Monen lisenssin alennustarjous
Uhatietokanta Ransomware DeadLock-kiristysohjelma

DeadLock-kiristysohjelma

Vuonna Mezo vuonna Ransomware
Käännä:

Nykyaikaiset kiristysohjelmakampanjat on suunniteltu tarkoituksella muuttamaan henkilökohtaiset tai organisaatiosi tiedot eduksi. Kun kriittiset tiedostot on salattu, hyökkääjillä on kaikki kortit hallussaan, ellet ole valmistautunut etukäteen. Vahva tietoturva, kerrostetut puolustusmekanismit ja joustavat varmuuskopiointistrategiat vähentävät merkittävästi todennäköisyyttä, että yksittäinen haitallinen liite, murrettu asennusohjelma tai luvaton lataus johtaa liiketoiminnan häiriöihin tai pysyvään tietojen menetykseen. DeadLock-kiristysohjelma on hyvä esimerkki siitä, miksi nämä perusasiat ovat tärkeitä.

Mikä erottaa DeadLockin muista

DeadLock on tiedostoja salaavien kiristyshaittaohjelmien perhe, joka merkitsee jokaisen uhrin yksilöllisellä tunnisteella. Hyökkäyksen aikana se sekoittaa käyttäjätiedot ja nimeää jokaisen salatun tiedoston uudelleen liittämällä uhrin tunnuksen ja '.dlock'-päätteen alkuperäiseen tiedostonimeen. Esimerkiksi: '1.png' muuttuu muotoon '1.png.F8C6A8.dlock' ja '2.pdf' muuttuu muotoon '2.pdf.F8C6A8.dlock'. Tätä tunnusta käytetään koko kiristysprosessin ajan uhrin jäljittämiseen ja maksujen yhdistämiseen salauksenpurkuavaimiin. DeadLock lähettää myös lunnasvaatimuksen, jonka tiedostonimessä on sama tunniste (esim. "READ ME.F8C6A8.txt"), ja vaihtaa työpöydän taustakuvan vahvistaakseen, että järjestelmä on vaarantunut.

Lunnas-huomautuksen sisällä

Muistiinpanossa esitetään useita keskeisiä seikkoja, joiden tarkoituksena on ohjata uhrin seuraavia toimia. Siinä väitetään, että salattuja tiedostoja ei voida palauttaa ilman "yksilöllistä salauksenpurkuavainta", joka on vain hyökkääjillä. Uhreja kehotetaan asentamaan yksityisyyteen keskittyvä istuntoviestin ja ottamaan yhteyttä käyttämällä annettua istuntotunnusta (joka jälleen yhdistää tiedostonimiin upotetun uhrin tunnuksen). Hyökkääjät pyytävät uhria lähettämään yhden salatun tiedoston ja "henkilökohtaisen avaimen" (heidän yksilöllisen tunnuksensa) vahvistusta varten. Tämä on yleinen taktiikka, jolla pyritään rakentamaan luottamusta purkamalla vaarattoman näytteen salaus.

Maksu- ja painostustaktiikat

DeadLock-operaattorit vaativat kryptovaluuttaa, tarkemmin sanottuna Bitcoinia tai Moneroa. He lupaavat, että maksun jälkeen he toimittavat toimivan salauksen purkajan. Kuten useimmissa kiristyshaittaohjelmien operaatioissa, ei ole olemassa täytäntöönpanokelpoista takuuta. Muistiinpanossa käytetään myös pelkoa itsenäisten palautusyritysten estämiseksi: se varoittaa uhreja nimeämästä salattuja tiedostoja uudelleen ja kokeilemasta kolmannen osapuolen salauksenpurkutyökaluja väittäen, että tällaiset toimet voisivat vioittaa tietoja pysyvästi tai nostaa palautuksen hintaa. Nämä varoitukset ovat osittain teknisiä (virheellinen käsittely voi todellakin vaikeuttaa palautusta) ja osittain psykologista painetta.

Salauksen purun todellisuustarkistus

Kokemukset kiristysohjelmista yleisesti ja operaattoreiden omat viestit tukevat karua totuutta: useimmissa tapauksissa DeadLock-salattujen tiedostojen salausta ei voida purkaa ilman hyökkääjien yhteistyötä ja työkaluja. Jäljelle jää kaksi realistista palautuspolkua: (1) sellaisten varmuuskopioiden käyttäminen, jotka olivat offline-tilassa, muualla, versioituina tai muuten haittaohjelmalla ei ollut käytettävissä hyökkäyksen aikaan; tai (2) lunnaiden maksaminen ja toivominen, että rikolliset kunnioittavat sopimusta. Maksaminen on riskialtista: hyökkääjät saattavat kadota, toimittaa rikkinäisen salauksen purkajan tai käyttää maksua signaalina siitä, että olet altis tulevalle kiristykselle. Aina kun mahdollista, luota vahingoittumattomiin varmuuskopioihin lunnaiden maksamisen sijaan.

Miksi täydellinen poisto on tärkeää

Vaikka salaus olisi valmis, kiristyshaittaohjelman jättäminen järjestelmään on vaarallista. Jäljelle jääneet komponentit voivat salata uudelleen juuri luodut tiedostot, kerätä tunnistetietoja, avata takaportteja tai yrittää siirtyä sivusuunnassa lähiverkossa. Haittaohjelman tuhoaminen, jota tukevat päätepisteiden skannaus, muistin tarkistus sekä ajoitettujen tehtävien, käynnistysmerkintöjen ja toimialueen ohjainten tarkastelu, on ratkaisevan tärkeää toistuvien vahinkojen estämiseksi.

