AntiHacker izspiedējvīruss

Personisko un uzņēmumu datu aizsardzība pret mūsdienu ļaunprogrammatūras draudiem vairs nav izvēles iespēja, tā ir operatīva nepieciešamība. Izspiedējvīrusu operatori turpina pilnveidot savu taktiku, rīkus un sociālās inženierijas shēmas, lai maksimāli palielinātu traucējumus un izspiestu maksājumus. Pat mazākas organizācijas un mājas lietotāji regulāri tiek vajāti, un atkopšana var būt sarežģīta vai neiespējama bez sagatavošanās. AntiHacker izspiedējvīruss, kas ir Xorist saimes loceklis, ir tieši šāds drauds.

DRAUDU PĀRSKATS UN IZCELSME

AntiHacker ir ļaunprātīga programma, ko atklājuši informācijas drošības pētnieki un klasificējuši Xorist izspiedējvīrusu saimē. Uz Xorist balstīti draudi parasti tiek veidoti no komplekta ietvara, ko uzbrucēji var pielāgot, mainot parādīto izpirkuma ziņojumu, faila paplašinājumu, valodas elementus un citus parametrus. AntiHacker ievēro pazīstamo Xorist rokasgrāmatu: tas šifrē upura datus un pēc tam pieprasa samaksu apmaiņā pret it kā atšifrēšanas atslēgu.

FAILU ŠIFRĒŠANAS UZVEDĪBA UN MARĶĒŠANA

Kad AntiHacker uzbrūk sistēmai, tas meklē lietotājiem pieejamus datus lokālajos diskos un, iespējams, arī kartētās tīkla vietās. Tiek mērķēts uz plašu failu tipu klāstu: dokumentiem, attēliem, arhīviem, multivides failiem un citiem vērtīgiem datu krātuvēm. Katrs šifrēts vienums tiek pārdēvēts, pievienojot virkni “.antihacker2017” sākotnējā faila nosaukuma beigās. Piemēram, fails, kura sākotnējais nosaukums bija “1.png”, kļūst par “1.png.antihacker2017”; “2.pdf” kļūst par “2.pdf.antihacker2017”; un šis modelis atkārtojas visos apstrādātajos failos. Pievienotajam paplašinājumam ir divi mērķi: tas vizuāli signalizē upurim par uzlaušanu un palīdz izspiedējvīrusam noteikt, kurus vienumus tas jau ir apstrādājis.

IZPIRKUMA MAKSAS PIEZĪMES, UZNIRSTOŠIE LOGI UN TAPETES ZIŅOJUMI

Pēc šifrēšanas rutīnas pabeigšanas AntiHacker modificē upura darbvirsmas fonu un publicē izpirkuma pieprasījumu divos paralēlos formātos: uznirstošajā logā un teksta failā ar nosaukumu “КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” (krievu valodā “KĀ ATŠĪRFĒT FAILUS”). Uznirstošajā logā un teksta failā redzamā ziņojuma saturs ir vienāds. Tomēr fona attēla variantā ir iekļauta papildu sociālās inženierijas valoda, kas it kā attaisno, ka uzbrukums noticis tāpēc, ka lietotājs apmeklējis konkrētas pieaugušajiem paredzētas vai nelegālas tīmekļa vietnes. Šis kaunināšanas veids ir paredzēts, lai piespiestu upurus ātri un nemanāmi maksāt.

Rakstzīmju kodēšanas īpatnība

Sistēmās, kas neizmanto kirilicas rakstzīmju kopu, uznirstošajā logā redzamais izpirkuma teksts var izskatīties kā nelasāma nesaprotama informācija. Tādēļ upuri var redzēt bojātu ziņojuma logu, bet joprojām atrast salasāmas instrukcijas ievietotajā teksta failā. Uzbrucēji bieži vien nepamana lokalizācijas informāciju; aizstāvji var izmantot šādus artefaktus, lai palīdzētu apkopot saistītus incidentus.

PIESPIEDŠANAS MEHĀNIKĀNI: GALVENIE IEEJAS IEROBEŽOJUMI UN DRAUDU APGALVOJUMI

Izpirkuma instrukcijās teikts, ka upuriem ir jāsazinās ar uzbrucējiem, lai iegūtu atšifrēšanas atslēgu. Tajās ir arī noteikts augsta stresa ierobežojums: ir atļauti tikai 50 mēģinājumi ievadīt atslēgu, pēc kuriem ziņojumā tiek apgalvots, ka šifrētie dati tiks neatgriezeniski zaudēti. Papildu brīdinājumi apgalvo, ka drošības rīku izmantošana, datora pārstartēšana vai izslēgšana padarīs failus neatšifrējamus. Šāda biedēšanas taktika ir izplatīta izspiedējvīrusu rokasgrāmatās un tās mērķis ir atturēt lietotājus no profesionālas palīdzības meklēšanas vai drošu labošanas procedūru veikšanas.

KĀPĒC IZPIRKUMA MAKSAS MAKSĀŠANA IR RISKANTA

Nav garantijas, ka kibernoziedznieki, kas slēpj AntiHacker (vai jebkuru citu izspiedējvīrusu), pēc maksājuma veikšanas nodrošinās darbojošos atšifrēšanas risinājumu. Cietušie, kas maksā, bieži vien neko nesaņem, saņem salauztu atslēgu vai kļūst par atkārtotas izspiešanas mērķiem. Maksājums arī finansē notiekošas noziedzīgas darbības un stimulē turpmākus uzbrukumus. Piesardzības labad, kad vien iespējams, jāizvairās no maksāšanas un jākoncentrējas uz jūsu kontrolē esošajiem atkopšanas ceļiem.

