrgud, USB-mälupulgad ja kolmandate osapoolte allalaadijad.

KOHE RAKENDATAVAD TEGEVUSED NAKKATUSEKAHTLUSE KORRAL

Isoleerige masin koheselt : katkestage ühendus võrkudega (juhtmega/WiFi) ja eemaldage kõik jagatud/võrgukettad, et peatada viiruse levik külgsuunas.

Säilita tõendeid : mälu või kohtuekspertiisi artefaktide kogumise ajal ära lülita seadet uuesti sisse, vaid jäädvusta selle asemel mälu- ja kettakujutised, kui sul on selleks võimalus, või helista intsidendireageerimisse.

Kasutage varukoopiaid : taastage andmed usaldusväärsetest varukoopiatest, kui pahavara on eemaldatud ja süsteemid uuesti üles ehitatud; ärge taastage varukoopiaid, mis võisid nakatumise ajal olla ühendatud.

Ärge makske enne, kui intsidentidele reageerimise meeskond on hinnanud kõiki võimalusi ja tagajärgi; makse toimimine ei ole garanteeritud ja see võib soodustada tulevasi rünnakuid.

PARIMAD TURVATAVAD

Hoidke igapäevastes toimingutes ajakohast ja mitmekihilist kaitset, mis hõlmab järgmisi tavasid:

Paranduste haldus : rakendage operatsioonisüsteemi ja rakenduste turvavärskendusi viivitamatult; paljud lunavara tüved kasutavad ära teadaolevaid ja parandatud haavatavusi.

Vähim privileegid ja kontohügieen : käivitage kasutajad mitte-administraatori kontodega, jõustage kaugjuurdepääsu ja privilegeeritud kontode jaoks tugev mitmefaktoriline autentimine ning jälgige ebatavalist sisselogimiskäitumist.

Varundusstrateegia : looge regulaarselt varukoopiaid ja hoidke neid võrgust eraldi. Lõppude lõpuks on varukoopiad kõige tõhusam taastamismeetod krüpteerimisrünnakute vastu.

Lõpp-punkti kaitse ja EDR : juurutage usaldusväärseid lõpp-punkti tuvastamise ja reageerimise lahendusi, mis suudavad tuvastada teostusanomaaliaid, blokeerida pahatahtlikke koormusi ja võimaldada kiiret ohjeldamist. Hoidke signatuurid ja telemeetria lubatud.

Kasutajate koolitamine ja andmepüügivastane võitlus : koolitage kasutajaid vältima kräkkide/võtmegeneraatorite kasutamist, kontrollima e-kirjade saatjaid ja linke ning suhtuma ootamatutesse manustesse kahtlustavalt. Simuleeritud andmepüügi- ja teadlikkuse tõstmise kampaaniad vähendavad inimlikku riskifaktorit.

Rakenduste juhtelemendid ja makrode piirangud : keelake Office'i makrod vaikimisi, blokeerige nende täitmine levinud kuritarvituskohtadest (nt %AppData%, ajutised kaustad) ja kasutage võimaluse korral rakenduste lubatud loendit.

LÕPPMÄRKUSED

Solara illustreerib avalikult kättesaadavate lunavara loomise programmidega seotud levinud riske: harud ja variandid levivad ning ründajad kohandavad pidevalt levitamismeetodeid, et sihtida konkreetseid kogukondi (aruannetes tuuakse tõenäoliste peibutusvahenditena esile mängufoorumid ja piraattarkvara kanalid). Parimad kaitsemeetmed on ennetamine, tugevad varukoopiad, kiire ohjeldamine ja koostöö koolitatud reageerimismeeskondadega, mitte lunaraha maksmine. Kui kahtlustate ohtu sattumist ja vajate samm-sammult puhastusabi, koguge näidisnäitajaid (failinimed, räsiväärtused, lunaraha märkuse tekst) ja konsulteerige ohjeldamise ja taastamise juhiste saamiseks usaldusväärse intsidentidele reageerimise pakkuja või oma turbepakkujaga.