Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Kremliaus išpirkos reikalaujanti programa

Kremliaus išpirkos reikalaujanti programa

Autorius Mezo, Ransomware
Versti į:

Išpirkos reikalaujanti programinė įranga yra viena iš žalingiausių kenkėjiškų programų formų: ji tyliai užgrobia failus, neleidžia jiems teisėtai prisijungti ir priverčia aukas pralaimėti derybas. Įrenginių ir tinklų apsauga yra būtina ne tik siekiant išsaugoti asmeninius ir verslo duomenis, bet ir siekiant išvengti sutrikimų, finansinių nuostolių ir platesnio tinklo pažeidimo.

Kremliaus grėsmės apžvalga

KREMLIN yra išpirkos reikalaujančių programų šeima, aptikta tikrinant pavojingą kenkėjiškų programų pavyzdį. Ji elgiasi paprastai ir negailestingai: užšifruoja aukų failus ir prideda plėtinį „.KREMLIN“ (pavyzdžiui, „1.png“ → „1.png.KREMLIN“, „2.pdf“ → „2.pdf.KREMLIN“) ir pateikia README.txt išpirkos raštelį, kuriame aukoms nurodoma susisiekti su užpuolikais per „Telegram“ adresu @KremlinRestore. Šis raštelis yra užpuolikų įėjimo taškas deryboms dėl mokėjimo ir kriptovaliutos informacijos pateikimui. Atkurti failus be užpuolikų iššifravimo įrankių retai įmanoma, todėl labai svarbi gera prevencija ir patvarios atsarginės kopijos.

Kaip veikia Kremlius?

Sėkmingai įvykdytas uždavinys „KREMLIN“ išvardija ir užšifruoja naudotojų duomenų failus, pervadindamas juos plėtiniu „.KREMLIN“. Palieka tekstinį failą su išpirkos instrukcijomis ir kontaktine informacija, kuri nukreipia aukas pas užpuolikus „Telegram“ programoje. Tada veikėjai paprastai pateikia mokėjimo instrukcijas (kriptovaliutos piniginę, sumą). Jei išpirkos reikalaujanti programa lieka sistemoje, ji gali toliau šifruoti papildomus failus arba bandyti plisti į kitus to paties tinklo pagrindinius kompiuterius.

Įprasti pristatymo ir dauginimo vektoriai

Grėsmių vykdytojai naudoja įvairias socialinės inžinerijos ir platinimo technikas, kad platintų išpirkos reikalaujančias programas, tokias kaip „KREMLIN“. Įprasti vektoriai apima piratines programas, įsilaužimo įrankius ir raktų generatorius, kenkėjiškus ar netikrus el. laiškų priedus ir nuorodas (kenkėjiškus „Office“ dokumentus, PDF failus, archyvus), techninės pagalbos sukčiavimą, netaisytų programinės įrangos pažeidžiamumų išnaudojimą, užkrėstus USB įrenginius, pažeistas ar neoficialias atsisiuntimo svetaines, P2P tinklus, kenkėjiškas reklamas ir trečiųjų šalių atsisiuntimo programas. Užpuolikai dažnai sujungia arba užmaskuoja vykdomuosius failus dokumentuose ar archyvuose, kad vartotojai būtų apgauti ir priverstų juos paleisti.

Kodėl nerekomenduojama mokėti ir ko aukos turėtų tikėtis

Išpirkos sumokėjimas negarantuoja duomenų atkūrimo: užpuolikai gali nepristatyti veikiančio iššifravimo įrankio, pareikalauti papildomų mokėjimų arba tiesiog dingti. Mokėjimas taip pat skatina nusikalstamą veiklą ir padidina būsimų taikinių tikimybę. Organizacijos, turinčios patikimas, patikrintas atsargines kopijas, turi didžiausią tikimybę visiškai atkurti duomenis nemokant. Nepriklausomai nuo to, ar failai galiausiai atkuriami, labai svarbu pašalinti išpirkos reikalaujančią programinę įrangą iš užkrėstų sistemų – kitaip ji gali iš naujo užšifruoti atkurtus failus arba plisti toliau.

Neatidėliotini veiksmai aptikus infekciją

Pirmieji prioritetai yra teismo ekspertizės įrodymų izoliavimas ir išsaugojimas. Nedelsdami atjunkite užkrėstus kompiuterius nuo tinklų (atjunkite tinklo kabelius, išjunkite „Wi-Fi“) ir izoliuokite juos, kad būtų išvengta šoninio judėjimo. Jei planuojate atlikti teismo ekspertizės duomenų rinkimą, staigiai neišjunkite sistemų; vietoj to, jei įmanoma, išsaugokite vaizdus ir dokumentuokite laiko žymas bei atliktus veiksmus. Jei patikrinote ir neseniai darėte atsargines kopijas, pradėkite kontroliuojamą atkūrimą tik įsitikinę, kad kenkėjiška programa buvo išnaikinta iš aplinkos.

