Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Zeo išpirkos reikalaujanti programa

Zeo išpirkos reikalaujanti programa

Autorius Mezo, Ransomware
Versti į:

Asmeninių ir verslo sistemų apsauga nuo žalingos kenkėjiškos programinės įrangos yra būtina, nes vienas įsilaužimas gali sukelti ilgalaikių pasekmių. Išpirkos reikalaujanti programinė įranga išlieka viena iš labiausiai kenkiančių grėsmių, o „Zeo Ransomware“ yra puikus šiuolaikinių turto prievartavimo operacijų rafinuotumo pavyzdys.

Naujas variantas su pažįstamomis šaknimis

„Zeo“ pasirodė atliekant įprastinį grėsmių stebėjimą ir buvo greitai susietas su ilgai veikiančia „Dharma“ išpirkos reikalaujančių programų šeima. Kai tik ši virusas įsilaužia į sistemą, jis užšifruoja duomenis ir pakeičia failų pavadinimus, pridėdamas aukos ID, užpuoliko el. pašto adresą ir „.zeo“ plėtinį. Tipiškas pavyzdys yra transformuotas failas, pvz., „1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo“.

Po šifravimo etapo „Zeo“ pateikia du išpirkos reikalaujančius pranešimus: iššokantįjį langą su išsamiomis instrukcijomis ir paprasto teksto failą pavadinimu „info.txt“. Abiejuose pabrėžiama, kad vienintelis būdas atkurti prieigą – susisiekti su užpuolikais ir sumokėti bitkoinų išpirką. Iššokančiajame pranešime bandoma sukurti pasitikėjimą, siūlant ribotą nemokamą iššifravimo testą, kartu grasinant negrįžtama žala, jei aukos pakeis failus arba bandys atkurti duomenis savarankiškai.

Kaip „Zeo“ veikia po gaubtu

Kaip ir kiti „Dharma“ variantai, „Zeo“ daugiausia dėmesio skiria duomenų, saugomų tiek lokaliai, tiek bendrai naudojamuose tinklo įrenginiuose, šifravimui. Sistemos stabilumas išlieka, nes „Zeo“ vengia keisti svarbius operacinės sistemos komponentus. Siekiant išvengti klaidų šifravimo metu, ji nutraukia procesus, susietus su šiuo metu atidarytais failais, pvz., duomenų bazių variklius ir dokumentų peržiūros programas.

Išpirkos reikalaujanti programa turi keletą elgsenos apsaugos priemonių. Ji tikrina surinktus geolokacijos duomenis, kad nustatytų, ar tęsti atakas, galbūt vengdama regionų, kurie gali būti nepelningi arba politiškai jautrūs. Ji taip pat apima mechanizmą, skirtą užkirsti kelią dvigubam šifravimui, nors išskyrimo logika yra neišsami ir neatsižvelgia į visas išpirkos reikalaujančių programų šeimas.

Išlikimas pasiekiamas dviem pagrindiniais būdais: nukopijuojant save į katalogą %LOCALAPPDATA% ir registruojant automatinio paleidimo įrašus tam tikruose vykdymo raktuose. „Zeo“ taip pat ištrina šešėlines kopijas, kad pašalintų integruotas atkūrimo parinktis, kuriomis vartotojai kitaip galėtų pasikliauti.

Infekcijos vektoriai ir plitimo taktika

Dharmos pagrindu sukurtos grėsmės dažnai prasiskverbia į sistemas per pažeidžiamas arba prastai apsaugotas nuotolinio darbalaukio protokolo paslaugas. Užpuolikai, norėdami gauti prieigą, naudoja „brute-force“ ir žodynų atakas, o pažeistų sistemų užkardos gali būti susilpnintos arba išjungtos netrukus po įsilaužimo.

Kiti platinimo būdai išlieka vyraujantys. Grėsmių kūrėjai dažnai naudojasi apgaulingais el. laiškais, kenkėjiškais priedais, pažeistais atsisiuntimais, apgaulingais atnaujinimais, nulaužtomis programomis ir piratiniu turiniu. Pavojingi naudingi duomenys pateikiami įvairiais formatais, įskaitant archyvus, vykdomuosius failus, dokumentus, „JavaScript“ failus ir kt. Kai kuriais atvejais kenkėjiška programa plinta horizontaliai į kitus įrenginius tame pačiame tinkle arba per nešiojamąją atmintinę.

