RDAT zsarolóvírus

A zsarolóvírusok továbbra is az egyik legnagyobb zavaró fenyegetés, amellyel az otthoni felhasználók és a szervezetek szembesülnek. Egyetlen behatolás percek alatt összezavarhatja a dokumentumokat, fényképeket és üzleti adatokat, majd zsarolással hozzáférést biztosíthat az áldozatoknak. Az RDAT zsarolóvírusok, a termékeny Dharma család egyik leágazása, jól példázzák, miért elengedhetetlen a többrétegű védelem és a fegyelmezett helyreállítási tervezés.

Fenyegetésprofil: RDAT áttekintése

Az információs biztonsági kutatók az újonnan megjelenő rosszindulatú programok széles körű áttekintése során azonosították az RDAT-ot. Ez egy Dharma-variáns, amelyet kifejezetten adatzsarolásra fejlesztettek ki: titkosítja a fájlokat, és a visszafejtésért fizetővé teszi az áldozatokat. Az RDAT mind a helyi meghajtókat, mind a hálózati megosztásokat célozza meg, szándékosan kikerülve a kritikus rendszerfájlokat, hogy az eszköz indítható maradjon, és az áldozat elolvashassa a váltságdíjat követelő üzeneteket.

Amit az áldozatok látnak

Az RDAT végrehajtása során számos fájltípust titkosít. A fájlnevek úgy módosulnak, hogy tartalmazzák az áldozat egyedi azonosítóját, a támadó e-mail címét és az „.RDAT” kiterjesztést, például:
Az 1.png fájlból 1.png.id-9ECFA84E[dat@mailum.com].RDAT lesz.

Két váltságdíjkövető üzenet következik: egy felugró ablak, amely jelzi, hogy a fájlok titkosítva vannak, valamint egy „DAT_INFO.txt” nevű szöveges fájl a kapcsolatfelvételi utasításokkal. Az üzemeltetők felajánlják, hogy legfeljebb három fájlt dekódolnak (a méret/formátum korlátaitól függően) bizonyítékként, miközben figyelmeztetnek, hogy harmadik féltől származó eszközök használata vagy a titkosított adatok módosítása tartós veszteséget okozhat. Ezek a taktikák a hitelesség és a sürgősség növelését célozzák, nem pedig a segítségnyújtást.

Hogyan marad meg és terjed az RDAT

Az RDAT örökli a Dharma megmaradási és helyreállítás elleni védelmi stratégiáját. A kártevő bemásolja magát a %LOCALAPPDATA% könyvtárba, specifikus futtatókulcsokon keresztül regisztrálja az automatikus futtatás bejegyzéseit, és újraindítás után újraindul. A gyors visszaállítások blokkolása érdekében törli a kötet árnyékmásolatait. A titkosítás előtt leállítja azokat a folyamatokat, amelyek nyitva tarthatják a fájlokat (adatbázisok, dokumentumolvasók és hasonlók), biztosítva a maximális lefedettséget. Emellett megpróbálja elkerülni a más zsarolóvírusok által már megtámadott adatok „dupla titkosítását” egy ismert listával – ami egy tökéletlen biztonsági ellenőrzés.

Célpontkiválasztás és geofencing

A rosszindulatú program geolokációs adatokat gyűjt annak felmérésére, hogy az áldozat hajlandó-e fizetni. Ha a régió gazdaságilag vagy geopolitikai okokból kedvezőtlennek tűnik, akár teljesen kihagyhatja a titkosítást. Ez a viselkedés kizárólag a váltságdíj maximalizálására irányul.

Miért vesztes a fizetés?

Egy zsarolóvírus-támadás utáni visszafejtés általában lehetetlen a támadók kulcsai nélkül, kivéve, ha a törzs súlyosan sérült. Még ebben az esetben is kockázatos a fizetés: sok áldozat soha nem kap működő visszafejtőt. A fizetés további támadásokat is finanszíroz. A felelősségteljes út a rosszindulatú program kiirtása, megbízható biztonsági mentésekből való újjáépítése és a rendszerek megerősítése az ismételt incidensek megelőzése érdekében.

Megerősített kézbesítési csatornák

A Dharma-családba tartozó behatolások gyakran a feltört vagy gyengén védett Remote Desktop Protocol (RDP) protokollból indulnak ki. A támadók nyers erő és szótáras támadásokra támaszkodnak, és ha egyszer bejutottak, letilthatják a gazdagép tűzfalait. Az RDP-n túl az ökoszisztéma adathalászatot és a pszichológiai manipulációt, a rosszindulatú hirdetéseket, a megbízhatatlan szoftverforrásokat, a spam mellékleteket és a betöltő/hátsó ajtó trójai programokat is felhasználja. A rosszindulatú hasznos fájlokat általában archívumként (RAR/ZIP), futtatható fájlként, szkriptként (beleértve a JavaScriptet) és dokumentumként (PDF, Office, OneNote) szállítják. Bizonyos családok helyi hálózatokon és cserélhető adathordozókon keresztül is terjednek.

Elszigetelés és helyreállítás

A további titkosítás leállításához távolítsa el a zsarolóvírust, de vegye figyelembe, hogy az eltávolítás nem állítja vissza a zárolt fájlokat. A helyreállításhoz tiszta, verziózott biztonsági mentések szükségesek. Az alapvető szabály a másolatok több helyen és adathordozón történő tárolása, beleértve az offline tárolóeszközöket is, amelyekhez a rosszindulatú programok nem férhetnek hozzá.

A zsarolóvírus-fenyegetések gyakori hozzáférési és terjesztési vektorai a következők:

• Kiszolgáltatott/gyenge RDP szolgáltatások, hitelesítő adatokkal való visszaélés és nyers erővel történő bejelentkezések
• Adathalász e-mailek, pszichológiai manipulációt célzó csapdák, spam mellékletek és linkek, rosszindulatú hirdetések, trójai letöltések, automatikus letöltések, kalózszoftverek és „crackek”, hamis frissítők, valamint betöltő/hátsó ajtó fertőzések; oldalirányú terjedés LAN-on és cserélhető USB/tárolóeszközökön keresztül.

Lényeg

Az RDAT zsarolóvírus egy fegyelmezett, profitorientált Dharma variáns: újraindítások után is fennmarad, törli a helyreállítási pontokat, mind a helyi, mind a megosztott adatokat célozza meg, és nyomásgyakorló taktikákat alkalmaz fegyverként a fizetség kicsikarása érdekében. A rugalmasság legmegbízhatóbb módja a proaktív megerősítés, valamint a robusztus, offline biztonsági mentések és a jól begyakorolt helyreállítás. Ne fizessen; irtsa ki, állítsa vissza és erősítse meg a védelmet a következő kísérlet megelőzése érdekében.