Geriausia saugumo praktika rizikai sumažinti ir poveikiui apriboti

Palaikykite patikrintas atsargines kopijas neprisijungus: reguliariai kurkite svarbių duomenų atsargines kopijas, bent vieną kopiją saugodami neprisijungę arba nekeičiamoje laikmenoje. Reguliariai tikrinkite atkūrimo procedūras, kad atsarginės kopijos būtų patikimos incidento atveju.

Sistemų pataisymai ir apsaugos nuo virusų šalinimas : laiku atnaujinkite operacinių sistemų, programų ir programinės įrangos saugos duomenis. Sumažinkite atakų riziką išjungdami nenaudojamas paslaugas ir pašalindami nereikalingą programinę įrangą.

Naudokite galinių taškų apsaugą ir EDR : Įdiekite modernius antivirusinius ir galinių taškų aptikimo bei reagavimo sprendimus, kurie gali aptikti ir blokuoti kenkėjišką elgesį, naudodami centralizuotą registravimą ir įspėjimus.

Užtikrinti mažiausių privilegijų ir tinklo segmentavimą : apriboti vartotojų ir paslaugų privilegijas iki būtiniausių. Segmentuoti tinklus taip, kad pažeistas galinis taškas negalėtų lengvai pasiekti svarbių serverių ar atsarginių kopijų.

Griežtas autentifikavimas ir daugiafaktorinis autentifikavimas : nuotolinei prieigai, el. paštui ir administratoriaus paskyroms reikalingas daugiafaktorinis autentifikavimas. Numatytuosius arba silpnus slaptažodžius pakeiskite stipriais, unikaliais prisijungimo duomenimis.

Saugūs el. pašto ir žiniatinklio šliuzai : naudokite pažangų el. pašto filtravimą ir URL nuskaitymą, kad sumažintumėte kenkėjiškų priedų ir sukčiavimo nuorodų skaičių. Įdiekite DNS ir žiniatinklio filtravimą, kad blokuotumėte prieigą prie žinomų kenkėjiškų svetainių arba komandų ir valdymo infrastruktūros.

Vartotojų mokymai ir sukčiavimo apsimetant atakų modeliavimas : reguliariai mokykite darbuotojus atpažinti sukčiavimą, socialinę inžineriją ir įtartinus atsisiuntimus; naudokite imituotas sukčiavimo apsimetant kampanijas, kad įvertintumėte ir pagerintumėte informuotumą.

Valdykite programinės įrangos diegimą ir išimamas laikmenas : apribokite galimybę diegti programas arba vykdyti nepasirašytą kodą. Blokuokite arba stebėkite USB diskų ir kitų išimamų laikmenų naudojimą.

Atgavimo ir valymo aspektai

Išpirkos reikalaujančios programinės įrangos sunaikinimas yra būtina sąlyga saugiam atkūrimui. Bendradarbiaukite su IT ir saugumo specialistais, kad nustatytumėte įsibrovimo mechanizmus (paleidimo įrašus, suplanuotas užduotis, paslaugas, šoninio judėjimo artefaktus) ir juos pašalintumėte. Prireikus iš naujo sukurkite labai pažeistų sistemų atvaizdus. Prieš atkurdami duomenis, įsitikinkite, kad aplinka yra švari; priešingu atveju atkurti duomenys gali būti iš naujo užšifruoti. Išsaugokite įrodymus teisėsaugos institucijoms ir, jei reikia, pasikonsultuokite su kibernetinio draudimo teikėjais ir teisininkais dėl atskleidimo reikalavimų.

Baigiamosios pastabos – atsparumas, o ne išpirka

Kremliaus veikimo būdas – failų šifravimas ir kriptovaliutos mokėjimo reikalavimas, gavus aukoms nurodymą susisiekti per „Telegram“, yra tipiškas šiuolaikinėms išpirkos reikalaujančioms programoms: greitas, trikdantis ir finansiškai motyvuotas. Veiksmingiausia gynyba yra daugiasluoksnė saugumo pozicija (techninė kontrolė, pataisymai, aptikimas), patikimos neprisijungus kuriamos atsarginės kopijos ir praktikuojamas reagavimas į incidentus. Užkrėtimo atveju pirmenybė teikiama failų izoliavimui, pašalinimui ir atkūrimui iš patikimų atsarginių kopijų; venkite pasikliauti užpuolikų pažadais ir pasitelkite profesionalius incidentų likvidavimo specialistus bei teisėsaugos institucijas.

Žinutės

Rasti šie pranešimai, susiję su Kremliaus išpirkos reikalaujanti programa:

Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
36,104
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...