Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Raganų išpirkos programa

Raganų išpirkos programa

Autorius Mezo, Ransomware
Versti į:

Šiandieninėje tarpusavyje susijusioje skaitmeninėje aplinkoje įrenginių apsauga nuo kenkėjiškų programų nebėra pasirinktina. Išpirkos reikalaujanti programinė įranga ypač išsivystė į nuolatinę ir žalingą grėsmę, galinčią per kelias minutes užrakinti svarbius duomenis. Viena iš tokių atmainų, žinoma kaip „Witch Ransomware“, rodo, kad net ir, atrodytų, nebrangios turto prievartavimo kampanijos gali turėti rimtų pasekmių tiek asmenims, tiek organizacijoms.

Raganų išpirkos reikalaujanti programa: grėsmės apžvalga

„Witch“ išpirkos reikalaujančią virusą informacijos saugumo tyrėjai identifikavo atlikdami įprastus kenkėjiškų programų grėsmių tyrimus. Paleidus išpirkos reikalaujančią virusą pažeistoje sistemoje, jis užšifruoja failus naudodamas stiprų kriptografinį algoritmą ir prie kiekvieno paveikto failo prideda plėtinį „.witch“. Pavyzdžiui, failas pavadinimu „1.png“ tampa „1.png.witch“, o „2.pdf“ pervadinamas į „2.pdf.witch“. Šis plėtinys yra matomas pažeidimo žymuo ir signalizuoja, kad duomenys nebėra pasiekiami be iššifravimo.

Be failų šifravimo, „Witch“ sukuria išpirkos raštelį pavadinimu „readme.txt“. Šiame faile yra užpuolikų instrukcijos ir įspėjimai, kuriuose nurodomas tariamas duomenų atkūrimo kelias.

Išpirkos raštelio anatomija

Išpirkos raštelyje teigiama, kad visi aukos failai buvo užšifruoti naudojant stiprų algoritmą, ir tvirtinama, kad tik užpuolikai turi reikiamą iššifravimo programinę įrangą. Taip pat teigiama, kad jokios trečiųjų šalių atkūrimo priemonės negali atkurti prieigos, ir įspėjama, kad nepriklausomi iššifravimo bandymai gali visam laikui sugadinti užšifruotus duomenis.

Aukos raginamos neatkurti ir neišjungti savo sistemų, nepervadinti ir neperkelti užšifruotų failų ar failo „readme.txt“, taip pat neištrinti išpirkos reikalaujančio pranešimo. Užpuolikų teigimu, tokie veiksmai gali padaryti atkūrimą neįmanomą. Norėdami gauti daugiau instrukcijų, aukos raginamos susisiekti su kenkėjiškų programų kūrėjais el. paštu „cozypandas@morke.ru“.

Reikalaujama išpirka yra 25 JAV doleriai, mokami Monero (XMR) arba Bitcoin (BTC). Abiejų kriptovaliutų piniginių adresai pateikti raštelyje. Nors prašoma suma gali atrodyti gana maža, palyginti su kitomis išpirkos reikalaujančiomis programinėmis kampanijomis, sumokėjimas negarantuoja failų atkūrimo ir gali paskatinti tolesnę nusikalstamą veiklą.

Šifravimo poveikis ir atkūrimo iššūkiai

Kai „Witch Ransomware“ užšifruoja failus, prieigos atgauti paprastai neįmanoma be užpuolikų iššifravimo rakto. Šifravimo procesas iš esmės pakeičia duomenų struktūrą, todėl failai tampa nenaudojami. Nesant veikiančių atsarginių kopijų, aukos dažnai susiduria su nuolatiniu duomenų praradimu.

Tačiau jei yra patikimų ir neseniai sukurtų atsarginių kopijų, atkūrimas gali būti atliktas nebendradarbiaujant su užpuolikais ir nemokant išpirkos. Dėl šios priežasties atsarginių kopijų kūrimo strategijos išlieka viena veiksmingiausių priemonių prieš išpirkos reikalaujančias programas.

Taip pat labai svarbu kuo greičiau pašalinti išpirkos reikalaujančią programinę įrangą iš užkrėstos sistemos. Jei ji bus aktyvi, ji gali toliau šifruoti naujai sukurtus arba prijungtus failus ir gali išplisti vietiniame tinkle, padidindama žalos mastą.

