„RestoreMyData“ išpirkos reikalaujanti programa
Kenkėjiškų programų kampanijos nuolat vystosi, o išpirkos reikalaujanti programinė įranga išlieka viena žalingiausių grėsmių įvairaus dydžio vartotojams ir organizacijoms. Vienas sėkmingas įsilaužimas gali sustabdyti operacijas, sugadinti atsargines kopijas, sukelti duomenų nutekėjimo išpirkos reikalavimą ir pareikalauti ilgų, brangių atkūrimo procesų. Proaktyvi gynyba ir drausmingas reagavimas vaidina lemiamą vaidmenį ribojant sprogimo spindulį tada, kai įvyksta ataka, o ne jai įvykus.
Turinys
Kas yra „RestoreMyData“ išpirkos reikalaujanti programa?
„RestoreMyData“ užrakina aukų duomenis ir reikalauja iš jų išpirkos. Ši išpirkos reikalaujanti virusų atmaina buvo identifikuota vykdant nuolatinius grėsmių paieškos tyrimus. Kaip ir kitos šiuolaikinės šeimos, ji šifruoja failus ir reikalauja mokėjimo už iššifravimo įrankį, kartu tvirtindama, kad išfiltruoja jautrius verslo duomenis, kad galėtų daryti spaudimą aukoms viešai nutekinta informacija.
Kaip vyksta ataka
Įsitvirtinusi, dažnai per socialinę inžineriją, kenkėjiškus atsisiuntimus ar antrinę kenkėjišką programinę įrangą, išpirkos reikalaujanti programa vykdo savo šifravimo procedūrą. Kiekvieno paveikto failo pavadinimas pakeičiamas pridedant „.restoremydata.pw“. Pavyzdžiui, „1.png“ tampa „1.png.restoremydata.pw“, o „2.pdf“ tampa „2.pdf.restoremydata.pw“. Baigus šifravimą, kenkėjiška programa pateikia išpirkos raštelį pavadinimu „HOW_TO_RECOVERY_FILES.txt“. Raštas aiškiai skirtas įmonėms, o ne namų vartotojams, įspėjant, kad operacijoms gresia pavojus, failai nepasiekiami be užpuolikų pagalbos, o pavogti įmonės duomenys bus paviešinti, jei reikalavimai bus ignoruojami.
Išpirkos pastabos viduje: taktika ir spaudimas
Pranešime teigiama, kad unikalų iššifravimo raktą turi tik užpuolikai ir kad kitoms aukoms naudojami iššifravimo įrankiai neveiks. Jame įspėjama nekeisti užšifruotų failų, kad būtų išvengta negrįžtamos žalos. Kaip „iššifravimo įrodymą“ operatoriai siūlo atkurti vieną bandomąjį failą, paprastai iki 2 MB, o ne svarbų išteklių, pvz., duomenų bazę, atsarginę kopiją ar didelę skaičiuoklę. Tai įprasta socialinės inžinerijos technika, skirta sukurti patikimumą ir paskatinti aukas mokėti.
Išpirkos mokėjimas: rizika ir realybė
Daugeliu atvejų šiuolaikinių išpirkos reikalaujančių programų užblokuotų failų iššifravimas neįmanomas be užpuoliko raktų. Tačiau mokėjimas negarantuoja atkūrimo; aukos dažnai praneša, kad pervedusios lėšas negavo nieko naudingo. Mokėjimas taip pat kursto nusikalstamą ekosistemą. Pateisinama išeitis – vengti mokėjimo, sutelkti dėmesį į naikinimą ir atkurti duomenis iš švarių atsarginių kopijų.
Patvarumas, šoninis judėjimas ir plitimas
Be pradinio kompromitavimo, kai kurios grėsmės bando plisti horizontaliai per vietinius tinklus, piktnaudžiauti administravimo įrankiais, rinkti prisijungimo duomenis ir plisti per išimamas laikmenas (USB atmintines, išorinius diskus). Reikėtų manyti, kad „RestoreMyData“ gali panaudoti panašius ekosistemoje naudojamus metodus, o tai reiškia, kad aptikus indikatorius, labai svarbus yra izoliavimo greitis.
Pradinės prieigos ir pristatymo kanalai
Išpirkos reikalaujančių programų operatoriai naudojasi gerai žinomais platinimo būdais: sukčiavimo el. laiškais ir žinutėmis su spąstais prisegtais priedais ar nuorodomis, Trojos arkliais ir įkrovikliais, kurie vėliau įkelia naudingąją informaciją, automatiniais atsisiuntimais iš pažeistų svetainių, nemokamos programinės įrangos portalais ir P2P tinklais su perpakuotais diegimo failais, kenkėjiška reklama, netikriais atnaujinimais ir „nulaužimo“ įrankiais. Kenkėjiškas turinys dažnai maskuojamas kaip archyvai (ZIP/RAR), vykdomieji failai, PDF, „Office“ ar „OneNote“ dokumentai, „JavaScript“ ir kt.; vykdymas prasideda vos tik vartotojui atidarius arba paleidžiant failą.
Išnaikinimo ir atkūrimo strategija
Nedelsdami izoliuokite paveiktas sistemas nuo tinklo, kad sustabdytumėte šifravimo plitimą ir duomenų nutekėjimą. Atlikite kruopštų pašalinimą naudodami patikimas, visiškai atnaujintas saugos priemones. Supraskite, kad pašalinimas sustabdo tolesnę žalą, bet neiššifruoja jau užblokuotų duomenų. Atkūrimas turėtų būti atliekamas iš atsarginių kopijų, kurios dar nebuvo paveiktos.
Esmė
„RestoreMyData“ išpirkos reikalaujanti programa yra šių dienų dvigubo turto prievartavimo pavyzdys: greitas šifravimas, unikalūs aukos raktai, spaudimą reikalaujantys išpirkos rašteliai ir grasinimai nutekinti pavogtus duomenis. Kai tik įmanoma, venkite mokėti, ryžtingai pašalinkite kenkėjišką programą ir pasikliaukite patikrintomis, reguliariai testuojamomis atsarginėmis kopijomis, kad atkurtumėte duomenis. Organizacijos, kurios derina daugiasluoksnę prevenciją, griežtą privilegijų kontrolę, atsparias atsargines kopijas ir praktikuojamą reagavimą į incidentus, žymiai padidina savo tikimybę atlaikyti tokio tipo atakas.
Žinutės
Rasti šie pranešimai, susiję su „RestoreMyData“ išpirkos reikalaujanti programa:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
