Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Kremļa izspiedējvīruss

Kremļa izspiedējvīruss

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Izspiedējvīruss ir viena no postošākajām ļaunprogrammatūras formām: tā nemanāmi pārņem failus, liedz likumīgu piekļuvi un piespiež upurus zaudēt sarunās. Ierīču un tīklu aizsardzība ir būtiska ne tikai personas un uzņēmuma datu saglabāšanai, bet arī traucējumu, finansiālu zaudējumu un plašāku tīkla apdraudējumu novēršanai.

Kremļa draudi īsumā

KREMLIN ir izspiedējvīrusu saime, kas tika atklāta bīstama ļaunprogrammatūras parauga pārbaudes laikā. Tās darbība ir vienkārša un nežēlīga: tā šifrē upuru failus un pievieno paplašinājumu “.KREMLIN” (piemēram, “1.png” → “1.png.KREMLIN”, “2.pdf” → “2.pdf.KREMLIN”) un nosūta README.txt izpirkuma zīmi, kurā upuriem tiek norādīts sazināties ar uzbrucējiem, izmantojot Telegram vietnē @KremlinRestore. Šī zīmīte ir uzbrucēju ieejas punkts maksājuma sarunām un kriptovalūtas informācijas sniegšanai. Failu atgūšana bez uzbrucēju atšifrēšanas rīkiem reti ir iespējama, tāpēc laba profilakse un noturīgas dublējumkopijas ir kritiski svarīgas.

Kā darbojas Kremlis?

Pēc veiksmīgas izpildes KREMLIN uzskaita un šifrē lietotāja datu failus, pārdēvējot tos ar sufiksu “.KREMLIN”. Tas atstāj teksta failu ar izpirkuma norādījumiem un kontaktinformāciju, kas novirza upurus pie uzbrucējiem pakalpojumā Telegram. Pēc tam dalībnieki parasti sniedz maksājuma norādījumus (kriptovalūtas maks, summa). Ja izspiedējvīruss paliek sistēmā, tas var turpināt šifrēt papildu failus vai mēģināt izplatīties uz citiem resursdatoriem tajā pašā tīklā.

Bieži sastopamie piegādes un pavairošanas vektori

Draudu izpildītāji izmanto plašu sociālās inženierijas un izplatīšanas metožu klāstu, lai izplatītu izspiedējvīrusus, piemēram, KREMLIN. Tipiski vektori ietver pirātiskas lietojumprogrammas, uzlaušanas rīkus un atslēgu ģeneratorus, ļaunprātīgus vai viltotus e-pasta pielikumus un saites (ļaunprātīgus Office dokumentus, PDF failus, arhīvus), tehniskā atbalsta krāpniecību, neaizlāpotu programmatūras ievainojamību izmantošanu, inficētas USB ierīces, apdraudētas vai neoficiālas lejupielādes vietnes, P2P tīklus, ļaunprātīgas reklāmas un trešo pušu lejupielādētājus. Uzbrucēji bieži vien iesaiņo vai maskē izpildāmos failus dokumentos vai arhīvos, lai lietotāji tiktu apmānīti tos palaist.

Kāpēc maksāšana tiek atturēta un ko cietušajiem vajadzētu sagaidīt

Izpirkuma maksas samaksa negarantē datu atgūšanu: uzbrucēji var nepiegādāt darbojošos atšifrētāju, pieprasīt papildu maksājumus vai vienkārši pazust. Maksāšana arī veicina noziedzīgas darbības un palielina turpmākas uzbrukuma iespējamību. Organizācijām ar uzticamām, pārbaudītām dublējumkopijām ir vislabākās izredzes pilnībā atgūt datus bez maksas. Neatkarīgi no tā, vai faili galu galā tiek atgūti, ir svarīgi noņemt izspiedējvīrusu no inficētajām sistēmām, pretējā gadījumā tas var atkārtoti šifrēt atjaunotos failus vai izplatīties tālāk.

Neatliekamās darbības pēc infekcijas atklāšanas

Pirmās prioritātes ir kriminālistikas pierādījumu ierobežošana un saglabāšana. Nekavējoties atvienojiet inficētās iekārtas no tīkliem (atvienojiet tīkla kabeļus, atspējojiet Wi-Fi) un izolējiet tās, lai novērstu sānu pārvietošanos. Ja plānota kriminālistikas pierādījumu iegūšana, neizslēdziet sistēmas pēkšņi; tā vietā, ja iespējams, saglabājiet attēlus un dokumentējiet laika zīmogus un veiktās darbības. Ja esat pārbaudījis, nesen veiktas dublējumkopijas, sāciet kontrolētu atkopšanu tikai pēc tam, kad esat pārliecinājies, ka ļaunprogrammatūra ir iznīcināta no vides.

