RestoreMyData ransomware
Kampanje zlonamjernog softvera neprestano se razvijaju, a ransomware ostaje jedna od najštetnijih prijetnji za korisnike i organizacije svih veličina. Jedan uspješan upad može zaustaviti operacije, oštetiti sigurnosne kopije, pokrenuti iznudu zbog curenja podataka i nametnuti duge i skupe procese oporavka. Proaktivna obrana i disciplinirani odgovor igraju odlučujuću ulogu u ograničavanju radijusa eksplozije kada se napad dogodi, a ne ako se dogodi.
Sadržaj
Što je RestoreMyData Ransomware?
RestoreMyData zaključava podatke žrtava i iznuđuje im otkupninu. Ovaj soj ransomwarea identificiran je tijekom tekućih istraga o prijetnjama. Poput drugih suvremenih obitelji, šifrira datoteke i zahtijeva plaćanje za alat za dešifriranje, a istovremeno tvrdi da krade osjetljive poslovne podatke kako bi izvršili pritisak na žrtve javnim curenjem informacija.
Kako se napad odvija
Nakon što se učvrsti, često putem društvenog inženjeringa, zlonamjernih preuzimanja ili sekundarnog zlonamjernog softvera, ransomware izvršava svoju rutinu šifriranja. Svaki naziv pogođene datoteke mijenja se dodavanjem '.restoremydata.pw'. Na primjer, '1.png' postaje '1.png.restoremydata.pw', a '2.pdf' postaje '2.pdf.restoremydata.pw'. Kada je šifriranje završeno, zlonamjerni softver ostavlja poruku s zahtjevom za otkupninu pod nazivom 'HOW_TO_RECOVERY_FILES.txt'. Poruka je očito namijenjena tvrtkama, a ne kućnim korisnicima, upozoravajući da su operacije ugrožene, da su datoteke nedostupne bez pomoći napadača i da će ukradeni korporativni podaci biti objavljeni ako se zahtjevi ignoriraju.
Unutar poruke o otkupnini: Taktike i pritisak
U poruci se tvrdi da samo napadači imaju jedinstveni ključ za dešifriranje i da dešifrirači korišteni za druge žrtve neće raditi. Upozorava se da se ne mijenjaju šifrirane datoteke kako bi se izbjegla nepovratna šteta. Kao 'dokaz dešifriranja', operateri nude vraćanje jedne testne datoteke, obično do 2 MB, a ne kritične imovine poput baze podataka, sigurnosne kopije ili velike proračunske tablice. Ovo je uobičajena tehnika socijalnog inženjeringa osmišljena za izgradnju kredibiliteta i poticanje žrtava na plaćanje.
Plaćanje otkupnine: Rizici i stvarnost
U većini slučajeva, dešifriranje datoteka zaključanih modernim ransomwareom nije izvedivo bez ključeva napadača. Međutim, plaćanje ne jamči oporavak; žrtve često prijavljuju da nisu primile ništa korisno nakon prijenosa sredstava. Plaćanje također potiče kriminalni ekosustav. Obranivi put je izbjegavanje plaćanja, fokusiranje na iskorjenjivanje i vraćanje iz čistih sigurnosnih kopija.
Upornost, lateralno kretanje i širenje
Osim početnog kompromitiranja, neke prijetnje pokušavaju se kretati lateralno preko lokalnih mreža, zloupotrebljavaju administratorske alate, prikupljaju vjerodajnice i šire se putem prijenosnih medija (USB pogona, vanjskih diskova). Treba pretpostaviti da je RestoreMyData sposoban iskoristiti slične tehnike viđene u ekosustavu, što znači da je brzina obuzdavanja ključna nakon što se otkriju indikatori.
Početni pristup i kanali isporuke
Operateri ransomwarea oslanjaju se na dobro uhodane distribucijske putove: phishing e-poruke i poruke s prilozima ili poveznicama koje su zamke, trojanci i programi za učitavanje koji kasnije ispuštaju korisne podatke, drive-by preuzimanja s kompromitiranih web-mjesta, portali besplatnog softvera i P2P mreže s prepakiranim instalacijskim programima, zlonamjerno oglašavanje, lažna ažuriranja i alati za 'crack'. Zlonamjerni sadržaj često je maskiran kao arhive (ZIP/RAR), izvršne datoteke, PDF-ovi, Office ili OneNote dokumenti, JavaScript i drugo; izvršavanje počinje u trenutku kada korisnik otvori ili pokrene datoteku.
Strategija iskorjenjivanja i oporavka
Odmah izolirajte pogođene sustave od mreže kako biste zaustavili širenje enkripcije i krađu podataka. Izvršite temeljito uklanjanje koristeći pouzdane, potpuno ažurirane sigurnosne alate. Imajte na umu da uklanjanje zaustavlja daljnju štetu, ali ne dešifrira već zaključane podatke. Oporavak bi trebao proizaći iz sigurnosnih kopija koje već nisu pogođene.
Zaključak
RestoreMyData Ransomware primjer je današnjeg sustava dvostruke iznude: brza enkripcija, jedinstveni ključevi žrtve, zahtjevi za otkupninom pod visokim pritiskom i prijetnje curenjem ukradenih podataka. Izbjegavajte plaćanje kad god je to moguće, odlučno uklonite zlonamjerni softver i oslanjajte se na ojačane, redovito testirane sigurnosne kopije za oporavak. Organizacije koje kombiniraju slojevitu prevenciju, strogu kontrolu privilegija, otporne sigurnosne kopije i uvježban odgovor na incidente značajno poboljšavaju svoje šanse da izdrže ovu vrstu napada.
Poruke
Pronađene su sljedeće poruke povezane s RestoreMyData ransomware:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
