Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware DeadLock izspiedējvīruss

DeadLock izspiedējvīruss

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Mūsdienu izspiedējvīrusu kampaņas ir mērķtiecīgi izstrādātas, lai jūsu personas vai organizācijas datus pārvērstu par ietekmīgu instrumentu. Kad kritiski svarīgi faili ir šifrēti, uzbrucēji iegūst visu kontroli, ja vien neesat iepriekš sagatavojies. Spēcīga drošības higiēna, daudzslāņu aizsardzība un noturīgas dublēšanas stratēģijas ievērojami samazina iespējamību, ka viens ļaunprātīgs pielikums, uzlauzts instalētājs vai negodīga lejupielāde izraisīs uzņēmējdarbības traucējumus vai neatgriezenisku datu zudumu. DeadLock izspiedējvīruss ir labs piemērs tam, kāpēc šie pamatprincipi ir svarīgi.

Kas atšķir DeadLock no citiem

DeadLock ir failu šifrēšanas izspiedējvīrusu saime, kas katram upurim piešķir unikālu identifikatoru. Uzbrukuma laikā tā sajauc lietotāja datus un pārdēvē katru šifrēto failu, pievienojot upura ID un paplašinājumu “.dlock” sākotnējam faila nosaukumam. Piemēram: “1.png” kļūst par “1.png.F8C6A8.dlock” un “2.pdf” kļūst par “2.pdf.F8C6A8.dlock”. Šis ID tiek izmantots visā izspiešanas procesā, lai izsekotu upuri un saistītu maksājumus ar atšifrēšanas atslēgām. DeadLock arī izsūta izpirkuma zīmi, kuras faila nosaukumā ir iestrādāts tas pats identifikators (piemēram, “READ ME.F8C6A8.txt”), un maina darbvirsmas fonu, lai pastiprinātu sistēmas uzlaušanas faktu.

Izpirkuma maksas piezīmes iekšpusē

Piezīmē ir minēti vairāki galvenie punkti, kas paredzēti, lai vadītu upura turpmākās darbības. Tajā tiek apgalvots, ka šifrētus failus nevar atjaunot bez "unikālas atšifrēšanas atslēgas", kas ir tikai uzbrucējiem. Upuriem tiek ieteikts instalēt uz privātumu vērstu sesijas ziņojumapmaiņu un sazināties, izmantojot norādīto sesijas ID (atkal sasaistot to ar katra upura identifikatoru, kas iestrādāts failu nosaukumos). Uzbrucēji lūdz upurim nosūtīt vienu šifrētu failu plus "personīgo atslēgu" (viņu unikālo ID) verifikācijai. Šī ir izplatīta taktika, kuras mērķis ir veidot uzticību, atšifrējot nekaitīgu paraugu.

Maksājumu un spiediena taktika

DeadLock operatori pieprasa kriptovalūtu, konkrētāk, Bitcoin vai Monero. Viņi sola, ka pēc apmaksas piegādās darbojošos atšifrētāju. Tāpat kā vairumā izspiedējvīrusu operāciju, nav nekādas izpildāmas garantijas. Piezīme arī izmanto bailes, lai atturētu no neatkarīgiem atkopšanas mēģinājumiem: tā brīdina upurus nepārdēvēt šifrētos failus un neizmēģināt trešo pušu atšifrēšanas rīkus, apgalvojot, ka šādas darbības varētu neatgriezeniski sabojāt datus vai palielināt atkopšanas cenu. Šie brīdinājumi ir daļēji tehniski (nepareiza rīcība patiešām var sarežģīt atkopšanu) un daļēji psiholoģiska spiediena.

Atšifrēšanas realitātes pārbaude

Pieredze ar izspiedējvīrusiem kopumā un operatoru pašu ziņojumapmaiņa apstiprina skarbu patiesību: vairumā gadījumu ar DeadLock atšifrētus failus nevar atšifrēt bez uzbrucēju sadarbības un rīkiem. Tas atstāj divus reālus atkopšanas ceļus: (1) izmantot bezsaistes, ārpus vietnes, ar versijām vai citādi ļaunprogrammatūrai nepieejamus dublējumus uzbrukuma laikā; vai (2) samaksāt izpirkuma maksu un cerēt, ka noziedznieki ievēros darījumu. Maksāšana ir riskanta: uzbrucēji var pazust, piegādāt salauztu atšifrētāju vai izmantot maksājumu kā signālu, ka esat viegls mērķis turpmākai izspiešanai. Ja vien iespējams, paļaujieties uz neskartām dublējumkopijām, nevis veiciet izpirkuma maksu.

Kāpēc pilnīga noņemšana ir svarīga

Pat pēc šifrēšanas pabeigšanas izspiedējvīrusa atstāšana sistēmā ir bīstama. Atlikušie komponenti var atkārtoti šifrēt jaunizveidotus failus, iegūt akreditācijas datus, atvērt aizmugurējās durvis vai mēģināt pārvietoties lokālajā tīklā. Iznīcināšana, ko papildina galapunktu skenēšana, atmiņas pārbaude un plānoto uzdevumu, startēšanas ierakstu un domēna kontrolleru pārskatīšana, ir ļoti svarīga, lai novērstu atkārtotus bojājumus.