Labākā drošības prakse riska samazināšanai un ietekmes ierobežošanai

Saglabājiet bezsaistes, pārbaudītas dublējumkopijas: regulāri veidojiet kritiski svarīgu datu dublējumkopijas, vismaz vienu kopiju glabājot bezsaistē vai nemainīgā datu nesējā. Regulāri pārbaudiet atjaunošanas procedūras, lai dublējumkopijas būtu uzticamas incidenta laikā.

Sistēmu atjaunināšana un nostiprināšana : savlaicīgi atjauniniet operētājsistēmu, lietojumprogrammu un programmaparatūras drošības atjauninājumus. Samaziniet uzbrukuma virsmu, atspējojot neizmantotus pakalpojumus un noņemot nevajadzīgu programmatūru.

Izmantojiet galapunktu aizsardzību un EDR : Izvietojiet mūsdienīgus pretvīrusu un galapunktu noteikšanas un reaģēšanas risinājumus, kas var atklāt un bloķēt ļaunprātīgu darbību, izmantojot centralizētu reģistrēšanu un brīdināšanu.

Ieviest vismazākās privilēģijas un tīkla segmentāciju : ierobežojiet lietotāju un pakalpojumu privilēģijas tikai līdz nepieciešamajam līmenim. Segmentējiet tīklus tā, lai apdraudēts galapunkts nevarētu viegli sasniegt kritiski svarīgus serverus vai dublējumkopijas.

Spēcīga autentifikācija un daudzfaktoru autentifikācija: attālajai piekļuvei, e-pastam un administratora kontiem ir nepieciešama daudzfaktoru autentifikācija. Aizvietojiet noklusējuma vai vājas paroles ar spēcīgiem, unikāliem akreditācijas datiem.

Drošs e-pasts un tīmekļa vārtejas : izmantojiet uzlabotu e-pasta filtrēšanu un URL skenēšanu, lai samazinātu ļaunprātīgu pielikumu un pikšķerēšanas saišu skaitu. Ieviesiet DNS un tīmekļa filtrēšanu, lai bloķētu piekļuvi zināmām ļaunprātīgām vietnēm vai komandu un kontroles infrastruktūrai.

Lietotāju apmācība un pikšķerēšanas simulācijas : regulāri apmāciet darbiniekus atpazīt pikšķerēšanu, sociālo inženieriju un aizdomīgas lejupielādes; izmantojiet simulētas pikšķerēšanas kampaņas, lai novērtētu un uzlabotu informētību.

Programmatūras instalēšanas un noņemamo datu nesēju kontrole : ierobežojiet iespēju instalēt lietojumprogrammas vai izpildīt neparakstītu kodu. Bloķējiet vai uzraugiet USB disku un citu noņemamo datu nesēju izmantošanu.

Atgūšanas un sakopšanas apsvērumi

Izspiedējvīrusa iznīcināšana ir drošas atkopšanas priekšnoteikums. Sadarbojieties ar IT un drošības speciālistiem, lai identificētu pastāvīgus mehānismus (startēšanas ierakstus, ieplānotos uzdevumus, pakalpojumus, sānu kustības artefaktus) un noņemtu tos. Ja nepieciešams, atjaunojiet stipri apdraudētu sistēmu attēlu. Pirms datu atjaunošanas pārliecinieties, vai vide ir tīra; pretējā gadījumā atjaunotie dati var tikt atkārtoti šifrēti. Saglabājiet pierādījumus tiesībaizsardzības iestādēm un, ja nepieciešams, konsultējieties ar kiberdrošības pakalpojumu sniedzējiem un juridiskajiem konsultantiem par izpaušanas prasībām.

Noslēguma piezīmes — Izturība, nevis izpirkuma maksa

Kremļa darbības veids, šifrējot failus un pieprasot kriptovalūtas maksājumu pēc tam, kad upuri ir saņēmuši norādījumus sazināties, izmantojot Telegram, ir tipisks mūsdienu izspiedējvīrusiem: ātrs, graujošs un finansiāli motivēts. Visefektīvākā aizsardzība ir daudzslāņu drošības politika (tehniskā kontrole, ielāpu ieviešana, noteikšana), stabilas bezsaistes dublējumkopijas un praktizēta incidentu reaģēšana. Ja inficēts, prioritāte jāpiešķir ierobežošanai, noņemšanai un atjaunošanai no uzticamām dublējumkopijām; jāizvairās no paļaušanās uz uzbrucēju solījumiem un jāiesaista profesionāli incidentu reaģēšanas darbinieki un tiesībaizsardzības iestādes.

Ziņojumi

Tika atrasti šādi ar Kremļa izspiedējvīruss saistīti ziņojumi:

Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
36,104
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...