PayForRepair Ransomware

Egy olyan korszakban, amikor a digitális műveletek irányítják személyes, szakmai és pénzügyi életünket, nem lehet túlbecsülni a robusztus kiberbiztonság fenntartásának fontosságát. Különösen a zsarolóprogramok váltak a kibervilág egyik legveszélyesebb fenyegetésévé, amely képes kizárni a felhasználókat adataik elől, és tetemes összegeket követelni a visszaszolgáltatásáért. A közelmúltban a kiberbiztonsági körökben hullámokat keltő fenyegetés a PayForRepair ransomware – a hírhedt Dharma család egy változata. Itt van minden, amit tudnia kell a biztonság megőrzéséhez.

Új arc egy régi családban: Mi az a PayForRepair Ransomware?

A PayForRepair ransomware a Dharma Ransomware család kifinomult ága. Elsődleges célja az áldozatok adatainak titkosítása, és a visszafejtésért fizető díjat kicsikarni. Miután végrehajtották az eszközön, a rosszindulatú program a fájltípusok széles skáláját célozza meg, és hozzáfűzi azokat egy külön jelölővel: áldozatspecifikus azonosítóval, a támadók kapcsolatfelvételi e-mail-címével (pl. payforrepair@tuta.io) és a „.P4R” kiterjesztéssel. Például egy eredetileg „1.jpg” nevű fájl a következővé válhat: „1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R”.

A fájlok titkosítása mellett a kártevő váltságdíj-üzenetet dob be info.txt nevű szövegfájlként az összes érintett könyvtárba, és egy felugró üzenetet indít el részletesebb követelésekkel. Az áldozatokat utasítják, hogy e-mailben lépjenek kapcsolatba a támadókkal, és fizessenek bitcoinban, hogy állítólag visszaszerezzék fájljaikat. Csábításként a bűnözők ingyenes visszafejtési tesztet kínálnak korlátozott számú fájlhoz, hogy elnyerjék a bizalmat.

Taktika és viselkedés: Hogyan működik a PayForRepair

A PayForRepair számos, a Dharma-változatokra jellemző viselkedést mutat:

• Szelektív titkosítás : Megakadályozza az alapvető rendszerfájlok manipulálását az operációs rendszer működésének fenntartása érdekében, így az áldozatok továbbra is megtekinthetik a váltságdíjakat és fizethetnek.
• Folyamatleállítás : Leállítja az aktív folyamatokat – például adatbázis- vagy dokumentumszoftvert –, hogy hozzáférjen a megnyitott fájlokhoz.
• Perzisztencia-mechanizmusok : A zsarolóprogram telepíti magát a „%LOCALAPPDATA%” mappába, amely rendszerleíró bejegyzéseket ad hozzá az automatikus indításhoz, és biztosítja, hogy minden rendszer újraindítása után fusson.
• Árnyékmásolat törlése : eltávolítja az árnyékkötet másolatait, hogy megakadályozza az egyszerű fájl-helyreállítási lehetőségeket.
• Térinformatikai célzás : A földrajzi helyadatok alapján kihagyhat bizonyos régiókat, vagy gazdasági vagy politikai megfontolások alapján előnyben részesíthet másokat.

Hogyan terjed: Belépési pontok és fertőzési vektorok

Míg a Dharma Ransomware hagyományosan a Remote Desktop Protocol (RDP) brute-force támadásain keresztül terjed, a PayForRepair sem kivétel, és többféle terjesztési technikát alkalmaz:

• Kihasznált RDP-szolgáltatások : A gyengén védett RDP-végpontok gyakran brutálisan kényszerítettek hozzáférést.
• Adathalász e-mailek és linkek : Az e-mailekben és DM-ekben található csalárd mellékletek vagy hivatkozások továbbra is a fertőzések kedvenc vektorai maradnak.
• Drive-by letöltések és hamis szoftverek : A harmadik felek webhelyeiről származó megtévesztő letöltések, rosszindulatú hirdetések, valamint hamis szoftverfrissítések vagy -frissítések segítik a rosszindulatú programok terjesztését.
• Hálózati és cserélhető meghajtók terjedése : A hálózatba kerülve a zsarolóvírus átterjedhet más csatlakoztatott rendszerekre és eszközökre.

Ne fizessen – Védje helyette: bevált biztonsági gyakorlatok

A váltságdíj kifizetése soha nem tekinthető életképes megoldásnak. Nincs garancia arra, hogy a kiberbűnözők betartják ígéreteiket. Ehelyett erősítse meg védekezését ezekkel a kiberbiztonsági gyakorlatokkal:

1. Erősítse meg az eszköz- és hálózatbiztonságot
2. Használjon erős, kreatív jelszavakat minden fiókhoz; többtényezős hitelesítés megvalósítása.
3. Tiltsa le a nem használt távelérési szolgáltatásokat, például az RDP-t, vagy korlátozza azokat VPN és IP engedélyezési listán keresztül.
4. Tartsa aktívan tűzfalát, és konfigurálja megfelelően, hogy blokkolja a gyanús tevékenységeket.
5. Gyakran frissítse operációs rendszerét és szoftverét az ismert sebezhetőségek kijavításához.
6. Gyakorold a biztonságos fájl- és webes szokásokat
7. Legyen óvatos az e-mail mellékletekkel és hivatkozásokkal – ne nyisson meg semmit ismeretlen forrásból.
8. Csak hivatalos vagy jó hírű platformokról töltsön le szoftvert.
9. Kerülje a kalózprogramok, repedések vagy kulcsgensek használatát, amelyek gyakran rosszindulatú programokkal vannak tele.
10. Valós idejű védelemmel rendelkező robusztus vírusirtó/malware szoftver telepítése és karbantartása.
11. Rendszeresen készítsen offline biztonsági másolatot az alapvető fájlokról, és tárolja azokat leválasztott eszközökön vagy biztonságos felhőplatformokon.

Utolsó gondolatok: A megelőzés a legjobb gyógymód

Mivel egy zsarolóprogram-fertőzés, például a PayForRepair veszélyeztette a rendszert, a helyreállítási lehetőségek szűkösek és bizonytalanok. A rosszindulatú program eltávolítása elengedhetetlen, de a fájlok titkosítását nem oldja meg – csak a már meglévő biztonsági mentések vagy visszafejtő eszközök (ha rendelkezésre állnak) segíthetnek. A legjobb védekezés a proaktív védekezés: erősítse meg kiberbiztonsági álláspontját, maradjon éber az interneten, és tájékoztassa a környezetében élőket. A számítógépes bűnözés nem szűnik meg – de felkészüléssel nem kell győznie.