Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware „NeZha“ išpirkos reikalaujanti programa

„NeZha“ išpirkos reikalaujanti programa

Autorius Mezo, Ransomware
Versti į:

Išpirkos reikalaujanti programinė įranga išlieka viena iš labiausiai trikdančių grėsmių, su kuriomis susiduria asmenys ir organizacijos. Vienas sėkmingas įsilaužimas gali sustabdyti operacijas, sugadinti ar išgauti jautrius duomenis ir paskatinti brangias atkūrimo pastangas. Tvirtų, daugiasluoksnių apsaugos sistemų kūrimas prieš incidentą yra vienintelis patikimas būdas sumažinti poveikį tada, kai užpuolikai bando savo laimę, o ne jei jie patys bando savo laimę.

Grėsmių apžvalga

Tyrėjai nustatė sudėtingą išpirkos reikalaujančią viruso atmainą, vadinamą „NeZha“. Kaip ir kitų šios kategorijos šeimų, „NeZha“ pagrindinis tikslas yra paprastas: užšifruoti kuo daugiau failų ir tada priversti mokėti už iššifravimo raktą. Jos operatoriai save pozicionuoja kaip vienintelį kelią atkurti duomenis ir didina spaudimą laiko apribojimais bei duomenų nutekėjimo grėsmėmis.

Sistemos veikimas ir failų pakeitimai

Kai „NeZha“ įsitvirtina, ji pradeda šifruoti vartotojų ir verslo duomenis bendrose vietose. Šifravimo metu ji taip pat pervadina elementus, pridėdama aukai būdingą identifikatorių ir plėtinį „.NeZha“. Stebėtais atvejais failų pavadinimai įgauna GUID tipo ID; pavyzdžiui, pastebėta, kad gerybinis failas, pvz., „1.png“, buvo transformuotas į pavadinimą, panašų į „1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha“. Baigusi užduotį, „NeZha“ į paveiktus katalogus įkelia išpirkos raštelį pavadinimu „README.TXT“.

Išpirkos raštelis ir spaudimo taktika

Rašte teigiama, kad duomenų bazės, dokumentai, nuotraukos ir kiti failai yra užšifruoti ir kad vienintelis būdas išspręsti problemą yra nusipirkti iššifravimo raktą iš užpuolikų. Siekdami sustiprinti patikimumą, nusikaltėliai dažnai siūlo nemokamai iššifruoti vieną nekritinį failą. Jie perspėja nekeisti užrakintų failų, nenaudoti trečiųjų šalių iššifravimo įrankių ar kreiptis pagalbos iš išorės, teigdami, kad tai padidins nuostolius. Nustatytas 24 valandų terminas pirmajam kontaktui; jei to nepraleisite, operatoriai grasina nutekinti arba parduoti slaptus įmonės duomenis, kuriuos, jų teigimu, išfiltravo – tai „dvigubo turto prievartavimo“ pavyzdys.

Atsigavimo realybė ir mokėjimo dilema

Techniškai daugumos šiuolaikinių išpirkos reikalaujančių programų negalima iššifruoti be užpuolikų privačiųjų raktų, nebent kenkėjiška programa turi rimtų trūkumų – tai neįprastas scenarijus. Tačiau mokėti yra rizikinga ir nerekomenduojama: daugelis aukų net ir pervedusios lėšas negauna veikiančių iššifravimo programų, o mokėjimas remia nusikalstamą veiklą. Saugesnis kelias – pasikliauti švariomis, neprisijungus pasiekiamomis atsarginėmis kopijomis ir oficialiu incidentų atsaku.

Izoliavimas ir pašalinimas

Pašalinus „NeZha“, sustabdomas tolesnis šifravimas, bet neatrakinamas jau paveiktų failų. Prioritetai turėtų būti užkrėstų sistemų izoliavimas nuo tinklo, įrodymų išsaugojimas teismo ekspertizei, kenkėjiškų programų naikinimas naudojant patikimus įrankius arba švarų atkūrimą, o tada atkūrimas iš žinomų, patikimų atsarginių kopijų. Jei įtariate duomenų nutekėjimą, aktyvuokite savo reagavimo į pažeidimus planą ir apsvarstykite teisinius, reguliavimo ir klientų informavimo įsipareigojimus.

Kaip NeZha paprastai plinta

„NeZha“ vadovaujasi daugelio išpirkos reikalaujančių programų kampanijų strategija, pasitelkdama tiek vartotojų, tiek užpuolikų valdomus pateikimo metodus. Užpuolikai gali užmaskuoti naudingąją informaciją kaip teisėtą turinį arba įterpti ją į programinės įrangos paketus, o tada suaktyvinti vykdymą atidarius failą ar paleidžiant scenarijų. Kai kurie variantai taip pat gali plisti horizontaliai vietiniuose tinkluose arba nukopijuoti save į išimamą laikmeną.

Įprasti pristatymo vektoriai

  • Sukčiavimas apsimetant ir socialinė inžinerija, leidžianti atidaryti spąstais užminuotus priedus („Office“ / „OneNote“ / PDF), scenarijus („JavaScript“), archyvus (ZIP / RAR) arba vykdomuosius failus (.exe / .run).
  • Trojanizuoti diegimo, įkėlimo ir galinių durų virusai, kurie kaip antrąjį etapą įtraukia išpirkos reikalaujančias programas.
  • Apgaulingi ir atsitiktiniai atsisiuntimai iš pažeistų ar kenkėjiškų svetainių.
  • Nepatikimi atsisiuntimo šaltiniai (nemokamų programų portalai, trečiųjų šalių veidrodžiai, P2P tinklai).
  • Šlamšto kampanijos, internetinės sukčiavimo atvejai ir kenkėjiška reklama, nukreipianti į naudingąją apkrovą.
  • Neteisėtos aktyvinimo priemonės („įtrūkimai“), piratinė programinė įranga / laikmenos ir netikri atnaujinimų raginimai.
  • Savaime plinta per vietinius tinklus ir išimamą laikmeną (USB diskus, išorinius HDD).

Baigiamosios mintys

„NeZha“ atitinka šiuolaikinius išpirkos reikalaujančių programų standartus: greitas šifravimas, stipri prievarta ir patikimos duomenų atskleidimo grėsmės. Didžiausią įtaką galite pasiekti prieš incidentą, taikydami griežtą higieną, daugiasluoksnę kontrolę, patikrintas atsargines kopijas ir praktikuojantį reagavimą. Derinkite technines apsaugos priemones su vartotojų švietimu ir drausmingomis operacijomis, kad sumažintumėte „NeZha“ atakos tikimybę ir jos poveikio spindulį.

Žinutės

Rasti šie pranešimai, susiję su „NeZha“ išpirkos reikalaujanti programa:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,998
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...