Traders Ransomware
Išpirkos reikalaujanti programinė įranga išlieka viena sparčiausiai plintančių ir labiausiai trikdančių grėsmių, su kuriomis susiduria asmenys ir organizacijos. Vienas sėkmingas įsilaužimas gali užšifruoti daugelio metų darbą, atskleisti privačius duomenis ir sukelti brangiai kainuojančias prastovas. Informavimas apie aktyvias virusų rūšis ir daugiasluoksnės apsaugos taikymas smarkiai sumažina tiek atakos tikimybę, tiek poveikį.
Turinys
Grėsmių profilis – kas yra „prekybininkai“?
„Traders“ yra failus šifruojanti išpirkos reikalaujanti programa, kurią saugumo analitikai pastebi grėsmių paieškos ir kenkėjiškų programų tyrimų metu. Kai ji įsitvirtina sistemoje, ji užšifruoja naudotojų duomenis ir pakeičia failų pavadinimus, kad pažymėtų įkaitų failus. Tada operatoriai reikalauja mokėjimo mainais už iššifravimo raktą, taip pat taiko spaudimą duomenų nutekėjimo grėsmėmis.
Skirtingi failų žymekliai – kaip pervadinami jūsų duomenys
Po užšifravimo „Traders“ prie kiekvieno paveikto failo prideda aukai būdingą identifikatorių ir plėtinį „.traders“. Šablonas apima aukos ID skliausteliuose, todėl kompromituotą failą lengva pastebėti skirtinguose aplankuose. Pavyzdžiui:
- 1.png tampa 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.prekiautojai
- 2.pdf tampa 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.prekiautojai
Išpirkos raštelis – užpuolikų reikalavimai ir pretenzijos
„Traders“ pateikia raštelį pavadinimu „README.TXT“. Laiške teigiama, kad dokumentai, nuotraukos, duomenų bazės ir kiti vertingi failai buvo užšifruoti, ir tvirtinama, kad atkūrimui reikalingas unikalus privatusis raktas, kurį turi užpuolikai. Rašte paprastai atgrasoma nuo savarankiškų iššifravimo bandymų, įspėjant, kad netinkami įrankiai gali negrįžtamai sugadinti duomenis. Jame pateikiami kontaktiniai duomenys, el. pašto adresas („traders@mailum.com“) ir sesijos pranešimų ID, per kurį aukoms nurodoma derėtis.
Dvigubas turto prievartavimas – duomenų vagystė kaip svertas
Be šifravimo, raštelyje grasinama, kad nesumokėjus išfiltruoti duomenys bus parduoti arba paskelbti. Ši „dvigubo išviliojimo“ taktika siekia išvilioti aukas, kurios pasikliauja atsarginėmis kopijomis, pridėdama prie lygties reputacijos, teisinę ir privatumo riziką.
Atsigavimo realybė – kas iš tikrųjų padeda
Šiuolaikinės išpirkos reikalaujančios programinės įrangos užblokuoti failai paprastai sunkiai atkuriami be užpuolikų iššifravimo įrankio. Praktiškai atkūrimo būdai apsiriboja švariomis, neprisijungus pasiekiamomis atsarginėmis kopijomis, kurios nebuvo pasiekiamos incidento metu. Griežtai nerekomenduojama mokėti išpirkos: nėra jokios garantijos, kad gausite veikiančius iššifravimo įrankius, o mokėjimas kursto tolesnę nusikalstamą veiklą.
Izoliavimas ir naikinimas – neatidėliotini veiksmai
Jei aptinkamas „Traders“, nedelsdami izoliuokite paveiktus kompiuterius nuo tinklo, kad sustabdytumėte tolesnį šifravimą ir viruso plitimą. Išsaugokite teismo ekspertizės artefaktus, įskaitant išpirkos raštelį, užšifruotų failų pavyzdžius ir susijusius žurnalus. Naudokite patikimą apsaugos nuo kenkėjiškų programų / EDR sprendimą, kad pašalintumėte naudingąją apkrovą ir bet kokius įsilaužimo mechanizmus. Po sunaikinimo atkurkite arba iš naujo sukurkite pažeistų sistemų atvaizdavimą, pakeiskite prisijungimo duomenis ir patikrinkite prieigos raktus bei žetonus. Tik tada turėtumėte pradėti atkurti duomenis iš patikrintų atsarginių kopijų, atidžiai stebėdami, ar nėra pakartotinio užkrėtimo.
Pradinė prieiga ir pristatymas – kaip prekiautojai pasiekia sistemas
Kaip ir daugelis išpirkos reikalaujančių programų šeimų, „Traders“ plinta keliais kanalais. Įprasti patekimo taškai yra kenkėjiški el. laiškų priedai ar nuorodos, Trojos arklio užkrėsta arba piratinė programinė įranga (įskaitant raktų generatorius ir nulaužimus), netikros techninės pagalbos masalai ir neištaisytų pažeidžiamumų išnaudojimas. Grėsmių kūrėjai taip pat piktnaudžiauja kenkėjiška reklama, pažeistomis arba panašiomis svetainėmis, užkrėstomis išimamomis laikmenomis, P2P tinklais, trečiųjų šalių atsisiuntimo portalais ir spąstais užgrobtais failų tipais, tokiais kaip vykdomieji diegimo failai, „Office“ ar PDF dokumentai su įterptomis makrokomandomis ar scenarijais ir suspausti archyvai (ZIP/RAR), kurie išpakuoja išpakavimo programas.
Sustiprinkite savo gynybą – esminės saugumo praktikos
- Tvarkykite atsargines kopijas neprisijungus.
- Nedelsiant diegkite pataisymus. Teikite pirmenybę internetinėms paslaugoms ir, jei įmanoma, automatiniams atnaujinimams.
- Įdiekite patikimą saugos programinę įrangą su apsauga realiuoju laiku, elgsenos blokavimu ir kontroliuojama prieiga prie aplankų.
- Sustiprinkite RDP ir nuotolinę prieigą. Išjunkite, jei nereikalinga, apribokite pagal leidžiamųjų sąrašą / VPN, reikalaukite daugiafaktorinio autentifikavimo ir stebėkite, ar nėra „brute-force“ arba anomalių prisijungimų.
- Išjunkite rizikingas makrokomandas ir scenarijus. Blokuokite „Office“ makrokomandas iš interneto, apribokite „PowerShell“ kalbos režimą ne administratoriams ir tikrinkite scenarijų vykdymą.
- Saugios naršyklės ir atsisiuntimai. Naudokite tik patikimas paslaugas, blokuokite žinomus kenkėjiškus domenus ir venkite trečiųjų šalių atsisiuntėjų bei P2P šaltinių.
Baigiamosios mintys
Prekiautojams skirta išpirkos reikalaujanti programinė įranga derina stiprų šifravimą su spaudimu išpirkos siekimui, todėl pasiruošimas yra geriausia gynyba. Nuolat atnaujinkite sistemas, užtikrinkite prieigą prie mažiausiai privilegijų turinčių asmenų, įdiekite veiksmingą galinių įrenginių apsaugą, segmentuokite tinklus ir, svarbiausia, palaikykite patikrintas neprisijungus sukurtas atsargines kopijas. Jei jau esate paveikti, sutelkite dėmesį į izoliaciją ir profesionalų taisymą, o ne į mokėjimus.