Kodėl išpirkos mokėjimas nėra saugus sprendimas

Aukos retai turi techninių priemonių iššifruoti šiuolaikinės išpirkos reikalaujančios programinės įrangos paveiktus failus. Jei kenkėjiška programa neturi kritinio trūkumo, tik operatoriai turi reikiamus raktus. Tačiau išpirkos sumokėjimas negarantuoja, kad užpuolikai pristatys veikiantį iššifravimo įrankį, o aukos dažnai praranda ir pinigus, ir duomenis. Tokių operacijų finansavimas taip pat remia tolesnę nusikalstamą veiklą.

Išpirkos reikalaujančios programinės įrangos pašalinimas yra būtinas siekiant išvengti tolesnės žalos, tačiau pašalinus „Zeo“ užšifruoti failai nebus atkurti. Atkurti galima tik naudojant švarias atsargines kopijas, saugomas atskirose vietose, pvz., neprisijungusiuose įrenginiuose arba saugiuose nuotoliniuose serveriuose.

Įrenginio saugumo stiprinimas

Sluoksniuotas metodas smarkiai sumažina išpirkos reikalaujančių programų atakos riziką. Šie metodai padeda sustiprinti ilgalaikį atsparumą:

Pagrindinės prevencinės priemonės

Griežtai kontroliuokite nuotolinio darbalaukio protokolo prieigą naudodami stiprius, unikalius kredencialus, išjungdami išorinę prieigą, kai to nereikia, ir vykdydami greičio ribojimo arba daugiafaktorinį autentifikavimą.

Nedelsdami diegkite saugos naujinimus visoje operacinėje sistemoje, įdiegtoje programinėje įrangoje ir tinkle veikiamuose komponentuose.

Papildomos geriausios praktikos rekomendacijos

Laikykite patikimas, versijaizuotas atsargines kopijas keliose izoliuotose vietose, įskaitant neprisijungus pasiekiamą arba nekeičiamą saugyklą.

  • Naudokite patikimas saugos priemones, kad stebėtumėte įtartiną veiklą ir blokuotumėte kenkėjiškas programas prieš jas paleidžiant.
  • Į nepageidaujamus el. laiškus, priedus ir atsisiuntimo pasiūlymus žiūrėkite skeptiškai, ypač į tuos, kurie apsimetinėja teisėtomis organizacijomis arba siūlo nemokamą programinę įrangą.
  • Venkite piratinės programinės įrangos, nepatikimų atsisiuntimo portalų ir abejotinų naršyklėse rodomų reklamų.
  • Kai tik įmanoma, apribokite administratoriaus teises ir užtikrinkite, kad kasdienės užduotys būtų atliekamos naudojant ne administratoriaus paskyras.

Derindami drausmingą sistemos higieną su patikima prieigos kontrole ir gerai prižiūrimomis atsarginėmis kopijomis, vartotojai žymiai sumažina tokių grėsmių kaip „Zeo Ransomware“ riziką ir yra geriau pasirengę greitai atsigauti atakos atveju.

 

System Messages

The following system messages may be associated with Zeo išpirkos reikalaujanti programa:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: nudasurg@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:nudasurg@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
all your data has been locked us

You want to return?

write email nudasurg@tuta.io or nudasurg@cyberfear.com

Tendencijos

Saugos informacijos pakeitimo el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai ir toliau maskuoja savo schemas kaip įprastus su paskyromis susijusius pranešimus, tikėdamiesi, kad vartotojai atsakys neabejodami autentiškumu. Vadinamoji saugumo informacijos pakeitimo el. pašto sukčiavimo schema yra viena iš tokių operacijų, skirta rinkti neskelbtinus duomenis, prisidengiant skubiu saugumo atnaujinimu. Šie el. laiškai nėra susiję su jokiomis...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
31,399
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...