Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware DeadLock zsarolóvírus

DeadLock zsarolóvírus

Mezo -ra Ransomware-ben
Fordítás ide:

A modern zsarolóvírus-kampányok célja, hogy személyes vagy szervezeti adatait előnyhöz juttassák. Miután a kritikus fájlok titkosítva vannak, a támadók kezében van az összes kártya, kivéve, ha előre felkészült. Az erős biztonsági higiénia, a rétegzett védelem és a rugalmas biztonsági mentési stratégiák drámaian csökkentik annak az esélyét, hogy egyetlen rosszindulatú melléklet, feltört telepítő vagy illegális letöltés üzleti zavarokhoz vagy végleges adatvesztéshez vezetjen. A DeadLock zsarolóvírus jó példa arra, hogy miért fontosak ezek az alapok.

Mi különbözteti meg a DeadLockot a többitől?

A DeadLock egy fájltitkosító zsarolóvírus-család, amely minden áldozatot egyedi azonosítóval lát el. Támadás során összekeveri a felhasználói adatokat, és átnevezi az egyes titkosított fájlokat úgy, hogy az eredeti fájlnévhez hozzáfűzi az áldozat azonosítóját és a '.dlock' kiterjesztést. Például: az '1.png'-ből '1.png.F8C6A8.dlock' lesz, a '2.pdf'-ből pedig '2.pdf.F8C6A8.dlock'. Ezt az azonosítót a zsarolási folyamat során használják az áldozat nyomon követésére és a kifizetések visszafejtési kulcsokhoz kötésére. A DeadLock egy váltságdíjat kérő üzenetet is küld, amelynek fájlneve tartalmazza ugyanazt az azonosítót (pl. "OLVASS EL.F8C6A8.txt"), és megváltoztatja az asztali háttérképet, hogy megerősítse, hogy a rendszert feltörték.

A váltságdíjjegyzet belsejében

A jegyzet számos kulcsfontosságú pontot fogalmaz meg, amelyek célja, hogy irányítsák az áldozat következő lépéseit. Azt állítja, hogy a titkosított fájlok nem állíthatók vissza egy „egyedi visszafejtési kulcs” nélkül, amellyel csak a támadók rendelkeznek. Az áldozatokat arra kérik, hogy telepítsék az adatvédelemre összpontosító munkamenet-üzenetküldőt, és a megadott munkamenet-azonosítóval (ismét a fájlnevekbe ágyazott áldozati azonosítóra vonatkoztatva) vegyék fel a kapcsolatot az áldozattal. A támadók arra kérik az áldozatot, hogy küldjön el egy titkosított fájlt, valamint a „személyes kulcsot” (az egyedi azonosítójukat) ellenőrzés céljából. Ez egy gyakori taktika, amelynek célja a bizalomépítés egy ártalmatlan minta visszafejtésével.

Fizetési és nyomásgyakorlási taktikák

A DeadLock üzemeltetői kriptovalutát, konkrétan Bitcoint vagy Monerót követelnek. Azt ígérik, hogy a fizetés után működő visszafejtő programot biztosítanak. A legtöbb zsarolóvírus-művelethez hasonlóan itt sincs érvényesíthető garancia. A jegyzet a félelemkeltést is felhasználja a független helyreállítási kísérletek elriasztására: figyelmezteti az áldozatokat, hogy ne nevezzék át a titkosított fájlokat, és ne próbáljanak ki harmadik féltől származó visszafejtő eszközöket, azt állítva, hogy az ilyen műveletek véglegesen károsíthatják az adatokat, vagy megnövelhetik a helyreállítás költségeit. Ezek a figyelmeztetések részben technikai jellegűek (a nem megfelelő kezelés valóban bonyolíthatja a helyreállítást), részben pedig pszichológiai nyomásgyakorlásra utalnak.

Dekódolás valóságellenőrzése

Az általános zsarolóvírusokkal kapcsolatos tapasztalatok és a szolgáltatók üzenetei egy kemény igazságot támasztanak alá: a legtöbb esetben a DeadLock által titkosított fájlokat nem lehet visszafejteni a támadók együttműködése és eszközei nélkül. Ez két reális helyreállítási utat hagy maga után: (1) olyan biztonsági mentések használata, amelyek offline, külső helyszínen voltak, verziózottak vagy más módon nem voltak elérhetők a kártevő számára a támadás idején; vagy (2) a váltságdíj kifizetése és reménykedés, hogy a bűnözők betartják az egyezséget. A fizetés kockázatos: a támadók eltűnhetnek, hibás visszafejtőt szállíthatnak, vagy a fizetést jelzésként használhatják fel arra, hogy Ön gyenge célpont a jövőbeni zsarolások számára. Amikor csak lehetséges, a váltságdíj kifizetése helyett sértetlen biztonsági mentésekre támaszkodjon.

Miért fontos a teljes eltávolítás

Még a titkosítás befejezése után is veszélyes a zsarolóvírust a rendszeren hagyni. A fennmaradó komponensek újra titkosíthatják az újonnan létrehozott fájlokat, hitelesítő adatokat gyűjthetnek, hátsó kapukat nyithatnak meg, vagy megpróbálhatnak oldalirányban mozogni a helyi hálózaton. Az irtás, amelyet végpontok vizsgálata, memória-ellenőrzés, valamint az ütemezett feladatok, az indítási bejegyzések és a tartományvezérlők áttekintése támogat, kritikus fontosságú az ismételt károk megelőzése érdekében.

