RDAT išpirkos reikalaujanti programa
Išpirkos reikalaujanti programinė įranga išlieka viena iš labiausiai trikdančių grėsmių, su kuria susiduria namų vartotojai ir organizacijos. Vienas įsilaužimas gali per kelias minutes sugadinti dokumentus, nuotraukas ir verslo duomenis, o tada iš aukų išgauti prieigą. RDAT išpirkos reikalaujanti programinė įranga, gausios „Dharma“ šeimos atšaka, iliustruoja, kodėl būtini daugiasluoksniai apsaugos mechanizmai ir drausmingas atkūrimo planavimas.
Turinys
Grėsmių profilis: RDAT apžvalga
Informacijos saugumo tyrėjai RDAT aptiko atlikdami išsamią kylančios kenkėjiškos programos apžvalgą. Tai „Dharma“ variantas, specialiai sukurtas duomenų išgavimui: jis šifruoja failus ir verčia aukas mokėti už iššifravimą. RDAT taikosi į vietinius diskus ir tinklo bendrinimus, sąmoningai vengdamas svarbių sistemos failų, kad įrenginys išliktų paleidžiamas ir auka galėtų perskaityti išpirkos reikalaujančius pranešimus.
Ką mato aukos
Kai RDAT paleidžiamas, jis užšifruoja įvairių tipų failus. Failų pavadinimai pakeičiami taip, kad juose būtų unikalus aukos ID, užpuoliko el. pašto adresas ir plėtinys „.RDAT“, pavyzdžiui:
1.png tampa 1.png.id-9ECFA84E.[dat@mailum.com].RDAT
Po to seka du išpirkos reikalaujantys laiškai: iššokantis langas, kuriame nurodoma, kad failai yra užšifruoti, ir tekstinis failas pavadinimu „DAT_INFO.txt“ su kontaktinėmis instrukcijomis. Operatoriai siūlo „iššifruoti“ iki trijų failų (atsižvelgiant į dydžio / formato apribojimus) kaip įrodymą, kartu įspėdami, kad naudojant trečiųjų šalių įrankius arba modifikuojant užšifruotus duomenis galima prarasti duomenis visam laikui. Ši taktika skirta patikimumui ir skubumui didinti, o ne jums padėti.
Kaip RDAT išlieka ir plinta
RDAT paveldi „Dharma“ atkaklumo ir apsaugos nuo atkūrimo strategijas. Kenkėjiška programa nukopijuoja save į %LOCALAPPDATA%, registruoja automatinio paleidimo įrašus naudodama specialius paleidimo raktus ir iš naujo paleidžia sistemą po perkrovimo. Kad blokuotų greitą atkūrimą, ji ištrina šešėlines kopijas (Volume Shadow Copy). Prieš šifruodama, ji nutraukia procesus, kurie gali laikyti failus atidarytus (duomenų bazes, dokumentų skaitytuvus ir panašiai), užtikrindama maksimalų aprėpties lygį. Ji taip pat bando išvengti „dvigubo šifravimo“ duomenų, kuriuos jau paveikė kita išpirkos reikalaujanti programa, patikrindama duomenis pagal žinomą sąrašą – tai netobulas saugumo patikrinimas.
Taikinio pasirinkimas ir geofencingas
Kenkėjiška programa renka geolokacijos duomenis, kad įvertintų, ar auka yra linkusi mokėti. Jei regionas atrodo nepalankus dėl ekonominių ar geopolitinių priežasčių, ji gali visiškai praleisti šifravimą. Toks elgesys yra skirtas tik maksimaliai padidinti išpirkos dydį.
Kodėl mokėti yra pralaimėtas statymas
Iššifravimas po išpirkos reikalaujančios programinės įrangos atakos paprastai neįmanomas be užpuolikų raktų, nebent programa turi rimtų trūkumų. Net ir tokiu atveju mokėti rizikinga: daugelis aukų niekada negauna veikiančių iššifravimo įrankių. Mokėjimas taip pat finansuoja daugiau atakų. Atsakingas kelias yra pašalinti kenkėjišką programą, atkurti ją iš patikimų atsarginių kopijų ir sustiprinti sistemas, kad būtų išvengta pasikartojančių incidentų.
Patvirtinti pristatymo kanalai
Dharma šeimos įsilaužimai dažnai prasideda nuo pavojuje esančio arba silpnai apsaugoto nuotolinio darbalaukio protokolo (RDP). Užpuolikai naudojasi „brute-force“ ir žodynų atakomis, o patekę į sistemą gali išjungti pagrindinių kompiuterių užkardas. Be RDP, ekosistema naudoja sukčiavimą sukčiavimo ir socialinės inžinerijos, kenkėjiškos reklamos, nepatikimų programinės įrangos šaltinių, šlamšto priedų ir įkėlimo / galinių durų Trojos arklių schemas. Kenkėjiški paketai dažniausiai siunčiami kaip archyvai (RAR / ZIP), vykdomieji failai, scenarijai (įskaitant „JavaScript“) ir dokumentai (PDF, „Office“, „OneNote“). Kai kurios šeimos taip pat plinta per vietinius tinklus ir išimamas laikmenas.
Izoliavimas ir atkūrimas
Pašalinkite išpirkos reikalaujančią programinę įrangą, kad sustabdytumėte tolesnį šifravimą, tačiau supraskite, kad pašalinimas neatkuria užrakintų failų. Atkūrimui reikalingos švarios, versijomis pagrįstos atsarginės kopijos. Auksinis standartas yra saugoti kopijas keliose vietose ir laikmenų tipuose, įskaitant neprisijungus saugomas saugyklas, prie kurių kenkėjiškos programos negali prisijungti.
Įprasti išpirkos reikalaujančių programų grėsmių prieigos ir platinimo vektoriai:
- Atidengtos / silpnos RDP paslaugos, kredencialų įterpimas ir prisijungimai naudojant „brute-force“ technologiją
- Sukčiavimo el. laiškai, socialinės inžinerijos jaukai, šlamšto priedai ir nuorodos, kenkėjiška reklama, Trojos arklio užkrėsti atsisiuntimai, automatiniai atsisiuntimai, piratinė programinė įranga ir „įtrūkimai“, netikri atnaujinimai ir užkrėtimas per įkėlimo / galines duris; šoninis plitimas per LAN ir išimamus USB / atminties įrenginius.
Esmė
RDAT išpirkos reikalaujanti programa yra drausmingas, pelno siekiantis „Dharma“ variantas: ji išlieka net ir paleidus sistemą iš naujo, ištrina atkūrimo taškus, taikosi į vietinius ir bendrinamus duomenis ir paverčia spaudimo taktiką ginklu, kad išgautų pinigus. Patikimiausias būdas užtikrinti atsparumą yra proaktyvus apsaugos stiprinimas, patikimos, neprisijungus veikiančios atsarginės kopijos ir gerai parengtas atkūrimas. Nemokėkite; sunaikinkite, atkurkite ir sustiprinkite apsaugą, kad išvengtumėte kito bandymo.
Žinutės
Rasti šie pranešimai, susiję su RDAT išpirkos reikalaujanti programa:
All your files have been encrypted! |
Ransom note presented as a text file: |
