RDAT izspiedējvīruss

Izspiedējvīrusi joprojām ir viens no postošākajiem draudiem, ar ko saskaras mājas lietotāji un organizācijas. Viens ielaušanās dažu minūšu laikā var sabojāt dokumentus, fotoattēlus un biznesa datus un pēc tam izspiest upurus, lai iegūtu piekļuvi. RDAT izspiedējvīrusi, kas ir ražīgās Dharma saimes atzars, ilustrē, kāpēc ir nepieciešama daudzslāņu aizsardzība un disciplinēta atkopšanas plānošana.

Draudu profils: RDAT īsumā

Informācijas drošības pētnieki RDAT identificēja plašas jaunās ļaunprogrammatūras pārskatīšanas laikā. Tā ir Dharmas variants, kas īpaši izstrādāts datu izspiešanai: tā šifrē failus un piespiež upurus maksāt par atšifrēšanu. RDAT ir vērsts gan uz lokālajiem diskdziņiem, gan tīkla koplietojumiem, apzināti izvairoties no kritiskiem sistēmas failiem, lai ierīce paliktu startējama un upuris varētu izlasīt izpirkuma pieprasījumus.

Ko redz upuri

Kad RDAT tiek izpildīts, tas šifrē plašu failu tipu klāstu. Failu nosaukumi tiek mainīti, iekļaujot unikālu upura ID, uzbrucēja e-pasta adresi un paplašinājumu “.RDAT”, piemēram:
1.png kļūst par 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Seko divas izpirkuma prasības: uznirstošais logs, kurā norādīts, ka faili ir šifrēti, un teksta fails ar nosaukumu “DAT_INFO.txt” ar saziņas instrukcijām. Operatori piedāvā “atšifrēt” līdz trim failiem (ievērojot izmēra/formāta ierobežojumus) kā pierādījumu, vienlaikus brīdinot, ka trešo pušu rīku izmantošana vai šifrēto datu modificēšana var izraisīt neatgriezeniskus zaudējumus. Šīs taktikas ir paredzētas, lai vairotu ticamību un steidzamību, nevis lai palīdzētu jums.

Kā RDAT saglabājas un izplatās

RDAT pārmanto Dharma noturības un pretatkopšanas rokasgrāmatu. Ļaunprogrammatūra kopē sevi mapē %LOCALAPPDATA%, reģistrē automātiskās palaišanas ierakstus, izmantojot īpašas palaišanas atslēgas, un pēc pārstartēšanas restartējas. Lai bloķētu ātru atjaunošanu, tā dzēš sējuma ēnkopijas. Pirms šifrēšanas tā pārtrauc procesus, kas varētu paturēt failus atvērtus (datubāzes, dokumentu lasītājus un tamlīdzīgi), nodrošinot maksimālu pārklājumu. Tā arī cenšas izvairīties no datu "dubultās šifrēšanas", kurus jau ir skāris cits izspiedējvīruss, salīdzinot tos ar zināmu sarakstu, kas ir nepilnīga drošības pārbaude.

Mērķa izvēle un ģeogrāfiskā norobežošana

Ļaunprogrammatūra apkopo ģeolokācijas datus, lai novērtētu, vai upuris, visticamāk, maksās. Ja reģions šķiet nelabvēlīgs ekonomisku vai ģeopolitisku iemeslu dēļ, tā var pilnībā izlaist šifrēšanu. Šāda rīcība ir paredzēta tikai izpirkuma maksas palielināšanai.

Kāpēc maksāšana ir zaudējoša likme

Atšifrēšana pēc izspiedējvīrusa uzbrukuma parasti nav iespējama bez uzbrucēju atslēgām, ja vien programma nav nopietni bojāta. Pat tad maksāšana ir riskanta: daudzi upuri nekad nesaņem darbojošos atšifrētājus. Maksājums finansē arī citus uzbrukumus. Atbildīgs risinājums ir iznīcināt ļaunprogrammatūru, atjaunot to no uzticamām dublējumkopijām un nostiprināt sistēmas, lai novērstu atkārtotu incidentu.

Apstiprināti piegādes kanāli

Dharmas saimes ielaušanās bieži sākas ar atklātu vai vāji aizsargātu attālās darbvirsmas protokolu (RDP). Uzbrucēji paļaujas uz brutāla spēka un vārdnīcu uzbrukumiem un, nokļūstot sistēmā, var atspējot resursdatora ugunsmūrus. Papildus RDP ekosistēma izmanto pikšķerēšanu un sociālo inženieriju, ļaunprātīgu reklāmu, neuzticamus programmatūras avotus, surogātpasta pielikumus un ielādēšanas/aizmugurējās durvis Trojas zirgus. Ļaunprātīgas slodzes parasti tiek nosūtītas kā arhīvi (RAR/ZIP), izpildāmie faili, skripti (tostarp JavaScript) un dokumenti (PDF, Office, OneNote). Dažas saimes izplatās arī, izmantojot lokālos tīklus un noņemamus datu nesējus.

Ierobežošana un atgūšana

Lai apturētu turpmāku šifrēšanu, likvidējiet izspiedējvīrusu, taču saprotiet, ka noņemšana neatjauno bloķētos failus. Atkopšanai ir nepieciešamas tīras, versijām aizsargātas dublējumkopijas. Zelta standarts ir kopiju saglabāšana vairākās vietās un datu nesēju veidos, tostarp bezsaistes krātuvē, kurai ļaunprogrammatūra nevar piekļūt.

Biežākie piekļuves un izplatīšanas vektori izspiedējvīrusu draudiem ir šādi:

• Atsegtas/vājās RDP pakalpojumi, akreditācijas datu ievainojamība un brutālas piespiedu pieteikšanās
• Pikšķerēšanas e-pasti, sociālās inženierijas ēsmas, surogātpasta pielikumi un saites, ļaunprātīga reklamēšana, Trojas zirgu lejupielādes, automātiski lejupielādētas lejupielādes, pirātiska programmatūra un “kreki”, viltoti atjauninātāji un ielādēšanas/aizmugurējās durvis infekcijas; sānu izplatība, izmantojot lokālo tīklu un noņemamas USB/atmiņas ierīces.

Kopsavilkums

RDAT izspiedējvīruss ir disciplinēta, uz peļņu orientēta Dharmas variācija: tā saglabājas pēc atkārtotas palaišanas, dzēš atkopšanas punktus, ir vērsta gan uz lokāliem, gan koplietotiem datiem un izmanto spiediena taktiku, lai iegūtu samaksu. Visuzticamākais ceļš uz noturību ir proaktīva aizsardzības pastiprināšana, kā arī stabilas, bezsaistes režīmā darbojošās dublējumkopijas un labi iemācīta atkopšana. Nemaksājiet; iznīciniet, atjaunojiet un nostipriniet aizsardzību, lai novērstu nākamo mēģinājumu.