Bash 2.0 izspiedējvīruss

Izspiedējvīrusi joprojām ir viens no postošākajiem draudiem, ar ko saskaras indivīdi un organizācijas. Viens veiksmīgs ielaušanās var sabojāt jūsu failus, apturēt uzņēmējdarbību un nodot sensitīvus datus izspiedēju žēlastībā. Proaktīva aizsardzība, daudzslāņu drošības kontrole, lietotāju modrība un uzticamas dublējumkopijas vienmēr izmaksās lētāk nekā maksāt noziedzniekiem (un joprojām neatgūt jūsu datus). Bash 2.0 izspiedējvīrusi, kas tiek izsekoti arī kā Bash Red, ir savlaicīgs atgādinājums, ka jaunās vīrusa saimes turpina iterēt uz pārbaudīta uzbrukuma koda, vienlaikus pilnveidojot savu spiediena taktiku pret upuriem.

IEPAZĪSTIETIES AR BASH 2.0 (BASH RED)

Pētnieki identificēja Bash 2.0, apsekojot jaunu ļaunprogrammatūras aktivitāti. Šis apdraudējums ir balstīts uz Chaos izspiedējvīrusa koda bāzi — ietvaru, kas ir atkārtoti izmantots vairākos atvasinājumos. Chaos izmantošana dod uzbrucējiem priekšrocības: pamata šifrēšana, failu apstrāde un izpirkuma pieprasījumu rutīnas jau ir pieejamas un tās var pielāgot jaunām kampaņām. Bash 2.0 izmanto šīs mantotās iespējas, lai bloķētu datus un izspiestu maksājumus.

KAS NOTIEK AR JŪSU FAILIEM

Kad Bash 2.0 tiek palaists sistēmā, tas mēģina šifrēt pieejamos datus. Katrs skartais fails saņem papildu paplašinājumu, kas sastāv no četrām nejaušām rakstzīmēm, pārvēršot kaut ko līdzīgu “1.png” par “1.png.2rf9” (nejaušais sufikss atšķiras atkarībā no infekcijas). Šī pārdēvēšanas konvencija palīdz uzbrucējiem (un automatizētajiem rīkiem) izsekot, kas ir bloķēts, vienlaikus nekavējoties signalizējot upuriem, ka viņu dati vairs nav izmantojami. Izspiedējvīruss arī maina darbvirsmas fonu, lai vizuāli pastiprinātu izspiešanas ziņojumu.

IZPIRKUMA MAKSAS ZIŅOJUMS: BASHRED-README.TXT

Pēc šifrēšanas pabeigšanas Bash 2.0 izmet īsziņu ar nosaukumu “bashred-reAdmE.txt”. Ziņojumā upuris tiek informēts, ka faili ir šifrēti, un apgalvots, ka vienīgais reālais atkopšanas ceļš ir iegūt no uzbrucējiem unikālu atšifrēšanas atslēgu un programmatūru. Upuriem tiek dots norādījums nodibināt kontaktu un samaksāt; piezīmē brīdināts, ka bloķēto datu pārdēvēšana, modificēšana vai mēģinājums tos atšifrēt patstāvīgi var tos neatgriezeniski sabojāt. Fona attēla maiņa parasti atspoguļo tās pašas tēmas, palielinot steidzamību.

CIK REĀLA IR DATU ATJAUNOŠANA?

Vairumā izspiedējvīrusu incidentu atšifrēšana bez uzbrucēju sadarbības ir tehniski neiespējama, jo šifrēšana ir izstrādāta tā, lai tā būtu kriptogrāfiski spēcīga. Tikai retos gadījumos, parasti, ja ļaunprogrammatūras autori pieļauj nopietnas ieviešanas kļūdas, atšifrēšana ir iespējama bez viņu iesaistes. Pat samaksa negarantē: upuri regulāri ziņo, ka nekad nesaņem darba rīkus, saņem daļējus atšifrētājus vai sastopas ar bojātām atslēgām. Maksāšana arī finansē turpmākas noziedzīgas darbības, potenciāli padarot jūs par atkārtotu mērķi. Šo iemeslu dēļ drošības speciālisti stingri neiesaka izpildīt izpirkuma prasības.

APSTĀDINĀT ASIŅOŠANU: IZŅEMŠANA UN IEROBEŽOŠANA

Bash 2.0 likvidēšana inficētā vidē ir būtiska, lai apturētu papildu failu šifrēšanu un novērstu draudu izplatīšanos uz savienotajām sistēmām. Tomēr ļaunprogrammatūras tīrīšana neatšifrē jau bloķētus datus. Patiesa atjaunošana ir atkarīga no drošām, bezsaistes un nekompromitētām dublējumkopijām. Pirms atkopšanas izolējiet skartās iekārtas no tīkla, veiciet pilnu ļaunprogrammatūras skenēšanu, izmantojot atjauninātus rīkus, un atjaunojiet vai atkārtoti izveidojiet attēlu, ja uzticamību nevar garantēt. Atjaunotās sistēmas pievienojiet atkārtoti tikai pēc tam, kad esat pārliecinājies, ka tās ir tīras.

