„Solara“ išpirkos reikalaujanti programa

„Solara“ – tai neseniai pastebėta išpirkos reikalaujančios programinės įrangos atmaina, kuri, pasak tyrėjų, sukurta remiantis viešai platinamu „Chaos“ šeimos kodu. Tokia išpirkos reikalaujanti programinė įranga kaip „Solara“ šifruoja vartotojų failus, reikalauja mokėjimo ir gali visam laikui sutrikdyti prieigą prie svarbių duomenų, todėl labai svarbu apsaugoti įrenginius ir atsargines kopijas.

KĄ VEIKIA SOLARA

Analizės metu buvo pastebėta, kad „Solara“ šifruoja failus ir prie failų pavadinimų prideda teksto eilutę „.solara“ (pavyzdžiui, „1.png“ → „1.png.solara“). Kenkėjiška programa taip pat pateikia išpirkos raštelį pavadinimu „read_it.txt“, kuriame teigiama, kad auka suaktyvino apsaugą nuo įsilaužimų, ir nurodoma aukoms gauti iššifravimo įrankį iš internetinio veikėjo. Keliose ataskaitose ir pavyzdinėse analizėse „Solara“ siejama su „Chaos“ išpirkos reikalaujančių programų šeima ir aprašomas panašus elgesys (šifravimas, plėtinio pakeitimas ir paprasto teksto išpirkos raštelis).

IŠPIRKOS VEKSELIO IR MOKĖJIMO PRETENZIJOS

Analitikų išnagrinėtame išpirkos pranešime teigiama, kad failų atkūrimas „beveik neįmanomas“ be užpuoliko iššifravimo įrankio. Pranešime aukoms nurodoma susisiekti su „Discord“ vartotoju (xenqxd) ir siūlomi mokėjimo būdai, tokie kaip „Paysafecard“ (Lenkijoje) arba nedidelė bitkoinų suma. Pažymėtina, kad kai kuriuose pavyzdžiuose nėra reikšmingų kontaktinių kanalų, o tai gali rodyti nesubrendusią ar pokštus primenančią kampaniją arba operatorius, kurie tiesiog neketina derėtis. Į visus tokius reikalavimus žiūrėkite itin įtariai.

AR GALITE ATKURTI FAILUS NEMOKĖDAMI?

Apskritai, „Chaos“ šeimos grėsmių užšifruotų failų be tinkamo iššifravimo rakto atkurti neįmanoma. Jei turite švarias, neprisijungusias atsargines kopijas, sukurtas iki užkrėtimo, saugiausias rekomenduojamas būdas yra jas atkurti. Mokėti nerekomenduojama, nes nusikaltėliai dažnai nepateikia tinkamų iššifravimo įrankių, o lėšų mokėjimas tęsia nusikalstamą veiklą.

ĮPRASTI INFEKCIJOS VEKTORIAI

• Piratinė programinė įranga, keygenai ir „nulaužtos“ programos, užmaskuotos kenkėjiška programa.
• Kenkėjiški el. laiškų priedai ir nuorodos („Office“ makrokomandos, scenarijai, EXE failai).
• Užkrėstos reklamos, pažeistos arba neoficialios atsisiuntimo svetainės, P2P / torrent tinklai, USB atmintinės ir trečiųjų šalių atsisiuntimo programos.

SKUBIOS IMTIS VEIKSMŲ ĮTARUS INFEKCIJĄ

Nedelsdami izoliuokite įrenginį : atjunkite jį nuo tinklų (laidinio/„Wi-Fi“) ir atjunkite visus bendrinamus/tinklo diskus, kad sustabdytumėte viruso plitimą iš šonų.

Išsaugokite įrodymus : jei renkate atmintį ar teismo ekspertizės artefaktus, neišjunkite ir neperjunkite įrenginio, verčiau, jei turite tokią galimybę, fiksuokite atminties ir disko atvaizdus arba skambinkite incidentų reagavimo tarnybai.

Naudokite atsargines kopijas : atkurkite duomenis iš patikimų atsarginių kopijų, kai kenkėjiška programa bus pašalinta ir sistemos bus atkurtos; neatkurkite atsarginių kopijų, kurios galėjo būti prijungtos užkrėtimo metu.

Nemokėkite, kol incidentų reagavimo komanda neįvertino visų galimybių ir pasekmių; mokėjimas negarantuoja veiksmingumo ir gali paskatinti būsimus išpuolius.

GERIAUSIA SAUGUMO PRAKTIKA

Palaikykite atnaujintą, daugiasluoksnę gynybą, apimančią šią kasdienės veiklos praktiką:

Pataisų valdymas : nedelsdami diegkite OS ir programų saugumo atnaujinimus; daugelis išpirkos reikalaujančių programų atmainų išnaudoja žinomas ir pataisytas spragas.

Mažiausios privilegijos ir paskyros higiena : paleiskite vartotojus su ne administratoriaus paskyromis, užtikrinkite griežtą daugiafaktorinį autentifikavimą nuotolinei prieigai ir privilegijuotoms paskyroms bei stebėkite neįprastą prisijungimo elgseną.

Atsarginių kopijų kūrimo strategija : reguliariai kurkite atsargines kopijas ir laikykite jas atskirai nuo tinklo. Juk atsarginės kopijos yra veiksmingiausia atkūrimo kontrolės priemonė nuo šifravimo atakų.

Galinių įrenginių apsauga ir EDR : diegkite patikimus galinių įrenginių aptikimo ir reagavimo sprendimus, kurie gali aptikti vykdymo anomalijas, blokuoti kenkėjiškas apkrovas ir užtikrinti greitą izoliaciją. Nuolat įjunkite parašus ir telemetriją.

Vartotojų švietimas ir apsauga nuo sukčiavimo : apmokykite vartotojus vengti naudoti nulaužtas programas / raktų generatorius, tikrinti el. laiškų siuntėjus ir nuorodas bei įtariai vertinti netikėtus priedus. Imituojamos sukčiavimo apsimetant ir informavimo kampanijos sumažina žmogiškąjį rizikos faktorių.

Programų valdikliai ir makrokomandų apribojimai : pagal numatytuosius nustatymus išjunkite „Office“ makrokomandas, blokuokite jų vykdymą iš dažniausiai piktnaudžiavimo vietų (pvz., %AppData%, laikini aplankai) ir, kai įmanoma, naudokite programų leidžiamųjų sąrašą.

BAIGIAMOSIOS PASTABOS

„Solara“ iliustruoja dažniausiai pasitaikančias rizikas, susijusias su viešai prieinamais išpirkos reikalaujančių programų kūrėjais: daugėja atšakų ir variantų, o užpuolikai nuolat pritaiko platinimo metodus, kad nukreiptų juos į konkrečias bendruomenes (ataskaitose žaidimų forumai ir piratinės programinės įrangos kanalai nurodomi kaip galimi masalai). Geriausia apsauga yra prevencija, patikimos atsarginės kopijos, greitas izoliavimas ir darbas su apmokytomis reagavimo komandomis, o ne išpirkų mokėjimas. Jei įtariate, kad buvo įsilaužta ir jums reikia nuoseklios pagalbos valant ataką, surinkite pavyzdinius indikatorius (failų pavadinimus, maišos taškus, išpirkos raštelio tekstą) ir kreipkitės į patikimą incidentų reagavimo teikėją arba savo saugos tiekėją, kad gautumėte izoliavimo ir atkūrimo gaires.