Gyakori holtpont fertőzési vektorok

A támadóknak először meg kell szerezniük a lábukat. A zsarolóvírus-kampányok több terjesztési csatornához kapcsolódnak, amelyek a felhasználók bizalmára, kíváncsiságára és a költségcsökkentő rövidítésekre építenek:

  • Kalóz vagy „feltört” kereskedelmi szoftverek, beleértve a mellékelt kulcsgenerátorokat és licencmegkerülő eszközöket, amelyek titokban telepítenek rosszindulatú programokat.
  • Warez vagy torrent oldalakról származó szoftvertörések, keygen-ek és nem hivatalos aktivátorok.
  • Rosszindulatú e-mail-mellékletek: csapdával ellátott Word-dokumentumok (gyakran makrókkal támogatottak), PDF-ek, ZIP-archívumok, szkriptfájlok vagy számlának, szállítmányértesítésnek vagy sürgős HR-űrlapnak álcázott futtatható fájlok.
  • Rosszindulatú hirdetések, amelyek támadási csomagokra vagy rosszindulatú letöltési oldalakra irányítják át a felhasználókat.
  • Peer-to-peer megosztó platformok és harmadik féltől származó letöltőközpontok, amelyek rejtett hasznos adatokkal csomagolják újra a telepítőket.
  • Cserélhető adathordozók (pl. fertőzött USB-meghajtók), amelyek automatikusan elindulnak, vagy fertőzött fájlok elindítására csábítják a felhasználókat.
  • Hamis technikai támogatási portálok, amelyek arra kényszerítik a felhasználókat, hogy olyan „javításokat” vagy „frissítéseket” töltsenek le, amelyek valójában a zsarolóvírus-betöltőt tartalmazzák.
  • Feltört, legitim weboldalak, amelyeket automatikusan letöltött vagy befecskendezett szkriptekkel küldtek a hasznos adatokat.

Legjobb biztonsági gyakorlatok a védelem megerősítéséhez

A réteges biztonság jelentősen csökkenti a zsarolóvírus-események hatókörét. Az alábbiakban a DeadLock és hasonló fenyegetések sikerének megakadályozását segítő rangsorolt védelmi lépések láthatók:

  • Készítsen megbízható, offline biztonsági mentéseket a kritikus adatokról.
  • Azonnal telepítsünk operációs rendszereket, alkalmazásokat és firmware-eket, különösen a makró- vagy exploit-támadásoknak kitett szolgáltatásokat és termelékenységi csomagokat.
  • Használjon megbízható végpontvédelmet/EDR-t viselkedésalapú zsarolóvírus-észleléssel és automatikus izolálással.
  • Kényszerítse a legalacsonyabb jogosultságú felhasználói fiókokat; tiltsa le a helyi rendszergazdai jogosultságokat, ahol nincs rájuk szükség; különítse el a rendszergazdai hitelesítő adatokat a napi használattól.
  • A makrók végrehajtásának, a szkriptértelmezőknek és az aláíratlan bináris fájloknak a korlátozása csoportházirend, az alkalmazások engedélyezési listázása és a szabályozott mappahozzáférések segítségével.
  • Telepítsen e-mail biztonsági szűrést: vizsgálja meg a mellékleteket tesztként, vizsgálja meg a linkeket, és jelölje meg a gyanús fájltípusokat vagy a hamis feladói domaineket.
  • Tiltsa le az automatikus futtatást a cserélhető adathordozókon, és a csatlakoztatás előtt ellenőrizze az USB-eszközöket.
  • Többtényezős hitelesítés (MFA) szükséges a távoli hozzáféréshez, az adminisztrációs konzolokhoz és a biztonsági mentések kezelési felületeihez.

Hosszú távú tanulságok

A DeadLock egy visszatérő témát erősít meg a zsarolóvírus-családokban: a támadóknak nincs szükségük élvonalbeli biztonsági résekre, ha a végfelhasználók rendszeresen letöltenek feltört eszközöket, nem ellenőrzött mellékleteket nyitnak meg, vagy nem megbízható hirdetési hálózatokon böngésznek. Az alapvető biztonsági technikák, a javítási fegyelem, a hozzáférés-vezérlés, a felügyelt biztonsági mentések és a felhasználók tudatossága a potenciális válságot helyrehozható eseménnyé változtatja. Fektessen be ezekbe a védelmi megoldásokba most; a költség jóval alacsonyabb, mint egy nyomás alatt kifizetett váltságdíj.

Záró gondolatok

A zsarolóvírusokkal szembeni ellenálló képesség jóval azelőtt kiépül, hogy egy támadás elérné a képernyőt. A DeadLock működésének megértésével és a többrétegű megelőző és helyreállítási ellenőrzések bevezetésével felkészülhet arra, hogy ellenálljon ennek a fenyegetésnek és a hasonlóaknak. Légy szkeptikus mindennel szemben, amit nem szándékosan kerestél vagy ellenőriztél. Az éberség az első, és gyakran a legjobb védelmi vonal.

üzenetek

A következő, DeadLock zsarolóvírus-hez kapcsolódó üzenetek találtak:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Felkapott

Legnézettebb

Betöltés...