Bieži sastopamie strupceļa infekcijas vektori

Uzbrucējiem ir nepieciešams sākotnējais atbalsts. Izspiedējvīrusu kampaņas ir saistītas ar vairākiem izplatīšanas kanāliem, kas izmanto lietotāju uzticību, zinātkāri un izmaksu samazināšanas īsceļus:

  • Pirātiska vai “uzlauzta” komerciāla programmatūra, tostarp komplektā iekļauti atslēgu ģeneratori un licences apiešanas rīki, kas slepeni instalē ļaunprogrammatūru.
  • Programmatūras kreki, atslēgu ģeneratori un neoficiāli aktivatori, kas iegūti no warez vai torrent vietnēm.
  • Ļaunprātīgi e-pasta pielikumi: ar lamatām ievietoti Word dokumenti (bieži vien ar makro iespējotiem), PDF faili, ZIP arhīvi, skriptu faili vai izpildāmi faili, kas maskēti kā rēķini, sūtījumu paziņojumi vai steidzamas HR veidlapas.
  • Ļaunprātīga reklamēšana (ļaunprātīgas reklāmas), kas novirza lietotājus uz ekspluatācijas komplektiem vai negodīgām lejupielādes lapām.
  • Vienādranga koplietošanas platformas un trešo pušu lejupielādes centri, kas pārpako instalētājus ar slēptām vērtajām kravām.
  • Noņemami datu nesēji (piemēram, inficēti USB diski), kas automātiski palaiž vai mudina lietotājus palaist inficētus failus.
  • Viltus tehniskā atbalsta portāli, kas spiež lietotājus lejupielādēt “labojumus” vai “atjauninājumus”, kas faktiski satur izspiedējvīrusa ielādētāju.
  • Apdraudētas likumīgas tīmekļa vietnes, kurās ir ievietotas automātiskās lejupielādes vai ievadīti skripti, kas piegādā vērtumu.

Labākā drošības prakse jūsu aizsardzības stiprināšanai

Slāņveida drošība ievērojami samazina izspiedējvīrusa notikuma izplatības rādiusu. Tālāk ir norādīti prioritārie aizsardzības pasākumi, kas palīdz novērst DeadLock un līdzīgu draudu panākumus:

  • Uzturēt uzticamas, bezsaistes kritiski svarīgu datu dublējumkopijas.
  • Nekavējoties atjauniniet operētājsistēmas, lietojumprogrammas un programmaparatūru, īpaši pakalpojumus un produktivitātes pakotnes, kas ir pakļautas makro vai ekspluatācijas ļaunprātīgai izmantošanai.
  • Izmantojiet uzticamu galapunktu aizsardzību/EDR ar uz uzvedību balstītu izspiedējvīrusu noteikšanu un automātisku izolāciju.
  • Nodrošiniet lietotāju kontu ar vismazākajām privilēģijām izmantošanu; atspējojiet lokālo administratoru, ja tas nav nepieciešams; atdaliet administratora akreditācijas datus no ikdienas lietošanas.
  • Ierobežojiet makro izpildi, skriptu interpretētājus un neparakstītus bināros failus, izmantojot grupas politiku, lietojumprogrammu atļaušanas sarakstu un kontrolētu piekļuvi mapēm.
  • Izvietojiet e-pasta drošības filtrēšanu: smilškastes pielikumus, pārbaudiet saites un atzīmējiet aizdomīgus failu tipus vai viltotus sūtītāju domēnus.
  • Atspējojiet automātisko palaišanu noņemamajos datu nesējos un pirms pievienošanas skenējiet USB ierīces.
  • Attālinātajai piekļuvei, administratora konsolēm un dublēšanas pārvaldības saskarnēm nepieciešama daudzfaktoru autentifikācija (MFA).

Ilgtermiņa mācības

DeadLock pastiprina atkārtotu tēmu visās izspiedējvīrusu saimēs: uzbrucējiem nav nepieciešamas jaunākās paaudzes ievainojamības, ja gala lietotāji regulāri lejupielādē uzlauztus rīkus, atver nepārbaudītus pielikumus vai pārlūko neuzticamus reklāmas tīklus. Pamata drošības metodes, ielāpu ieviešanas disciplīna, piekļuves kontrole, uzraudzītas dublējumkopijas un lietotāju informētība pārvērš potenciālu krīzi par atgūstamu notikumu. Investējiet šajos aizsardzības līdzekļos jau tagad; izmaksas ir daudz zemākas nekā izpirkuma maksa, kas samaksāta spiediena apstākļos.

Noslēguma domas

Noturība pret izspiedējvīrusu tiek veidota ilgi pirms uzbrukuma veikšanas jūsu ekrānā. Izprotot, kā darbojas DeadLock, un ieviešot daudzslāņainas preventīvas un atkopšanas kontroles, jūs varat sevi sagatavot, lai pretotos šim un citiem līdzīgiem draudiem. Esiet skeptiski noskaņoti pret visu, ko neesat apzināti meklējuši vai pārbaudījuši. Jūsu modrība ir pirmā un bieži vien labākā aizsardzības līnija.

Ziņojumi

Tika atrasti šādi ar DeadLock izspiedējvīruss saistīti ziņojumi:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,851
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...