ATJAUNOŠANĀS REALITĀTE

Noņemot AntiHacker no inficētas sistēmas, var apturēt turpmāku failu šifrēšanu, taču tas neatšifrē jau bloķētus datus. Visuzticamākais atkopšanas veids ir atjaunot tīras skarto failu kopijas no dublējumiem, kas bija izolēti, bezsaistē vai citādi nepieejami ļaunprogrammatūrai. Ja nav derīgu dublējumu, datu atkopšanas iespējas kļūst ļoti ierobežotas.

PRIMĀRĀS INFEKCIJAS VEKTORI

Izspiedējvīrusu autori paļaujas uz to pašu plašo izplatīšanas ekosistēmu, kas veicina citu ļaunprogrammatūru kategorijas. AntiHacker nav izņēmums. Uzbrucēji bieži maskē vērtumus kā likumīgu programmatūru vai apvieno tos ar uzlauztām vai pirātiskām programmām, dokumentiem vai instalētājiem. Vienkārši atverot slazdā ievietotu failu, var tikt aktivizēta lejupielādes vai izpildes ķēde.

• Pikšķerēšanas un sociālās inženierijas ēsmas, kas tiek piegādātas pa e-pastu, privātām ziņām vai tiešajām ziņām ar ļaunprātīgiem pielikumiem vai iegultām saitēm.
• Maldinošas vai nejaušas lejupielādes, kas uzsāktas no apdraudētām vai ļaunprātīgām tīmekļa vietnēm bez skaidras lietotāja piekrišanas.
• Trojas zirgu ielādētāji un aizmugurējās durvis, kas pēc iekļaušanās nemanāmi izgūst un palaiž izspiedējvīrusu.
• Neuzticami lejupielādes avoti, piemēram, bezmaksas programmatūras vietnes, trešo pušu mitināšanas lapas un vienādranga (P2P) failu koplietošanas tīkli.
• Tiešsaistes krāpniecība un ļaunprātīgas reklāmas kampaņas, kas novirza lietotājus uz ekspluatācijas komplektiem vai negodīgiem vērtumiem.
• Nelikumīgi programmatūras aktivizācijas rīki (“kreki”/atslēgu ģeneratori) un viltoti programmatūras atjauninājumi, kas instalē ļaunprogrammatūru likumīgu ielāpu vietā.
• Arhīvi (ZIP, RAR utt.), izpildāmie faili (EXE, RUN utt.), skriptu faili (piemēram, JavaScript) un dokumentu formāti (PDF, Microsoft Office, OneNote un citi) tiek izmantoti kā ierocis infekcijas ķēdes palaišanai.

AIZSARDZĪBAS STRATĒĢIJAS PĀRSKATS

Efektīva izspiedējvīrusu aizsardzība ietver cilvēkus, procesus un tehnoloģijas. Jūs nevarat paļauties uz vienu aizsardzības kontroles līdzekli; pieņemiet, ka vismaz viens slānis neizdosies. Apvienojiet lietotāju informētību, aizsargātas konfigurācijas, stingru ielāpu instalēšanu, stabilas dublēšanas prakses un spēcīgas noteikšanas/reaģēšanas iespējas, lai samazinātu gan AntiHacker stila ielaušanās iespējamību, gan tās ietekmi.

• Saglabājiet svarīgu datu dublējumkopijas.
• Pilnībā atjauniniet operētājsistēmas, lietojumprogrammas un drošības rīkus; nekavējoties lietojiet ielāpus, īpaši attālās piekļuves un failu koplietošanas pakalpojumiem.
• Izmantojiet uzticamus ļaunprogrammatūras apkarošanas/galapunktu noteikšanas un reaģēšanas (EDR) risinājumus ar uzvedības izspiedējvīrusu noteikšanu un automātiskas atcelšanas iespējām, ja tās tiek atbalstītas.
• Nodrošināt vismazāko privilēģiju lietotāju tiesības; veikt ikdienas uzdevumus, izmantojot kontus, kas nav administratori, un ierobežot rakstīšanas piekļuvi koplietotajām datu krātuvēm.
• Segmentējiet tīklus un ierobežojiet sānu pārvietošanos; izolējiet dublējuma krātuves un kritiskos serverus atsevišķos piekļuves līmeņos.
• Pieprasīt daudzfaktoru autentifikāciju (MFA) attālinātai pieteikšanās, privileģētām darbībām un dublējuma pārvaldības konsolēm.

SECINĀJUMS

AntiHacker izspiedējvīruss ilustrē, kā apdraudējumu izplatītāji pielāgo uz komplektiem balstītas saimes, piemēram, Xorist, lai izstrādātu spēcīgas, reģionāli mērķētas izspiešanas shēmas. Tā datu šifrēšana, failu nosaukumu atzīmēšana, daudzvalodu izpirkuma pieprasījuma artefakti un piespiedu ziņojumapmaiņa ir izstrādāti, lai veicinātu maksājumus. Tomēr spēcīgākais pretpasākums joprojām ir sagatavošanās: izolētas dublējumkopijas, daudzslāņu aizsardzība, informēti lietotāji un disciplinēts reaģēšanas plāns. Organizācijas un privātpersonas, kas iegulda šajos aizsardzības līdzekļos, var pārvērst potenciāli katastrofālu izspiedējvīrusa notikumu par atgūstamu incidentu.