Solara zsarolóvírus

A Solara egy nemrégiben megfigyelt zsarolóvírus-törzs, amely a kutatók szerint a nyilvánosan terjesztett Chaos család kódjára épül. A Solarához hasonló zsarolóvírusok titkosítják a felhasználói fájlokat, fizetséget követelnek, és véglegesen megzavarhatják a fontos adatokhoz való hozzáférést, ezért az eszközök és a biztonsági mentések védelme elengedhetetlen.

MIT CSINÁL A SOLARA

Az elemzés során megfigyelték, hogy a Solara fájlokat titkosít, és a fájlnevekhez hozzáfűzi a „.solara” szöveges karakterláncot (például „1.png” → „1.png.solara”). A rosszindulatú program egy „read_it.txt” nevű váltságdíjat is küld, amely azt állítja, hogy az áldozat aktivált egy „törésvédelmi” védelmet, és arra utasítja az áldozatokat, hogy szerezzenek be egy visszafejtési eszközt egy online szereplőtől. Számos írás és mintaelemzés a Solarát a Chaos zsarolóvírus-családhoz köti, és hasonló viselkedést ír le (titkosítás, kiterjesztés-helyettesítés és egyszerű szöveges váltságdíjat kérő üzenet).

VÁLSÁGDÍJ ÉS FIZETÉSI KÖVETELÉSEK

Az elemzők által vizsgált váltságdíjat követelő üzenet azt állítja, hogy a fájlok helyreállítása „szinte lehetetlen” a támadó dekódoló eszköze nélkül. A levél arra utasítja az áldozatokat, hogy vegyék fel a kapcsolatot egy Discord-felhasználóval (xenqxd), és olyan fizetési lehetőségeket javasol, mint a Paysafecard (Lengyelországban) vagy egy kis összegű Bitcoin. Figyelemre méltó, hogy egyes mintákban nincsenek érdemi kapcsolatfelvételi csatornák, ami éretlen vagy tréfaszerű kampányra, vagy olyan operátorokra utalhat, akik egyszerűen nem számítanak tárgyalásra. Minden ilyen követelést rendkívüli gyanakvással kell kezelni.

FIZETÉS NÉLKÜL HELYREÁLLÍTHATÓK A FÁJLOK?

Általánosságban elmondható, hogy a Chaos-család fenyegetései által titkosított fájlok nem állíthatók vissza a megfelelő visszafejtő kulcs nélkül. Ha a fertőzés előtti időszakból származó tiszta, offline biztonsági mentésekkel rendelkezik, akkor azok visszaállítása a legbiztonságosabb ajánlott módszer. A fizetés nem ajánlott, a bűnözők gyakran nem szállítanak használható visszafejtőket, és a pénz kifizetése tovább súlyosbítja a bűncselekményeket.

GYAKORI FERTŐZÉSVEKTOROK

• Kalózszoftverek, keygen-ek és rosszindulatú programokkal álcázott „feltört” segédprogramok.
• Rosszindulatú e-mail mellékletek és linkek (Office makrók, szkriptek, EXE fájlok).
• Fertőzött hirdetések, feltört vagy nem hivatalos letöltőoldalak, P2P/torrent hálózatok, USB-meghajtók és harmadik féltől származó letöltőprogramok.

AZONNALI TEENDŐK FERTŐZÉS GYANÚJA ESETÉN

Azonnal izoláld a gépet : csatlakozz le a hálózatokról (vezetékes/wifi), és csatold le az összes megosztott/hálózati meghajtót az oldalirányú terjedés megakadályozása érdekében.

Bizonyítékok megőrzése : ne kapcsolja ki, majd be a rendszert, ha memóriát vagy forenzikus tárgyakat gyűjt, ehelyett rögzítsen memória- és lemezképeket, ha képes rá, vagy hívja az incidenskezelőt.

Használjon biztonsági mentéseket : Miután a kártevőt eltávolította és a rendszereket újraépítette, megbízható biztonsági mentésekből állítsa vissza a rendszert; ne állítsa vissza azokat a biztonsági mentéseket, amelyek a fertőzés időpontjában esetleg csatlakoztatva voltak.

Ne fizessen, amíg az incidensre reagáló csapat fel nem mérte az összes lehetőséget és következményt; a fizetés nem garantáltan működik, és további támadásokra ösztönözhet.

LEGJOBB BIZTONSÁGI GYAKORLATOK

Naprakész, többrétegű védelmet kell fenntartani, amely a napi műveletek során a következő gyakorlatokat foglalja magában:

Javításkezelés : az operációs rendszer és az alkalmazások biztonsági frissítéseit azonnal telepítse; számos zsarolóvírus-törzs ismert és javított sebezhetőségeket használ ki.

Legalacsonyabb jogosultságok és fiókhigiénia : nem rendszergazdai fiókokkal rendelkező felhasználók futtatása, erős többtényezős hitelesítés kikényszerítése távoli hozzáféréshez és privilegizált fiókokhoz, valamint a szokatlan bejelentkezési viselkedés figyelése.

Biztonsági mentési stratégia : Rendszeresen készítsen biztonsági mentéseket, és tartsa azokat elkülönítve a hálózattól. Végül is a biztonsági mentések jelentik a leghatékonyabb helyreállítási védelmet a titkosítási támadásokkal szemben.

Végpontvédelem és EDR : telepítsen megbízható végpont-észlelési és -válaszadási megoldásokat, amelyek képesek észlelni a végrehajtási rendellenességeket, blokkolni a rosszindulatú hasznos adatokat, és lehetővé teszik a gyors elszigetelést. Tartsa engedélyezve az aláírásokat és a telemetriát.

Felhasználói oktatás és adathalászat elleni védekezés : a felhasználók képzése a crackek/kulcsgenerátorok futtatásának kerülésére, az e-mail feladók és linkek ellenőrzésére, valamint a váratlan mellékletek gyanakvó kezelésére. A szimulált adathalász és figyelemfelkeltő kampányok csökkentik az emberi kockázati tényezőt.

Alkalmazásvezérlés és makrókorlátozások : alapértelmezés szerint tiltsa le az Office-makrókat, blokkolja a végrehajtásukat a gyakori visszaélési helyekről (pl. %AppData%, ideiglenes mappák), és ahol lehetséges, használjon alkalmazásengedélyezési listát.

ZÁRÓ MEGJEGYZÉSEK

A Solara a nyilvánosan elérhető zsarolóvírus-készítőkhöz kapcsolódó gyakori kockázatokat szemlélteti: a forkok és variánsok elszaporodnak, és a támadók folyamatosan adaptálják a terjesztési módszereket, hogy meghatározott közösségeket célozzanak meg (a jelentések a játékfórumokat és a kalózszoftver-csatornákat valószínűsíthető csaliként emelik ki). A legjobb védekezési módok a megelőzés, az erős biztonsági mentések, a gyors elszigetelés és a képzett reagáló csapatokkal való együttműködés, a váltságdíjak fizetése helyett. Ha kompromittálásra gyanakszik, és lépésről lépésre szóló segítségre van szüksége a takarításhoz, gyűjtsön minta-indikátorokat (fájlnevek, hashek, váltságdíjkövető üzenet szövege), és forduljon egy megbízható incidenskezelő szolgáltatóhoz vagy a biztonsági szolgáltatóhoz az elszigetelési és helyreállítási útmutatásért.