Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware NeZha izspiedējvīruss

NeZha izspiedējvīruss

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Izspiedējvīrusi joprojām ir viens no postošākajiem draudiem, ar ko saskaras indivīdi un organizācijas. Viens veiksmīgs ielaušanās var apturēt darbību, sabojāt vai izlaupīt sensitīvus datus un izraisīt dārgus atkopšanas pasākumus. Spēcīgu, daudzslāņu aizsardzības sistēmu izveide pirms incidenta ir vienīgais uzticamais veids, kā mazināt ietekmi tad, kad uzbrucēji izmēģina savu veiksmi, nevis ja viņi to izdara.

Draudu pārskats

Pētnieki ir identificējuši sarežģītu vīrusa paveidu, ko sauc par NeZha izspiedējvīrusu. Tāpat kā citām šīs kategorijas saimēm, NeZha pamatmērķis ir vienkāršs: šifrēt pēc iespējas vairāk failu un pēc tam piespiest samaksu par atšifrēšanas atslēgu. Tā operatori pozicionē sevi kā vienīgo ceļu uz datu atjaunošanu un pastiprina spiedienu ar laika ierobežojumiem un datu noplūdes draudiem.

Sistēmas darbība un failu izmaiņas

Tiklīdz NeZha iegūst atbalstu, tā sāk šifrēt lietotāju un uzņēmumu datus bieži sastopamās atrašanās vietās. Šifrēšanas laikā tā arī pārdēvē vienumus, pievienojot upurim specifisku identifikatoru un paplašinājumu “.NeZha”. Novērotos gadījumos failu nosaukumi iegūst GUID līdzīgu ID; piemēram, nekaitīgs fails, piemēram, “1.png”, ir pārveidots par nosaukumu, kas līdzīgs “1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha”. Pēc darbības pabeigšanas NeZha ievieto izpirkuma pieprasījumu ar nosaukumu “README.TXT” skartajos direktorijos.

Izpirkuma maksas piezīme un spiediena taktika

Piezīmē apgalvots, ka datubāzes, dokumenti, fotoattēli un citi faili ir šifrēti un ka vienīgais risinājums ir iegādāties atšifrēšanas atslēgu no uzbrucējiem. Lai veidotu ticamību, noziedznieki bieži piedāvā bez maksas atšifrēt vienu nekritisku failu. Viņi brīdina nemodificēt bloķētus failus, neizmantot trešo pušu atšifrētājus vai meklēt ārēju palīdzību, apgalvojot, ka tas palielinās zaudējumus. Sākotnējam saziņas veidam ir noteikts 24 stundu termiņš; ja tas netiek ievērots, operatori draud nopludināt vai pārdot sensitīvus uzņēmuma datus, kurus, viņuprāt, ir nofiltrējuši, kas ir "dubultās izspiešanas" piemērs.

Atveseļošanās realitāte un maksājumu dilemma

Tehniski lielāko daļu mūsdienu izspiedējvīrusu nevar atšifrēt bez uzbrucēju privātajām atslēgām, ja vien ļaunprogrammatūrai nav nopietnu trūkumu, kas ir neparasts scenārijs. Tomēr maksāšana ir riskanta un nav ieteicama: daudzi upuri nekad nesaņem darbojošos atšifrētājus pat pēc līdzekļu pārskaitīšanas, un maksājums uztur noziedzīgu darbību. Drošāks ceļš ir paļauties uz tīrām, bezsaistes dublējumiem un oficiālu incidentu reaģēšanu.

Ierobežošana un izvešana

Noņemot NeZha, tiek apturēta turpmāka šifrēšana, bet netiek atbloķēti jau skartie faili. Prioritātēm jābūt inficēto sistēmu izolēšanai no tīkla, pierādījumu saglabāšanai forenzikai, ļaunprogrammatūras iznīcināšanai, izmantojot uzticamus rīkus vai tīru atjaunošanu, un pēc tam atjaunošanai no zināmām, labām dublējumkopijām. Ja jums ir aizdomas par datu noplūdi, aktivizējiet savu pārkāpuma reaģēšanas plānu un apsveriet juridiskās, normatīvās un klientu informēšanas saistības.

Kā NeZha parasti izplatās

NeZha seko daudzu izspiedējvīrusu kampaņu stratēģijai, izmantojot gan lietotāju, gan uzbrucēju vadītas piegādes metodes. Uzbrucēji var maskēt vērtumus kā likumīgu saturu vai ienest tos programmatūras pakotnēs un pēc tam aktivizēt izpildi, atverot failu vai palaižot skriptu. Daži varianti var izplatīties arī lokālajos tīklos vai kopēt sevi noņemamos datu nesējos.

Bieži sastopamie piegādes vektori

  • Pikšķerēšana un sociālā inženierija, kas noved pie slazdos ievietotu pielikumu (Office/OneNote/PDF), skriptu (JavaScript), arhīvu (ZIP/RAR) vai izpildāmo failu (.exe/.run) atvēršanas.
  • Trojiešu instalētāji, ielādētāji un aizmugurējās durvis, kas otrajā posmā ievelk izspiedējvīrusus.
  • Maldinošas un nejaušas lejupielādes no apdraudētām vai ļaunprātīgām vietnēm.
  • Neuzticami lejupielādes avoti (bezmaksas programmatūras portāli, trešo pušu spoguļi, P2P tīkli).
  • Surogātpasta kampaņas, tiešsaistes krāpniecība un ļaunprātīga reklamēšana, kas novirza uz vērtajām kravām.
  • Nelikumīgi aktivizācijas rīki (“kreki”), pirātiska programmatūra/multivides faili un viltoti atjaunināšanas aicinājumi.
  • Pašizplatīšanās lokālajos tīklos un noņemamās atmiņas ierīcēs (USB diski, ārējie cietie diski).

Noslēguma domas

NeZha atbilst mūsdienu izspiedējvīrusu standartiem: ātra šifrēšana, spēcīga piespiešana un ticami datu noplūdes draudi. Vislabāko ietekmi varat iegūt pirms incidenta, ievērojot stingru higiēnu, daudzslāņu kontroli, pārbaudītas dublējumkopijas un praktizētu reaģēšanu. Apvienojiet tehniskos drošības pasākumus ar lietotāju izglītošanu un disciplinētām darbībām, lai samazinātu gan NeZha uzbrukuma iespējamību, gan tā izplatības rādiusu.

Ziņojumi

Tika atrasti šādi ar NeZha izspiedējvīruss saistīti ziņojumi:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,998
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...