Platinimo taktika ir infekcijos vektoriai

„Witch Ransomware“ virusas plinta įprastais, bet veiksmingais socialinės inžinerijos ir techninio išnaudojimo metodais. Kibernetiniai nusikaltėliai dažnai naudojasi apgaulingais el. laiškais su kenkėjiškais priedais arba nuorodomis. Šie priedai gali atrodyti kaip teisėti dokumentai, įskaitant „Microsoft Office“ failus ar PDF failus, tačiau taip pat gali būti vykdomieji failai, scenarijai, suspausti archyvai ar kiti failų tipai, skirti kenkėjiškai programai vykdyti.

Papildomi platinimo kanalai apima techninės pagalbos sukčiavimą, piratinę programinę įrangą, įsilaužimo įrankius ir raktų generatorius. Kenkėjiškos reklamos, neoficialios ar klaidinančios svetainės, „peer-to-peer“ tinklai, trečiųjų šalių atsisiuntimo programos, užkrėsti USB diskai ir pasenusios programinės įrangos pažeidžiamumai taip pat yra infekcijos vektoriai. Kai kenkėjiškas failas paleidžiamas, išpirkos reikalaujanti programa suaktyvėja ir pradeda šifruoti prieinamus duomenis.

Apsaugos stiprinimas: esminės saugumo praktikos

Efektyviai apsaugai nuo tokių grėsmių kaip „Witch Ransomware“ reikalingas daugiasluoksnis ir proaktyvus saugumo metodas. Šios priemonės žymiai sumažina užkrėtimo riziką ir apriboja galimą žalą:

  • Reguliariai kurkite svarbių duomenų atsargines kopijas neprisijungus prie interneto ir periodiškai tikrinkite jų vientisumą.
  • Nuolat atnaujinkite operacines sistemas, programas ir saugos programinę įrangą, kad pašalintumėte žinomus pažeidžiamumus.
  • Naudokite patikimus, realiuoju laiku veikiančius kenkėjiškų programų prevencijos sprendimus ir užtikrinkite, kad jie visada būtų aktyvūs.
  • Būkite atsargūs su el. pašto priedais ir nuorodomis, ypač iš nežinomų ar netikėtų šaltinių.
  • Venkite atsisiųsti programinę įrangą iš neoficialių svetainių, tarpusavio ryšio platformų ar trečiųjų šalių diegimo programų.
  • Pagal numatytuosius nustatymus išjunkite makrokomandas „Office“ dokumentuose ir įjunkite jas tik tada, kai esate visiškai tikri dėl failo teisėtumo.
  • Apriboti administratoriaus teises ir taikyti mažiausių privilegijų principą vartotojų paskyroms.

Be šių priemonių, tinklo segmentavimas organizacinėje aplinkoje gali užkirsti kelią išpirkos reikalaujančių programų plitimui horizontaliai. Neįprastos failų modifikavimo veiklos stebėjimo sistemos taip pat gali užtikrinti ankstyvą aptikimą, leidžiantį greitai izoliuoti užkrėstus kompiuterius.

Galutinis vertinimas

„Witch Ransomware“ yra puikus pavyzdys, kaip šiuolaikinės išpirkos reikalaujančios programinės įrangos kampanijos derina šifravimą, psichologinį spaudimą ir kriptovaliutų mokėjimus, siekiant išvilioti aukas. Nors išpirkos poreikis šiuo atveju yra gana nedidelis, negrįžtamo duomenų praradimo tikimybė išlieka didelė. Prevencija, ankstyvas aptikimas ir patikimos atsarginių kopijų kūrimo strategijos išlieka patikimiausiomis apsaugos priemonėmis nuo šios ir panašių grėsmių.

System Messages

The following system messages may be associated with Raganų išpirkos programa:

Your network has been penetrated.

All files on each host have been encrypted with a strong algorithm.
any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation
No decryption software is available in the public.

DO NOT RESET OR SHUTDOWN files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.

This may lead to the impossibility of recovery of the certain files.

To get info (decrypt your files) contact us at cozypandas@morke.ru

Send 25 dollars in XMR or BTC to this wallet

XMR = 44VtxWjsT4WiUNaPnspzH9ei59zs9wsrt9zuUDfVzVjaj2dTVBjGFsyizBiJ91ZZGhQhnCDtQTfFiabRHj5Lf9Ho2qnCwEW
BTC = bc1qluc443wla779j0gvtfnhc53f2wzhr38rajzgz6

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
23,084
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...