Yleiset umpikujassa olevat tartuntavektorit

Hyökkääjät tarvitsevat aluksi jalansijan. Kiristyshaittaohjelmakampanjoita on yhdistetty useisiin jakelukanaviin, jotka hyödyntävät käyttäjien luottamusta, uteliaisuutta ja kustannussäästöjen oikoteitä:

  • Piratisti tai "murrettu" kaupallinen ohjelmisto, mukaan lukien paketoituja avaingeneraattoreita ja lisenssien ohitustyökaluja, jotka asentavat salaa haittaohjelmia.
  • Ohjelmistomurrot, avaingenit ja epäviralliset aktivaattorit, jotka on otettu warez- tai torrent-sivustoilta.
  • Haitalliset sähköpostiliitteet: ansoilla varustetut Word-asiakirjat (usein makroja käyttävät), PDF-tiedostot, ZIP-arkistot, skriptitiedostot tai suoritettavat hyötykuormat, jotka on naamioitu laskuiksi, lähetysilmoituksiksi tai kiireellisiksi henkilöstöhallinnon lomakkeiksi.
  • Haittamainokset, jotka ohjaavat käyttäjiä hyökkäyspaketteihin tai haitallisille lataussivuille.
  • Vertaisverkon jakamisalustat ja kolmannen osapuolen latauskeskukset, jotka pakkaavat asennusohjelmia uudelleen piilotettujen hyötykuormien kanssa.
  • Irrotettavat tallennusvälineet (esim. tartunnan saaneet USB-asemat), jotka käynnistyvät automaattisesti tai houkuttelevat käyttäjiä käynnistämään saastuneita tiedostoja.
  • Väärennetyt teknisen tuen portaalit, jotka painostavat käyttäjiä lataamaan "korjauksia" tai "päivityksiä", jotka todellisuudessa sisältävät kiristysohjelman latausohjelman.
  • Vaarantuneet lailliset verkkosivustot, joille on syötetty automaattisesti latauksia tai hyötykuormaa toimittavia injektoituja komentosarjoja.

Parhaat tietoturvakäytännöt puolustuksen vahvistamiseksi

Kerrostettu suojaus pienentää merkittävästi kiristysohjelmahyökkäyksen laajuutta. Alla on lueteltu priorisoidut puolustustoimenpiteet, jotka auttavat estämään DeadLockin ja vastaavien uhkien onnistumisen:

  • Pidä yllä luotettavia, offline-varmuuskopioita kriittisistä tiedoista.
  • Korjaa käyttöjärjestelmät, sovellukset ja laiteohjelmistot viipymättä, erityisesti alttiina olevat palvelut ja tuottavuuspaketit, jotka ovat alttiita makrojen tai hyökkäysten väärinkäytölle.
  • Käytä hyvämaineista päätelaitteiden suojausta/EDR:ää, jossa on käyttäytymiseen perustuva kiristysohjelmien tunnistus ja automaattinen eristäminen.
  • Pakota vähiten oikeuksia käyttävät käyttäjätilit käyttöön; poista paikallinen järjestelmänvalvoja käytöstä tarvittaessa; erota järjestelmänvalvojan tunnukset päivittäisestä käytöstä.
  • Rajoita makrojen suorittamista, komentosarjojen tulkkeja ja allekirjoittamattomia binääritiedostoja ryhmäkäytännön, sovellusten sallittujen luettelon ja hallittujen kansioiden käyttöoikeuksien avulla.
  • Ota käyttöön sähköpostin suojaussuodatus: hiekkalaatikon liitteet, tarkista linkit ja merkitse epäilyttävät tiedostotyypit tai väärennetyt lähettäjäverkkotunnukset.
  • Poista automaattinen käynnistys käytöstä irrotettavilla tallennusvälineillä ja tarkista USB-laitteet ennen niiden asentamista.
  • Vaadi monivaiheista todennusta (MFA) etäkäyttöön, hallintakonsoleihin ja varmuuskopioiden hallintakäyttöliittymiin.

Pitkäaikaiset oppitunnit

DeadLock vahvistaa kiristyshaittaohjelmaperheissä toistuvaa teemaa: hyökkääjät eivät tarvitse huippuluokan hyökkäysmenetelmiä, jos loppukäyttäjät lataavat rutiininomaisesti murrettuja työkaluja, avaavat vahvistamattomia liitteitä tai selaavat epäluotettavia mainosverkostoja. Perustietoturvatekniikat, korjauspäivitysten kurinpito, käyttöoikeuksien hallinta, valvotut varmuuskopiot ja käyttäjien tietoisuus muuttavat mahdollisen kriisin korjattavissa olevaksi tapahtumaksi. Investoi näihin puolustuskeinoihin nyt; kustannukset ovat paljon pienemmät kuin paineen alla maksetut lunnaat.

Loppusanat

Kiristysohjelmien torjuntakyky rakennetaan jo kauan ennen kuin hyökkäys osuu näyttöösi. Ymmärtämällä DeadLockin toiminnan ja ottamalla käyttöön monitasoisia ennaltaehkäiseviä ja palautumiskeinoja, asemoit itsesi kestämään tämän ja muut vastaavat uhat. Suhtaudu skeptisesti kaikkeen, mitä et ole tarkoituksella etsinyt tai varmistanut. Valppautesi on ensimmäinen ja usein paras puolustuslinja.

Viestit

Seuraavat viestiin liittyvät DeadLock-kiristysohjelma löydettiin:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Trendaavat

Eniten katsottu

Ladataan...