KĀ BASH 2.0 IZPLATĀS SAVVAĻĀ

Uzbrucēji met plašu tīklu. Bieži sastopamie izplatīšanas vektori, kas saistīti ar izspiedējvīrusu kampaņām un attiecas uz Bash 2.0, ir šādi:

• Ļaunprātīgi pielikumi vai saites, kas piegādātas, izmantojot surogātpastu, mērķpikšķerēšanu vai sociālo ziņojumapmaiņas platformas.
• Komplektēti vai ar Trojas zirgu inficēti instalētāji, kas izliekas par likumīgu programmatūru, spēlēm, multivides kodekiem vai produktivitātes rīkiem.
• Automātiskas lejupielādes, ko aktivizē apdraudētas vai ļaunprātīgas vietnes, bieži vien ar ļaunprātīgas reklāmas palīdzību.
• Trešo pušu, bezmaksas programmatūras un vienādranga lejupielādes kanāli ar vāju integritātes kontroli.
• Nelikumīgas programmatūras "uzlaušanas", atslēgu ģeneratori un viltotas aktivizācijas utilītas, kas nemanāmi piegādā vērtumus.
• Viltus atjaunināšanas uzvednes (pārlūkprogrammas, spraudņa, operētājsistēmas vai lietojumprogrammas), kas instalē ļaunprogrammatūru, nevis ielāpus.

Daži apdraudējumu komplekti spēj pārvietoties sāniski vai pašizplatīties, mēģinot šķērsot lokālos tīklus vai kopēt sevi noņemamos datu nesējos, piemēram, USB zibatmiņas diskos un ārējos diskos.

LABĀKĀ DROŠĪBAS PRAKSE AIZSARDZĪBAS UZLABOŠANAI

• Uzturēt versijas saņēmušas, bezsaistes un regulāri pārbaudītas dublējumkopijas. Saglabāt vismaz vienu dublējumkopiju ārpus tīkla (vēlams, nemaināmā krātuvē vai vienreiz ierakstāmā datu nesējā).
• Nodrošiniet, lai operētājsistēmas, lietojumprogrammas, drošības komplekti un programmaparatūra būtu pilnībā atjaunināti. Ja iespējams, iespējojiet automātiskos atjauninājumus.
• Izvietojiet uzticamus ļaunprogrammatūras apkarošanas/EDR risinājumus ar uzvedības izspiedējvīrusu noteikšanas un atcelšanas iespējām.
• Izmantojiet e-pasta filtrēšanu, pielikumu smilškastes funkciju un saišu skenēšanas vārtejas, lai samazinātu pikšķerēšanas risku; apmāciet lietotājus atpazīt viltotus sūtītājus un negaidītus pielikumus.

• Atspējojiet vai ierobežojiet makro un aktīvo saturu dokumentu formātos; atveriet nevēlamus dokumentus aizsargātā skatā.

• Darbojieties ar lietotāju kontiem ar vismazākajām privilēģijām; rezervējiet administratora akreditācijas datus īpaši paredzētām, drošām sesijām.

• Segmentējiet tīklus un ieviesiet piekļuves kontroles, lai viens apdraudēts galapunkts nevarētu sasniegt visus kritiski svarīgos koplietojumus.

• Pieprasīt daudzfaktoru autentifikāciju attālajai piekļuvei, privileģētajām darbībām un rezerves administrēšanas konsolēm.

• Atspējojiet automātisko palaišanu/automātisko atskaņošanu noņemamos datu nesējos; skenējiet ārējos diskus pirms to pievienošanas ražošanas sistēmām.

NOSLĒGUMA DOMAS

Bash 2.0 izspiedējvīruss ilustrē, cik ātri apdraudējumu izpildītāji var pārveidot esošās kodu bāzes par jauniem izspiešanas rīkiem. Aizsargi, kas paļaujas tikai uz parakstu noteikšanu vai pēdējā brīža reakciju, joprojām nonāks neizdevīgā situācijā. Apvienojot disciplinētas dublēšanas stratēģijas, spēcīgu ielāpu higiēnu, slāņveida galapunktu un e-pasta aizsardzību, mazāko privilēģiju dizainu un praktizētas reaģēšanas rokasgrāmatas, jūs ievērojami samazināt gan izspiedējvīrusa notikuma iespējamību, gan ietekmi.