AntiHacker išpirkos reikalaujanti programa

Asmeninių ir verslo duomenų apsauga nuo šiuolaikinių kenkėjiškų programų grėsmių nebėra neprivaloma, tai yra operacinė būtinybė. Išpirkos reikalaujančių programų operatoriai ir toliau tobulina savo taktiką, įrankius ir socialinės inžinerijos schemas, kad kuo labiau padidintų sutrikimus ir išviliotų pinigus. Net mažesnės organizacijos ir namų vartotojai reguliariai tampa taikiniais, o be pasiruošimo atsigauti gali būti sunku arba neįmanoma. „AntiHacker Ransomware“, „Xorist“ šeimos narė, yra būtent tokia grėsmė.

GRĖSMĖS APŽVALGA IR KILMĖ

„AntiHacker“ yra kenkėjiška programa, kurią atrado informacijos saugumo tyrėjai ir priskiria „Xorist“ išpirkos reikalaujančių programų šeimai. „Xorist“ pagrindu sukurtos grėsmės paprastai kuriamos naudojant rinkinio sistemą, kurią užpuolikai gali pritaikyti, keisdami rodomą išpirkos pranešimą, failo plėtinį, kalbos elementus ir kitus parametrus. „AntiHacker“ vadovaujasi gerai žinomu „Xorist“ veiksmų planu: ji užšifruoja aukos duomenis ir tada reikalauja mokėjimo mainais į tariamą iššifravimo raktą.

FAILŲ ŠIFRAVIMO ELGESYS IR ŽYMĖJIMAS

Kai „AntiHacker“ pažeidžia sistemą, ji ieško vartotojams prieinamų duomenų vietiniuose diskuose ir galbūt susietose tinklo vietose. Taikosi į įvairius failų tipus: dokumentus, vaizdus, archyvus, multimedijos failus ir kitas vertingas duomenų saugyklas. Kiekvienas užšifruotas elementas pervadinamas pridedant eilutę „.antihacker2017“ prie pradinio failo pavadinimo pabaigos. Pavyzdžiui, failas, kurio pradinis pavadinimas buvo „1.png“, tampa „1.png.antihacker2017“; „2.pdf“ tampa „2.pdf.antihacker2017“; ir ši seka kartojasi visuose apdorotuose failuose. Pridėtas plėtinys atlieka dvi funkcijas: vizualiai signalizuoja aukai apie pažeidimą ir padeda išpirkos reikalaujančiai programai nustatyti, kuriuos elementus ji jau apdorojo.

IŠPIRKOS PRAŠTINIAI, IŠŠOKANTYS LANGAI IR EKRANO FONAI

Baigusi šifravimo procedūrą, „AntiHacker“ pakeičia aukos darbalaukio foną ir pateikia išpirkos raštelį dviem lygiagrečiais formatais: iššokančiuoju langu ir tekstiniu failu pavadinimu „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“ (rusų k. „KAIP IŠŠIŠKRIPTUOTI FAILUS“). Iššokančiame lange ir tekstiniame faile pateikiamo pranešimo turinys yra tas pats. Tačiau fono variante yra papildomos socialinės inžinerijos kalbos, tariamo pateisinimo, kad ataka įvyko dėl to, kad vartotojas lankėsi konkrečiose suaugusiesiems skirtose arba nelegaliose svetainėse. Šis gėdinimo būdas skirtas priversti aukas greitai ir tyliai sumokėti.

Simbolių kodavimo ypatybė

Sistemose, kurios nenaudoja kirilicos simbolių rinkinio, iššokančiajame lange rodomas išpirkos tekstas gali atrodyti kaip neįskaitomas nesuprantamas tekstas. Todėl aukos gali matyti sugadintą pranešimo langą, bet vis tiek rasti įskaitomas instrukcijas išmestame teksto faile. Užpuolikai dažnai nepastebi lokalizacijos detalių; gynėjai gali naudoti tokius artefaktus, kad padėtų grupuoti su incidentais susijusius duomenis.

PRIEVARTOS MECHANIKA: PAGRINDINIAI PATEKIMO RIBOS IR GRĖSMĖS PAREIŠKIMAI

Išpirkos nurodymuose teigiama, kad aukos turi susisiekti su užpuolikais, kad gautų iššifravimo raktą. Jose taip pat nustatytas griežtas apribojimas: leidžiama atlikti tik 50 bandymų įvesti raktą, po kurių pranešime teigiama, kad užšifruoti duomenys bus visam laikui prarasti. Papildomuose įspėjimuose teigiama, kad naudojant saugos įrankius, perkraunant kompiuterį arba išjungus failus bus neįmanoma iššifruoti. Ši gąsdinimo taktika yra įprasta išpirkos reikalaujančių programų strategijoje ir siekiama atgrasyti vartotojus nuo profesionalios pagalbos ieškojimo ar saugių taisomųjų procedūrų bandymo.

KODĖL MOKĖTI IŠPIRKĄ YRA RIZIKINGA

Nėra jokios garantijos, kad kibernetiniai nusikaltėliai, sukūrę „AntiHacker“ (ar bet kurią išpirkos reikalaujančią programinę įrangą), po apmokėjimo pateiks veikiantį iššifravimo sprendimą. Aukos, kurios moka, dažnai nieko negauna, gauna sugadintą raktą arba tampa pakartotinio turto prievartavimo taikiniais. Mokėjimas taip pat finansuoja vykdomas nusikalstamas operacijas ir skatina tolesnes atakas. Protinga pozicija yra vengti mokėti, kai tik įmanoma, ir sutelkti dėmesį į jūsų kontroliuojamus atkūrimo būdus.

