DeadLock išpirkos reikalaujanti programa

Šiuolaikinės išpirkos reikalaujančios programinės įrangos kampanijos yra specialiai sukurtos tam, kad jūsų asmeniniai ar organizacijos duomenys būtų paversti svertu. Kai svarbūs failai užšifruojami, užpuolikai turi visas kortas, nebent tam pasiruošėte iš anksto. Tvirta saugumo higiena, daugiasluoksnė apsauga ir atsparios atsarginių kopijų kūrimo strategijos smarkiai sumažina tikimybę, kad vienas kenkėjiškas priedas, nulaužtas diegimo programa ar neteisėtas atsisiuntimas sutrikdys verslą arba visam laikui praras duomenis. „DeadLock“ išpirkos reikalaujanti programa yra geras pavyzdys, kodėl šie pagrindiniai dalykai yra svarbūs.

Kuo išsiskiria „DeadLock“?

„DeadLock“ yra failus šifruojančių išpirkos reikalaujančių programų šeima, kuri kiekvieną auką pažymi unikaliu identifikatoriumi. Atakos metu ji iššifruoja naudotojo duomenis ir pervadina kiekvieną užšifruotą failą, prie pradinio failo pavadinimo pridėdama aukos ID ir plėtinį „.dlock“. Pavyzdžiui: „1.png“ tampa „1.png.F8C6A8.dlock“, o „2.pdf“ tampa „2.pdf.F8C6A8.dlock“. Šis ID naudojamas viso išpirkos išpirkimo proceso metu, siekiant sekti auką ir susieti mokėjimus su iššifravimo raktais. „DeadLock“ taip pat pateikia išpirkos raštelį, kurio failo pavadinime yra tas pats identifikatorius (pvz., „READ ME.F8C6A8.txt“), ir pakeičia darbalaukio foną, kad patvirtintų, jog sistema buvo pažeista.

Išpirkos raštelio viduje

Užraše pateikiami keli svarbūs punktai, skirti nukreipti aukos tolesnius veiksmus. Jame teigiama, kad užšifruotų failų negalima atkurti be „unikalaus iššifravimo rakto“, kurį turi tik užpuolikai. Aukos raginamos įdiegti privatumo užtikrinimo sesijos pranešimų siuntimo programą ir susisiekti naudojant pateiktą sesijos ID (vėlgi susiejant su kiekvienos aukos identifikatoriumi, įterptu į failų pavadinimus). Užpuolikai prašo aukos atsiųsti vieną užšifruotą failą ir „asmeninį raktą“ (jų unikalų ID) patikrinimui. Tai įprasta taktika, skirta pasitikėjimui sukurti iššifruojant nekenksmingą pavyzdį.

Mokėjimo ir spaudimo taktika

„DeadLock“ operatoriai reikalauja kriptovaliutos, konkrečiai – bitkoino arba „Monero“. Jie žada, kad po apmokėjimo pristatys veikiantį iššifravimo įrankį. Kaip ir daugumos išpirkos reikalaujančių programų atveju, nėra jokios įgyvendinamos garantijos. Pranešime taip pat pasitelkiama baimė, kad atgrasytų nuo savarankiškų atkūrimo bandymų: aukos įspėjamos nepervadinti užšifruotų failų ir nebandyti trečiųjų šalių iššifravimo įrankių, teigiant, kad tokie veiksmai gali visam laikui sugadinti duomenis arba padidinti atkūrimo kainą. Šie įspėjimai yra iš dalies techniniai (netinkamas elgesys iš tiesų gali apsunkinti atkūrimą) ir iš dalies psichologinio spaudimo.

Iššifravimo realybės patikrinimas

Bendra patirtis su išpirkos reikalaujančiomis programomis ir pačių operatorių siunčiamos žinutės patvirtina karčią tiesą: daugeliu atvejų neįmanoma iššifruoti „DeadLock“ užšifruotų failų be užpuolikų bendradarbiavimo ir įrankių. Lieka du realūs atkūrimo būdai: (1) naudoti atsargines kopijas, kurios atakos metu buvo neprisijungusios, ne svetainėje, su versijomis arba kitaip neprieinamos kenkėjiškai programai; arba (2) sumokėti išpirką ir tikėtis, kad nusikaltėliai laikysis susitarimo. Mokėti rizikinga: užpuolikai gali dingti, pristatyti neveikiantį iššifravimo įrankį arba panaudoti mokėjimą kaip signalą, kad esate lengvas taikinys būsimam turto prievartavimui. Kai tik įmanoma, vietoj išpirkos mokėkite nepažeistas atsargines kopijas.

Kodėl svarbu visiškai pašalinti

Net ir baigus šifravimą, palikti išpirkos reikalaujančią programinę įrangą sistemoje yra pavojinga. Likę komponentai gali iš naujo užšifruoti naujai sukurtus failus, gauti prisijungimo duomenis, atverti užpakalines duris arba bandyti judėti vietiniame tinkle. Pašalinimas, kartu su galinių taškų nuskaitymu, atminties patikrinimu ir suplanuotų užduočių, paleisties įrašų bei domeno valdiklių peržiūra, yra labai svarbus siekiant išvengti pakartotinės žalos.

