REVRAC (Makop) kiristysohjelma
Kiristysohjelmien aiheuttama vaara on suurempi kuin koskaan. Tietomurtojen ja haittaohjelmahyökkäysten noustessa otsikoihin säännöllisesti, on erittäin tärkeää, että käyttäjät pysyvät valppaina ja omaksuvat vahvoja kyberturvallisuuskäytäntöjä. Yksi uusimmista uhkista on äskettäin tunnistettu REVRAC-kiristysohjelman variantti, joka on hienostunut ja erittäin vahingollinen Makop-kiristysohjelmaperheeseen kuuluva kanta. Tämä analyysi syventyy tämän uhan toimintaan, sen tartuntamenetelmiin ja tehokkaimpiin tapoihin puolustautua sitä vastaan.
Sisällysluettelo
Tuttu nimi vaarallisella twistillä
Vaikka REVRAC-nimistä kiristyshaittaohjelmaa on nähty aiemminkin, nykyinen variantti on täysin uusi ja vaarallinen kehitysaskel. Tämä versio on yhdistetty kiistatta Makop-kiristyshaittaohjelmien perheeseen, joka tunnetaan aggressiivisesta salauksestaan ja tuhoisista kyvyistään. Kun REVRAC suoritetaan kohdejärjestelmässä, se alkaa välittömästi salata käyttäjän tiedostoja, mukaan lukien asiakirjat, kuvat, tietokannat ja muut arvokkaat tiedot.
Tartunnan saaneet tiedostot nimetään uudelleen tietyn kaavan mukaisesti: alkuperäistä tiedostonimeä muutetaan siten, että se sisältää uhrin yksilöllisen tunnuksen, hyökkääjän sähköpostiosoitteen ja .REVRAC-tiedostopäätteen. Esimerkiksi tiedosto, kuten '1.png', nimetään uudelleen muotoon '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC'.
Tiedostojen lukitsemisen lisäksi kiristysohjelma muuttaa järjestelmän työpöydän taustakuvaa ja luo lunnasvaatimuksen nimeltä '+README-WARNING+.txt'. Tässä viestissä esitetään hyökkääjien vaatimukset ja varoitetaan kolmansien osapuolten työkalujen käytöstä tai tiedostojen uudelleennimeämisestä, jotka uhkaavat pysyvillä vaurioilla tai lisääntyneillä lunnasvaatimuksilla.
Lunnashuomautus: Kiristys tarkoituksella
REVRACin jälkeensä jättämän lunnasviestin tarkoituksena on pakottaa uhrit noudattamaan sääntöjä pelon ja kiireellisyyden avulla. Se kertoo käyttäjille, että heidän tiedostojaan ei voida palauttaa ilman yksilöllistä salausavainta, joka on vain hyökkääjillä. Uhreja kehotetaan ottamaan yhteyttä osoitteeseen 'onlybuy@cyberfear.com' ja antamaan henkilötunnuksensa sellaisena kuin se näkyy tiedostonimissä. Viestissä korostetaan, että luvattomat yritykset purkaa salattuja tietoja tai muokata niitä voivat johtaa peruuttamattomaan tietojen menetykseen.
Näistä väitteistä huolimatta kyberturvallisuusasiantuntijat suosittelevat vahvasti olemaan maksamatta lunnaita. Ei ole takeita siitä, että maksaminen johtaa tiedostojen palautumiseen, ja se vain ruokkii lisää rikollista toimintaa.
Miten REVRAC tartuttaa järjestelmiä
REVRAC-kiristyshaittaohjelma leviää useilla harhaanjohtavilla ja haitallisilla taktiikoilla. Yleisiä tartuntavektoreita ovat:
Väärennetyt ohjelmistoasentajat : Haittaohjelmat, jotka on naamioitu krakatuiksi ohjelmiksi, avaingeneraattoreiksi tai luvattomiksi aktivointityökaluiksi.
Tietojenkalasteluviestit : Viestit, jotka huijaavat käyttäjiä lataamaan haitallisia liitteitä tai napsauttamaan vaarallisia linkkejä.
Vaarantuneet verkkosivustot ja mainokset : Lailliselta näyttävät verkkosivustot tai mainokset, jotka asentavat salaa haittaohjelmia.
Irrotettavat tietovälineet ja verkon leviäminen : Tartunnat, jotka leviävät USB-asemien kautta tai sivusuunnassa toisiinsa kytkettyjen järjestelmien välillä.
Ohjelmistohaavoittuvuuksien hyödyntäminen : Laillisten ohjelmistojen korjaamattomien virheiden käyttäminen kiristysohjelmahyötykuorman käyttämiseen ja suorittamiseen.
Haittaohjelma on usein upotettu tiedostomuotoihin, kuten suoritettaviin tiedostoihin (.exe), dokumentteihin (.docx, .xls), skripteihin (.js, .vbs) tai arkistoihin (.zip, .rar).
Parhaat käytännöt kiristyshaittaohjelmien tartuntojen estämiseksi
Suojautuakseen uhilta, kuten REVRACilta, käyttäjien on omaksuttava monitasoinen ja ennakoiva kyberturvallisuuslähestymistapa. Joitakin tehokkaimpia tietoturvakäytäntöjä ovat:
- Pidä kaikki käyttöjärjestelmät, sovellukset ja tietoturvatyökalut täysin ajan tasalla.
- Käytä hyvämaineista virustorjunta- tai haittaohjelmien torjuntaratkaisua, jossa on reaaliaikainen suojaus.
- Poista makrot käytöstä tuntemattomista lähteistä peräisin olevissa Microsoft Office -tiedostoissa.
Yhteenveto: Pysy valppaana, pysy suojattuna
REVRAC-kiristyshaittaohjelma on voimakas esimerkki siitä, miten kiristyshaittaohjelmat kehittyvät jatkuvasti kohdennetuiksi ja vahingollisemmiksi. Sen yhteys Makop-perheeseen korostaa sen potentiaalia vakavaan vahinkoon. Oikeilla varotoimilla, ohjelmistohygieniasta käyttäjien koulutukseen ja varmuuskopiointirutiineihin, sekä yksilöt että organisaatiot voivat suojata tietojaan ja järjestelmiään joutumasta kyberrikollisten käsiin. Ennaltaehkäisy on edelleen tehokkain työkalu kiristyshaittaohjelmia vastaan.
Viestit
Seuraavat viestiin liittyvät REVRAC (Makop) kiristysohjelma löydettiin:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
