„Zollo“ išpirkos reikalaujanti programa

Kenkėjiškų programų grėsmės nuolat tobulėja, todėl įrenginių apsauga tampa itin svarbiu prioritetu tiek asmenims, tiek organizacijoms. Išpirkos reikalaujančių programų atakos, visų pirma, gali sukelti rimtų veiklos sutrikimų, finansinių nuostolių ir atskleisti neskelbtinus duomenis. Viena neseniai pastebėta grėsmė yra „Zollo Ransomware“ – kenkėjiška programa, skirta failams šifruoti ir iš aukų išgauti pinigus. Norint sukurti stipresnę apsaugą nuo panašių atakų, būtina suprasti, kaip ši grėsmė veikia ir kaip ji plinta.

„Zollo“ išpirkos reikalaujančios programinės įrangos atsiradimas

„Zollo“ išpirkos reikalaujanti programa buvo identifikuota kaip „MedusaLocker“ išpirkos reikalaujančių programų šeimos variantas. Kaip ir kiti šios šeimos nariai, ji sukurta taip, kad įsiskverbtų į sistemas, užšifruotų vertingus failus ir priverstų aukas mokėti išpirką mainais už iššifravimą.

Paleidus kenkėjišką programą pažeistame įrenginyje, ji nuskaito sistemą, ieškodama prieinamų failų, ir užšifruoja juos naudodama stiprius kriptografinius algoritmus. Po užšifravimo išpirkos reikalaujanti programa pakeičia failų pavadinimus, pridėdama išskirtinį plėtinį, pvz., „.zollo6“. Pavyzdžiui:

• 1.png tampa 1.png.zollo6
• 2.pdf tampa 2.pdf.zollo6

Plėtinio numeris gali skirtis, tačiau rezultatas išlieka tas pats: užšifruoti failai vartotojui tampa neprieinami. Be failų užrakinimo, išpirkos reikalaujanti programa pakeičia sistemos darbalaukio foną ir įrenginyje įrašo išpirkos raštelį pavadinimu „READ_NOTE.html“.

Šifravimo metodai ir išpirkos pranešimas

Užpuolikų paliktame išpirkos raštelyje teigiama, kad failai buvo apsaugoti naudojant RSA ir AES šifravimą – tai dažniausiai šiuolaikinėse išpirkos reikalaujančių programų operacijose naudojami kriptografiniai metodai. Rašte teigiama, kad bet koks bandymas atkurti, pervardyti ar modifikuoti užšifruotus failus gali sukelti negrįžtamą duomenų sugadinimą.

Užpuolikai tvirtina, kad jokia viešai prieinama programinė įranga negali atkurti failų ir kad tik jų patentuota iššifravimo priemonė gali atkurti prieigą. Aukos raginamos susisiekti su operatoriais nurodytais el. pašto adresais:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

Žinutėje taip pat pristatomas laiko spaudimo elementas: aukos įspėjamos, kad išpirkos suma padidės, jei per 72 valandas nebus užmegztas ryšys.

Duomenų vagystės ir dvigubo turto prievartavimo taktika

Ypač nerimą kelianti šio išpirkos reikalaujančio viruso varianto ypatybė yra teiginys, kad konfidencialūs duomenys buvo pavogti prieš užšifravimą. Užpuolikai teigia, kad ši informacija saugoma jų kontroliuojamame privačiame serveryje.

Pranešime apie išpirką teigiama, kad sumokėjus išpirką pavogti duomenys bus ištrinti iš jų serverių. Jei išpirka nebus sumokėta, operatoriai grasina paskelbti arba parduoti informaciją. Ši strategija, vadinama dvigubu šantažu, padidina spaudimą aukoms, derindama duomenų šifravimą su viešųjų duomenų atskleidimo rizika.

Net ir aukoms sumokus išpirkos reikalavimus, nėra jokios garantijos, kad užpuolikai pateiks veikiančią iššifravimo priemonę arba ištrins pavogtą informaciją. Dėl šios priežasties kibernetinio saugumo specialistai paprastai nerekomenduoja mokėti išpirkos.

Kaip plinta „Zollo“ išpirkos reikalaujanti programa

Išpirkos reikalaujančių programų kampanijos dažnai pasitelkia apgaulę ir socialinę inžineriją, kad įsiskverbtų į sistemas. Užpuolikai dažnai užmaskuoja kenkėjiškas programas kaip teisėtus failus, kad apgautų vartotojus ir priverstų jas vykdyti.