ATSIGAVIMO REALYBĖS

Pašalinus „AntiHacker“ iš užkrėstos sistemos, galima sustabdyti tolesnį failų šifravimą, tačiau tai neiššifruoja jau užrakintų duomenų. Patikimiausias atkūrimo būdas yra atkurti švarias paveiktų failų kopijas iš atsarginių kopijų, kurios buvo izoliuotos, neprisijungusios prie interneto arba kitaip nepasiekiamos kenkėjiškos programos. Jei nėra tinkamų atsarginių kopijų, duomenų atkūrimo galimybės tampa labai ribotos.

Pirminiai infekcijos vektoriai

Išpirkos reikalaujančių programų autoriai naudojasi ta pačia plačia platinimo ekosistema, kuri skatina kitų kategorijų kenkėjiškas programas. „AntiHacker“ nėra išimtis. Užpuolikai dažnai užmaskuoja naudingąją informaciją kaip teisėtą programinę įrangą arba sujungia ją su nulaužtomis ar piratinėmis programomis, dokumentais ar diegimo failais. Vien spąstais užminuoto failo atidarymas gali sukelti atsisiuntimo arba vykdymo grandinę.

• Sukčiavimo apsimetant ir socialinės inžinerijos viliokliai, siunčiami el. paštu, asmeninėmis žinutėmis arba tiesioginėmis žinutėmis su kenkėjiškais priedais arba įterptomis nuorodomis.
• Apgaulingi arba atsitiktiniai atsisiuntimai, pradėti iš pažeistų ar kenkėjiškų svetainių be aiškaus naudotojo sutikimo.
• Trojos arkliai ir užpakalinės durys, kurios tyliai nuskaito ir paleidžia išpirkos reikalaujančias programas, kai tik jos yra įsitvirtinusios.
• Nepatikimi atsisiuntimo šaltiniai, tokie kaip nemokamų programų svetainės, trečiųjų šalių talpinimo puslapiai ir lygiaverčių (P2P) failų bendrinimo tinklai.
• Internetinės sukčiavimo ir kenkėjiškos reklamos kampanijos, nukreipiančios vartotojus į pažeidžiamumo rinkinius arba nesąžiningus paketus.
• Neteisėtos programinės įrangos aktyvinimo priemonės („įtrūkimai“ / raktų generatoriai) ir netikri programinės įrangos atnaujinimai, kurie diegia kenkėjiškas programas, o ne teisėtus pataisymus.
• Archyvai (ZIP, RAR ir kt.), vykdomieji failai (EXE, RUN ir kt.), scenarijų failai (pvz., „JavaScript“) ir dokumentų formatai (PDF, „Microsoft Office“, „OneNote“ ir kiti) buvo panaudoti užkrato grandinei paleisti.

GYNYBOS STRATEGIJOS APŽVALGA

Efektyvi apsauga nuo išpirkos reikalaujančių programų apima žmones, procesus ir technologijas. Negalite pasikliauti viena apsaugos kontrole; manykite, kad bent vienas sluoksnis suges. Sujunkite naudotojų informuotumą, sustiprintas konfigūracijas, griežtą pataisymų diegimą, patikimas atsarginių kopijų kūrimo praktikas ir stiprias aptikimo / reagavimo galimybes, kad sumažintumėte tiek „AntiHacker“ stiliaus įsilaužimo tikimybę, tiek poveikį.

• Kurkite svarbių duomenų atsargines kopijas.
• Nuolat atnaujinkite operacines sistemas, programas ir saugos įrankius; nedelsdami diegkite pataisas, ypač nuotolinės prieigos ir failų bendrinimo paslaugoms.
• Naudokite patikimus apsaugos nuo kenkėjiškų programų / galinių taškų aptikimo ir reagavimo (EDR) sprendimus su elgsenos pagrindu veikiančių išpirkos reikalaujančių programų aptikimu ir automatinio panaikinimo funkcijomis, jei jos palaikomos.
• Užtikrinti mažiausiai privilegijų turinčių vartotojų teises; atlikti kasdienes užduotis naudojant ne administratoriaus paskyras ir apriboti rašymo prieigą prie bendrinamų duomenų saugyklų.
• Segmentuokite tinklus ir apribokite šoninį judėjimą; izoliuokite atsarginių kopijų saugyklas ir svarbiausius serverius atskiruose prieigos lygiuose.
• Reikalauti daugiafaktorinio autentifikavimo (MFA) nuotoliniams prisijungimams, privilegijuotiems veiksmams ir atsarginių kopijų valdymo konsolėms.

IŠVADA

„AntiHacker“ išpirkos reikalaujanti programa iliustruoja, kaip grėsmių veikėjai pritaiko tokias rinkinių pagrindu veikiančias programas kaip „Xorist“, kad sukurtų veiksmingas, regioniniu mastu nukreiptas išpirkos reikalaujančias schemas. Jos duomenų šifravimas, failų pavadinimų žymėjimas, daugiakalbiai išpirkos reikalaujančių raštelių artefaktai ir prievartiniai pranešimai yra sukurti siekiant paskatinti mokėjimus. Tačiau stipriausia atsakomoji priemonė išlieka pasiruošimas: izoliuotos atsarginės kopijos, daugiasluoksnė apsauga, informuoti vartotojai ir drausmingas reagavimo planas. Organizacijos ir asmenys, investuojantys į šias apsaugos priemones, gali paversti potencialiai katastrofišką išpirkos reikalaujančios programinės įrangos atvejį atkuriamu incidentu.