Hype zsarolóvírus

A Hype zsarolóvírus a modern fájltitkosító rosszindulatú programok tipikus példája: összekeveri az áldozatok adatait, váltságdíjat követelő üzenetet hagy, és egyedi kiterjesztést és azonosítókat fűz a titkosított fájlokhoz. Az eszközök védelme az olyan fenyegetésekkel szemben, mint a Hype, kritikus fontosságú, mivel a titkosítás befejezése után a fájlok általában a támadó privát kulcsa nélkül helyreállíthatatlanok, és a támadók fizetése nem garantálja a helyreállítást, miközben további bűncselekményekre ösztönöz.

Mit csinál a hype – Viselkedési összefoglaló

Az elemzés azt mutatja, hogy a Hype felhasználói fájlokat céloz meg, és átnevezi azokat, hogy tartalmazzák a támadók elérhetőségeit és egy egyedi áldozatazonosítót, majd új kiterjesztést ad hozzá. Az elemzett mintákban a fájlok átnevezése a következő mintához hasonló:
'eredetinév.EXT' → 'eredetinév.EXT.EMAIL=[transzkript@gmail.com]
]ID=[000C91DC347DF549].hype'

Egy „hype Ransmoware.txt” nevű váltságdíjat követelő üzenetet küldenek ki; az azt állítja, hogy a rendszer „védetlen”, felajánlja a helyzet „javítását”, és arra utasítja az áldozatokat, hogy küldjenek egy tesztfájlt a dekódolás megerősítése érdekében. A levél két e-mail címet tartalmaz: „ranshype@gmail.com”.
és a „ranshype@tuta.io” címet, valamint egy Telegram-felhasználónevet (@hype20233) kapcsolattartási eszközként.

A támadás működése – Műszaki áttekintés

A Hype a zsarolóvírusok gyakori életciklusát követi. A kezdeti végrehajtás után (gyakran egy rosszindulatú melléklet, letöltő, sérülékenységet kihasználó program vagy feltört szoftver révén) átvizsgálja az elérhető tárhelyet a célfájlok után, titkosítja azokat egy szimmetrikus kulccsal, majd jellemzően egy második, a támadó által birtokolt mechanizmus segítségével titkosítja vagy védi ezt a kulcsot. A titkosított fájlokat átnevezi, hogy megjelölje a tulajdonjogot, és az áldozatokat a váltságdíjat követelő levélhez irányítsa. Mivel a visszafejtéshez a támadó kulcsa vagy egy korábban elkészített biztonsági mentés szükséges, a megbízható biztonsági mentések nélküli áldozatoknak kevés helyreállítási lehetőségük marad.

Hatás és felépülés

A Hype-hoz hasonló zsarolóvírusok adatvesztést, működési zavarokat, valamint potenciális üzleti veszteséget vagy szabályozási kockázatot okozhatnak. Biztonsági mentések nélküli helyreállítás valószínűtlen: a legtöbb titkosított fájl nem állítható vissza a támadó visszafejtési eszköze nélkül. Az áldozatoknak határozottan azt tanácsoljuk, hogy ne feltételezzék, hogy a fizetés garantálja a fájlok visszaállítását – a támadók esetleg nem tudják biztosítani a működő visszafejtést, további fizetést követelhetnek, vagy újra felhasználhatják az ellopott adatokat. A helyes helyreállítási út általában a következőket foglalja magában: a fertőzött rendszerek elkülönítése, a jól ismert biztonsági mentésekből való törlés és visszaállítás, valamint az infrastruktúra megerősítése az újrafertőzés megelőzése érdekében.

Legjobb biztonsági gyakorlatok a kockázatok csökkentésére

Rendszeres biztonsági mentések és tesztelt visszaállítások : a kritikus adatokról legalább két másolatot készítsen, egyet helyben a gyors helyreállítás érdekében, egyet pedig külső helyszínen vagy felhőszolgáltatásban, és gondoskodjon arról, hogy a biztonsági mentések elszigeteltek legyenek, így a zsarolóvírusok nem férhetnek hozzájuk. Gyakran tesztelje a visszaállításokat.

Javítás- és leltárkezelés : naprakész szoftver- és eszközleltár fenntartása, valamint a biztonsági javítások haladéktalan telepítése az operációs rendszerekre, alkalmazásokra és hálózati eszközökre.

A minimális jogosultságok elve és a hálózat szegmentálása : korlátozza a felhasználói jogosultságokat, hogy csak azok férhessenek hozzá, akiknek feltétlenül szükségük van rá; szegmentálja a hálózatokat, hogy a fertőzött végpontok ne érhessék el szabadon a biztonsági mentéseket, szervereket vagy más szegmenseket.

Végpontészlelés és -válasz (EDR) + kártevőirtó : telepítsen modern EDR/vírusirtót viselkedésérzékeléssel, amely képes blokkolni vagy riasztást küldeni a gyanús titkosítási tevékenységekről; finomhangolja a riasztásokat a zaj csökkentése és az időben történő emberi felülvizsgálat biztosítása érdekében.

E-mail és webes biztonság : használjon fejlett e-mail-szűrést, blokkolja a gyanús mellékleteket és a makrókat használó dokumentumokat, és valósítson meg webes szűrést, hogy megakadályozza a felhasználók számára az ismert kártékony webhelyek elérését.

Többtényezős hitelesítés (MFA) : Többtényezős hitelesítés szükséges a távoli hozzáféréshez, a rendszergazdai fiókokhoz és a felhőszolgáltatásokhoz a fiókok átvételének kockázatának csökkentése érdekében.

Fizetés elkerülése és továbblépés

A váltságdíj fizetése magas kockázatú és gyakran hatástalan megoldás; nem garantálja a fájl visszaszerzését, és további forrásokat biztosít bűnözői műveletekhez. Ehelyett az erőforrásokat a támadások elszigetelésére, a biztonságos biztonsági mentésekből való helyreállításra és a biztonsági helyzet javítására kell összpontosítani, hogy egy hasonló támadás ne legyen ismét sikeres. Ha nincs belső kapacitása, bízzon meg jó hírű incidenskezelő és kriminalisztikai cégeket a segítségnyújtáshoz, a gyors, szakértői beavatkozás csökkenti a károkat és javítja a teljes felépülés esélyét.