RestoreMyData-kiristysohjelma
Haittaohjelmakampanjat kehittyvät jatkuvasti, ja kiristysohjelmat ovat edelleen yksi vahingollisimmista uhkista käyttäjille ja kaikenkokoisille organisaatioille. Yksikin onnistunut tunkeutuminen voi pysäyttää toiminnan, vioittaa varmuuskopioita, laukaista tietovuotojen kiristyksen ja johtaa pitkiin ja kalliisiin palautumisprosesseihin. Ennakoiva puolustus ja kurinalainen reagointi ovat ratkaisevassa roolissa hyökkäyksen säteen rajoittamisessa silloin, kun hyökkäys tapahtuu, ei jos se tapahtuu.
Sisällysluettelo
Mikä on RestoreMyData-kiristysohjelma?
RestoreMyData lukitsee uhrien tiedot ja kiristää heiltä lunnaita. Tämä kiristysohjelmatyyppi tunnistettiin meneillään olevien uhkienetsintätutkimusten aikana. Kuten muutkin nykyaikaiset ohjelmaperheet, se salaa tiedostoja ja vaatii maksua salauksen purkutyökalusta, samalla kun se väittää vuotavansa arkaluonteisia yritystietoja painostaakseen uhreja julkisilla vuodoilla.
Miten hyökkäys etenee
Saatuaan jalansijaa, usein sosiaalisen manipuloinnin, haitallisten latausten tai toissijaisten haittaohjelmien avulla, kiristysohjelma suorittaa salausrutiininsa. Jokaisen tiedostonimen loppuun lisätään '.restoremydata.pw'. Esimerkiksi '1.png' muuttuu muotoon '1.png.restoremydata.pw' ja '2.pdf' muotoon '2.pdf.restoremydata.pw'. Kun salaus on valmis, haittaohjelma jättää lunnasvaatimuksen nimeltä 'HOW_TO_RECOVERY_FILES.txt'. Viesti on selvästi suunnattu yrityksille eikä kotikäyttäjille ja varoittaa, että toiminta on vaarassa, tiedostoihin ei pääse käsiksi ilman hyökkääjien apua ja varastetut yritystiedot julkaistaan, jos vaatimuksia ei noudateta.
Lunnaiden sisällä Huomautus: Taktiikat ja paine
Viestissä väitetään, että vain hyökkääjillä on ainutlaatuinen salauksenpurkuavain ja että muille uhreille käytetyt salauksenpurkuohjelmat eivät toimi. Viestissä varoitetaan salattujen tiedostojen muokkaamisesta peruuttamattomien vahinkojen välttämiseksi. "Salauksenpurun todisteena" operaattorit tarjoavat palauttaa yhden testitiedoston, tyypillisesti enintään 2 Mt, eivätkä kriittisen resurssin, kuten tietokannan, varmuuskopion tai suuren laskentataulukon, palauttamista. Tämä on yleinen sosiaalisen manipuloinnin tekniikka, jolla pyritään rakentamaan uskottavuutta ja ohjaamaan uhreja maksamaan.
Lunnaiden maksaminen: Riskit ja realiteetit
Useimmissa tapauksissa nykyaikaisten kiristysohjelmien lukitsemien tiedostojen salauksen purkaminen ei ole mahdollista ilman hyökkääjän avaimia. Maksaminen ei kuitenkaan takaa palautumista; uhrit raportoivat usein, etteivät saaneet mitään hyödyllistä varojen siirron jälkeen. Maksaminen myös ruokkii rikollista ekosysteemiä. Puolusteltava toimintatapa on välttää maksamista, keskittyä hävittämiseen ja palauttaa tiedostot puhtaista varmuuskopioista.
Pysyvyys, sivuttaisliike ja leviäminen
Alkuperäisen tartunnan lisäksi jotkin uhat yrittävät liikkua sivusuunnassa paikallisten verkkojen läpi, väärinkäyttää hallintatyökaluja, kerätä tunnistetietoja ja levitä irrotettavien tallennusvälineiden (USB-asemat, ulkoiset levyt) kautta. RestoreMyDatan tulisi olettaa kykenevän hyödyntämään ekosysteemissä käytettyjä samankaltaisia tekniikoita, mikä tarkoittaa, että eristämisen nopeus on ratkaisevan tärkeää, kun indikaattoreita havaitaan.
Alkuperäinen käyttöoikeus ja toimituskanavat
Kiristysohjelmien ylläpitäjät käyttävät tuttuja levitysreittejä: tietojenkalastelusähköposteja ja -viestejä, joissa on ansoja sisältäviä liitteitä tai linkkejä, troijalaisia ja latausohjelmia, jotka pudottavat hyötytiedostoja myöhemmin, tahattomia latauksia vaarantuneilta sivustoilta, ilmaisohjelmistoportaaleja ja P2P-verkkoja uudelleenpakattujen asennusohjelmien kanssa, haitallista mainostamista, väärennettyjä päivityksiä ja "crack"-työkaluja. Haitallinen sisältö on usein naamioitu arkistoiksi (ZIP/RAR), suoritettaviksi tiedostoiksi, PDF-tiedostoiksi, Office- tai OneNote-asiakirjoiksi, JavaScriptiksi ja muiksi; suorittaminen alkaa heti, kun käyttäjä avaa tai suorittaa tiedoston.
Hävittämis- ja toipumisstrategia
Eristä välittömästi verkosta järjestelmät, joihin salaus on vaikuttanut, estääksesi salauksen leviämisen ja tietojen vuotamisen. Suorita perusteellinen poisto käyttämällä hyvämaineisia ja täysin ajan tasalla olevia tietoturvatyökaluja. Ymmärrä, että poistaminen pysäyttää lisävahingot, mutta ei pura jo lukittujen tietojen salausta. Palautuksen tulisi tapahtua varmuuskopioista, joihin salaus ei ole jo vaikuttanut.
Lopputulos
RestoreMyData-kiristysohjelma on esimerkki nykypäivän kaksoiskiristyksen käsikirjasta: nopea salaus, ainutlaatuiset uhriavaimet, paineen alla olevat lunnasvaatimukset ja uhkaukset varastettujen tietojen vuotamisesta. Vältä maksamista aina kun mahdollista, poista haittaohjelma päättäväisesti ja luota kovettuneisiin, säännöllisesti testattuihin varmuuskopioihin tietojen palauttamiseksi. Organisaatiot, jotka yhdistävät kerroksellisen ehkäisyn, tiukan käyttöoikeuksien hallinnan, joustavat varmuuskopiot ja harjoitellun tapausten reagoinnin, parantavat merkittävästi mahdollisuuksiaan kestää tällaisia hyökkäyksiä.
Viestit
Seuraavat viestiin liittyvät RestoreMyData-kiristysohjelma löydettiin:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