Dažni aklavietės infekcijos vektoriai

Užpuolikams reikia pradinio taško. Išpirkos reikalaujančių programų kampanijos buvo siejamos su keliais platinimo kanalais, kurie naudojasi vartotojų pasitikėjimu, smalsumu ir sąnaudų mažinimo būdais:

• Piratinė arba „nulaužta“ komercinė programinė įranga, įskaitant komplektuojamus raktų generatorius ir licencijų apėjimo įrankius, kurie slapta diegia kenkėjiškas programas.
• Programinės įrangos nulaužimai, keygenai ir neoficialūs aktyvatoriai, išgauti iš „warez“ ar „torrent“ svetainių.
• Kenkėjiški el. laiškų priedai: spąstais užmaskuoti „Word“ dokumentai (dažnai su makrokomandomis), PDF failai, ZIP archyvai, scenarijų failai arba vykdomieji paketai, užmaskuoti kaip sąskaitos faktūros, pranešimai apie siuntas arba skubios HR formos.
• Kenkėjiška reklama (kenkėjiški skelbimai), nukreipiantys vartotojus į pažeidžiamumo rinkinius arba nesąžiningus atsisiuntimo puslapius.
• „Peer-to-peer“ bendrinimo platformos ir trečiųjų šalių atsisiuntimo centrai, kurie perpakuoja diegimo programas su paslėptais paketais.
• Išimamos laikmenos (pvz., užkrėsti USB diskai), kurios paleidžiamos automatiškai arba vilioja vartotojus paleisti užkrėstus failus.
• Netikri techninės pagalbos portalai, verčiantys vartotojus atsisiųsti „pataisymus“ arba „atnaujinimus“, kuriuose iš tikrųjų yra išpirkos reikalaujančios programinės įrangos įkėlėjas.
• Pažeistos teisėtos svetainės, į kurias buvo įterpti automatiniai atsisiuntimai arba įterpti scenarijai, teikiantys naudingąją apkrovą.

Geriausios saugumo praktikos, skirtos sustiprinti jūsų gynybą

Sluoksniuotas saugumas smarkiai sumažina išpirkos reikalaujančios programinės įrangos atakos poveikio spindulį. Žemiau pateikiami prioritetiniai gynybos veiksmai, kurie padeda užkirsti kelią „DeadLock“ ir panašioms grėsmėms:

• Palaikykite patikimas, neprisijungus pasiekiamas svarbių duomenų atsargines kopijas.
• Nedelsiant atnaujinkite operacines sistemas, programas ir programinę-aparatinę įrangą, ypač pažeidžiamas paslaugas ir produktyvumo paketus, linkusius į makrokomandų ar išnaudojimo piktnaudžiavimą.
• Naudokite patikimą galinių taškų apsaugą / EDR su elgesiu pagrįstu išpirkos reikalaujančių programų aptikimu ir automatiniu izoliavimu.
• Užtikrinti mažiausiai privilegijų turinčių vartotojų paskyrų naudojimą; išjungti vietinio administratoriaus teises ten, kur jos nereikalingos; atskirti administratoriaus prisijungimo duomenis nuo kasdienio naudojimo.
• Apribokite makrokomandų vykdymą, scenarijų interpretatorius ir nepasirašytus dvejetainius failus naudodami grupės politiką, programų leidžiamųjų sąrašą ir kontroliuojamą prieigą prie aplankų.
• Įdiekite el. pašto saugumo filtravimą: smėlio dėžės tipo priedus, patikrinkite nuorodas ir pažymėkite įtartinus failų tipus arba netikrus siuntėjų domenus.
• Išjunkite automatinį paleidimą išimamose laikmenose ir nuskaitykite USB įrenginius prieš prijungdami.
• Reikalauti daugiafaktorinio autentifikavimo (MFA) nuotolinei prieigai, administratoriaus konsolėms ir atsarginių kopijų valdymo sąsajoms.

Ilgalaikės pamokos

„DeadLock“ sustiprina pasikartojančią temą, būdingą išpirkos reikalaujančioms programoms: užpuolikams nereikia pažangiausių spragų išnaudojimo būdų, jei galutiniai vartotojai reguliariai atsisiunčia nulaužtus įrankius, atidaro nepatikrintus priedus arba naršo nepatikimuose reklamos tinkluose. Pagrindiniai saugumo metodai, pataisų diegimo drausmė, prieigos kontrolė, stebimos atsarginės kopijos ir vartotojų informuotumas paverčia potencialią krizę atkuriamu įvykiu. Investuokite į šias apsaugos priemones dabar; kaina yra daug mažesnė nei išpirka, sumokėta esant spaudimui.

Baigiamosios mintys

Atsparumas išpirkos reikalaujančioms programoms sukuriamas gerokai anksčiau, nei ataka pasiekia jūsų ekraną. Suprasdami, kaip veikia „DeadLock“, ir įdiegdami daugiasluoksnes prevencines ir atkūrimo kontrolės priemones, pasiruošiate atlaikyti šią ir kitas panašias grėsmes. Skeptiškai vertinkite viską, ko sąmoningai neieškojote ar nepatikrinote. Jūsų budrumas yra pirmoji ir dažnai geriausia gynybos linija.