Monen lisenssin alennustarjous
Uhatietokanta Ransomware NeZha-kiristysohjelma

NeZha-kiristysohjelma

Vuonna Mezo vuonna Ransomware
Käännä:

Kiristysohjelmat ovat edelleen yksi häiritsevimmistä uhkista, joita yksilöt ja organisaatiot kohtaavat. Yksikin onnistunut tunkeutuminen voi pysäyttää toiminnan, vioittaa tai vuotaa arkaluonteisia tietoja ja käynnistää kalliita palautumistoimia. Vahvojen, monikerroksisten puolustusmekanismien rakentaminen ennen tapahtumaa on ainoa luotettava tapa minimoida vaikutukset silloin, kun hyökkääjät kokeilevat onneaan, ei jos he kokeilevat onneaan.

Uhkien yleiskatsaus

Tutkijat ovat tunnistaneet hienostuneen NeZha-kiristyshaittaohjelmakannan. Kuten muidenkin tämän luokan virusperheiden, NeZhan ydintavoite on yksinkertainen: salata mahdollisimman monta tiedostoa ja sitten pakottaa maksamaan salausavaimesta. Sen operaattorit asettavat itsensä ainoaksi keinoksi palauttaa tiedostot ja lisäävät painetta aikarajoituksilla ja tietovuotouhkilla.

Järjestelmän toiminta ja tiedostojen muutokset

Kun NeZha saa jalansijaa, se alkaa salata käyttäjä- ja yritystietoja yleisissä paikoissa. Salauksen aikana se myös nimeää kohteita uudelleen lisäämällä uhrikohtaisen tunnisteen ja '.NeZha'-päätteen. Havaituissa tapauksissa tiedostonimet saavat GUID-tyyppisen tunnuksen; esimerkiksi vaaraton tiedosto, kuten '1.png', on muutettu nimeksi, joka on samanlainen kuin '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha.' Suoritettuaan tehtävänsä NeZha pudottaa lunnasvaatimuksen nimeltä 'README.TXT' saastuneisiin hakemistoihin.

Lunnaslasku ja painostustaktiikat

Muistiinpanossa väitetään, että tietokannat, asiakirjat, valokuvat ja muut tiedostot on salattu ja että ainoa ratkaisu on ostaa salausavain hyökkääjiltä. Uskottavuuden rakentamiseksi rikolliset tarjoavat usein yhden ei-kriittisen tiedoston salauksen purkamista ilmaiseksi. He varoittavat lukittujen tiedostojen muokkaamisesta, kolmannen osapuolen salauksenpurkuohjelmien käyttämisestä tai ulkopuolisen avun hakemisesta väittäen, että tämä lisää tappioita. Ensimmäiselle yhteydenotolle asetetaan 24 tunnin määräaika; jos määräaikaa ei noudateta, operaattorit uhkaavat vuotaa tai myydä arkaluonteisia yritystietoja, jotka he väittävät varastaneensa, mikä on esimerkki "kaksoiskiristyksestä".

Elpymisen todellisuus ja maksuongelma

Teknisesti ottaen useimpien nykyaikaisten kiristysohjelmien salausta ei voida purkaa ilman hyökkääjien yksityisiä avaimia, ellei haittaohjelmassa ole vakavia virheitä, mikä on epätavallinen skenaario. Maksaminen on kuitenkin riskialtista ja sitä ei suositella: monet uhrit eivät koskaan saa toimivia salauksen purkajia edes varojen siirtämisen jälkeen, ja maksaminen ylläpitää rikollista toimintaa. Turvallisempi tapa on luottaa puhtaisiin, offline-varmuuskopioihin ja viralliseen tapausvasteeseen.

Suojaaminen ja poistaminen

NeZhan poistaminen pysäyttää lisäsalauksen, mutta ei avaa jo tartunnan saaneita tiedostoja. Ensisijaisina tavoitteina tulisi olla tartunnan saaneiden järjestelmien eristäminen verkosta, todisteiden säilyttäminen rikostutkintaa varten, haittaohjelman poistaminen hyvämaineisilla työkaluilla tai puhtaalla uudelleenrakennuksella ja sitten palauttaminen tunnetuista, toimivista varmuuskopioista. Jos epäilet tietojen vuotamista, aktivoi tietomurron torjuntasuunnitelmasi ja ota huomioon lakisääteiset, sääntelyyn liittyvät ja asiakkaille ilmoitusvelvollisuudet.

Miten NeZha tyypillisesti leviää

NeZha noudattaa monien kiristyshaittaohjelmakampanjoiden käsikirjaa hyödyntäen sekä käyttäjälähtöisiä että hyökkääjien lähtöisiä toimitusmenetelmiä. Hyökkääjät voivat naamioida hyötykuormia lailliseksi sisällöksi tai salakuljettaa niitä ohjelmistopaketteihin ja laukaista sitten suorituksen, kun tiedosto avataan tai komentosarja suoritetaan. Jotkin variantit voivat myös levitä sivusuunnassa paikallisissa verkoissa tai kopioida itsensä siirrettävälle medialle.

Yleisiä toimitusvektoreita

  • Tietojenkalastelu ja sosiaalinen manipulointi, joka johtaa ansoilla varustettujen liitetiedostojen (Office/OneNote/PDF), skriptien (JavaScript), arkistojen (ZIP/RAR) tai suoritettavien tiedostojen (.exe/.run) avaamiseen.
  • Troijalaiset asennusohjelmat, latausohjelmat ja takaportit, jotka vetävät sisään kiristysohjelmia toisessa vaiheessa.
  • Huijaavat ja harhaanjohtavat lataukset vaarantuneilta tai haitallisilta sivustoilta.
  • Epäluotettavat latauslähteet (ilmaisohjelmaportaalit, kolmannen osapuolen peilit, P2P-verkot).
  • Roskapostikampanjat, verkkohuijaukset ja haitallinen mainonta, joka ohjaa käyttäjät hyötykuviin.
  • Laittomat aktivointityökalut ("crackit"), piraattiohjelmistot/mediatiedostot ja väärennetyt päivityskehotteet.
  • Itselevitys lähiverkkojen ja irrotettavien tallennuslaitteiden (USB-asemat, ulkoiset kiintolevyt) kautta.

Loppusanat

NeZha sopii nykyaikaiseen kiristyshaittaohjelmien muottiin: nopea salaus, vahva pakottaminen ja uskottavat tietovuodon uhat. Paras etu saavutetaan ennen häiriötä tiukalla hygienialla, kerroksellisilla suojauksilla, testatuilla varmuuskopioilla ja harjoitellulla reagoinnilla. Yhdistä tekniset suojatoimet käyttäjien koulutukseen ja kurinalaiseen toimintaan vähentääksesi sekä NeZha-hyökkäyksen todennäköisyyttä että sen vaikutusaluetta.

Viestit

Seuraavat viestiin liittyvät NeZha-kiristysohjelma löydettiin:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Trendaavat

Eniten katsottu

Ladataan...