Įprasti infekcijos vektoriai yra šie:

• Kenkėjiški el. laiškų priedai arba nuorodos, įterptos į sukčiavimo el. laiškus
• Netikri techninės pagalbos įspėjimai, skirti privilioti aukas atsisiųsti kenkėjiškas programas
• Nulaužta programinė įranga, neoficialūs raktų generatoriai ir piratinės programos
• Pasenusi programinė įranga su neištaisytomis pažeidžiamomis vietomis
• Pažeistos svetainės, kenkėjiškos reklamos ir tarpusavio failų bendrinimo tinklai
• Trečiųjų šalių atsisiuntimo programos arba užkrėsti USB diskai

Paleista išpirkos reikalaujanti programa nedelsdama pradeda šifruoti failus ir gali bandyti plisti tarp tame pačiame tinkle esančių prijungtų sistemų.

Atkūrimo iššūkiai ir reagavimas į incidentus

Po šifravimo aukos paprastai negali atidaryti paveiktų failų be užpuolikų iššifravimo rakto. Atkurti failus įmanoma tik tam tikromis aplinkybėmis, ypač kai yra saugios atsarginės kopijos, kurios nebuvo prijungtos prie užkrėstos sistemos atakos metu.

Aptikus išpirkos reikalaujančią programinę įrangą, būtina ją nedelsiant pašalinti. Jei kenkėjiška programa lieka aktyvi įrenginyje, ji gali toliau šifruoti papildomus failus arba bandyti plisti į kitus tinklo kompiuterius. Todėl greitas užkrėstos sistemos izoliavimas gali apriboti žalą ir užkirsti kelią tolesniam plitimui.

Svarbiausios saugumo praktikos, skirtos užkirsti kelią išpirkos reikalaujančioms programoms

Stiprūs saugumo įpročiai žymiai sumažina užsikrėtimo tokiomis grėsmėmis kaip „Zollo Ransomware“ tikimybę. Veiksmingai apsaugai reikalingas aktyvių techninių kontrolės priemonių ir atsargaus naudotojų elgesio derinys.

Reguliariai atnaujinti operacines sistemas, programas ir saugos įrankius yra labai svarbu, nes daugelis išpirkos reikalaujančių programų kampanijų išnaudoja pasenusios programinės įrangos pažeidžiamumus. Taip pat svarbu naudoti patikimus antivirusinius arba galinių įrenginių apsaugos sprendimus, galinčius aptikti įtartiną elgesį.

Atsarginių kopijų kūrimas neprisijungus arba debesyje yra viena iš veiksmingiausių apsaugos priemonių. Atsarginės kopijos turėtų būti saugomos atskirai nuo pagrindinės sistemos, kad atakos metu jos nebūtų užšifruotos. Užkrato atveju švarios atsarginės kopijos gali leisti atkurti sistemas nemokant išpirkos.

Vartotojai taip pat turėtų būti atsargūs el. pašto prieduose ir atsisiuntimuose. Įtartini failai, ypač tie, kurie reikalauja skubių veiksmų arba į kuriuos reikia nedelsiant reaguoti, turėtų būti patikrinti prieš atidarant. Organizacijos dažnai stiprina šią apsaugą naudodamos el. pašto filtravimą, priedų „smėlio dėžės“ apsaugą ir saugos mokymus.

Tinklo segmentavimas gali dar labiau sumažinti riziką, apribodamas išpirkos reikalaujančių programų plitimą joms patekus į aplinką. Kartu su prieigos kontrolės ir stebėjimo sistemomis segmentavimas padeda suvaldyti infekcijas, kol jos nepaveikė kritinės infrastruktūros.

Baigiamosios mintys

Išpirkos reikalaujančios programinės įrangos grėsmės, tokios kaip „Zollo“, pabrėžia aktyvių kibernetinio saugumo priemonių svarbą. Šifruodami failus, grasindami duomenų atskleidimu ir spausdami aukas reikalauti išpirkos per trumpą laiką, užpuolikai siekia priversti jas greitai sumokėti.

Sluoksniuota gynybos strategija, apimanti sistemos atnaujinimus, patikimas atsargines kopijas, saugos programinę įrangą ir atsargią naudotojų praktiką, išlieka veiksmingiausiu būdu sušvelninti šias grėsmes. Ankstyvas aptikimas ir greitas reagavimas gali smarkiai sumažinti išpirkos reikalaujančių programų incidentų poveikį ir apsaugoti vertingus duomenis nuo negrįžtamo praradimo.