RestoreMyData izspiedējvīruss

Ļaunprogrammatūras kampaņas nepārtraukti attīstās, un izspiedējvīrusi joprojām ir viens no viskaitīgākajiem draudiem lietotājiem un visu lielumu organizācijām. Viens veiksmīgs ielaušanās var apturēt darbību, sabojāt dublējumkopijas, izraisīt datu noplūdes izspiešanu un noteikt ilgus, dārgus atgūšanas procesus. Proaktīva aizsardzība un disciplinēta reaģēšana spēlē izšķirošu lomu sprādziena rādiusa ierobežošanā uzbrukuma brīdī, nevis ja tas notiek.

Kas ir RestoreMyData izspiedējvīruss?

RestoreMyData bloķē upuru datus un pieprasa izpirkuma maksu. Šis izspiedējvīrusu paveids tika identificēts notiekošo draudu meklēšanas izmeklēšanu laikā. Tāpat kā citas mūsdienu dzimtas, tas šifrē failus un pieprasa samaksu par atšifrēšanas utilītu, vienlaikus apgalvojot, ka izfiltrē sensitīvus biznesa datus, lai izdarītu spiedienu uz upuriem ar publiskām informācijas nopludināšanām.

Kā notiek uzbrukums

Pēc iekļūšanas tīklā, bieži vien ar sociālās inženierijas, ļaunprātīgu lejupielāžu vai sekundāras ļaunprogrammatūras palīdzību, izspiedējvīruss izpilda savu šifrēšanas rutīnu. Katra skartā faila nosaukums tiek modificēts, pievienojot tam paplašinājumu “.restoremydata.pw”. Piemēram, “1.png” kļūst par “1.png.restoremydata.pw”, un “2.pdf” kļūst par “2.pdf.restoremydata.pw”. Kad šifrēšana ir pabeigta, ļaunprogrammatūra izsūta izpirkuma pieprasījumu ar nosaukumu “HOW_TO_RECOVERY_FILES.txt”. Šis pieprasījums ir nepārprotami paredzēts uzņēmumiem, nevis mājas lietotājiem, brīdinot, ka darbības ir apdraudētas, faili nav pieejami bez uzbrucēju palīdzības un nozagti uzņēmuma dati tiks publicēti, ja prasības tiks ignorētas.

Izpirkuma maksas iekšpusē Piezīme: taktika un spiediens

Ziņojumā apgalvots, ka tikai uzbrucējiem ir unikāla atšifrēšanas atslēga un ka citiem upuriem izmantotie atšifrētāji nedarbosies. Tajā brīdināts nemodificēt šifrētus failus, lai izvairītos no neatgriezeniskiem bojājumiem. Kā "atšifrēšanas pierādījumu" operatori piedāvā atjaunot vienu testa failu, parasti līdz 2 MB, nevis kritiski svarīgu resursu, piemēram, datubāzi, dublējumu vai lielu izklājlapu. Šī ir izplatīta sociālās inženierijas metode, kas paredzēta, lai veidotu ticamību un pamudinātu upurus maksāt.

Izpirkuma maksas maksāšana: riski un realitāte

Vairumā gadījumu mūsdienu izspiedējvīrusu bloķētu failu atšifrēšana nav iespējama bez uzbrucēja atslēgām. Tomēr maksājums negarantē atgūšanu; upuri bieži ziņo, ka pēc līdzekļu pārskaitīšanas nav saņēmuši neko noderīgu. Maksājums arī veicina noziedzīgo ekosistēmu. Aizsargājamais risinājums ir izvairīties no maksāšanas, koncentrēties uz datu iznīcināšanu un atjaunot failus no tīrām dublējumiem.

Noturība, sānu kustība un izplatība

Papildus sākotnējam apdraudējumam daži apdraudējumi mēģina pārvietoties laterāli lokālajos tīklos, ļaunprātīgi izmantot administratīvos rīkus, ievākt akreditācijas datus un izplatīties, izmantojot noņemamus datu nesējus (USB diskus, ārējos diskus). Jāpieņem, ka RestoreMyData spēj izmantot līdzīgas metodes, kas redzamas ekosistēmā, kas nozīmē, ka ierobežošanas ātrums ir kritiski svarīgs, tiklīdz tiek atklāti indikatori.

Sākotnējās piekļuves un piegādes kanāli

Izspiedējvīrusu operatori paļaujas uz labi zināmiem izplatīšanas ceļiem: pikšķerēšanas e-pastiem un ziņojumiem ar lamatām pielikumiem vai saitēm, Trojas zirgiem un ielādētājiem, kas vēlāk nosūta lietderīgos datus, automātiskām lejupielādēm no apdraudētām vietnēm, bezmaksas programmatūras portāliem un P2P tīkliem ar pārpakotiem instalētājiem, ļaunprātīgu reklāmu, viltotiem atjauninājumiem un “uzlaušanas” rīkiem. Ļaunprātīgs saturs bieži tiek maskēts kā arhīvi (ZIP/RAR), izpildāmie faili, PDF faili, Office vai OneNote dokumenti, JavaScript un citi; izpilde sākas brīdī, kad lietotājs atver vai palaiž failu.

Izskaušanas un atjaunošanas stratēģija

Nekavējoties izolējiet skartās sistēmas no tīkla, lai apturētu šifrēšanas izplatīšanos un datu noplūdi. Veiciet rūpīgu noņemšanu, izmantojot uzticamus, pilnībā atjauninātus drošības rīkus. Saprotiet, ka noņemšana aptur turpmākus bojājumus, bet neatšifrē jau bloķētus datus. Atkopšanai jānotiek no dublējumiem, kas vēl nav skarti.

Kopsavilkums

RestoreMyData izspiedējvīruss ir mūsdienu dubultās izspiešanas rokasgrāmatas piemērs: ātra šifrēšana, unikālas upuru atslēgas, augsta spiediena izpirkuma piezīmes un draudi nopludināt nozagtus datus. Izvairieties no maksāšanas, kad vien iespējams, apņēmīgi noņemiet ļaunprogrammatūru un paļaujieties uz pārbaudītām, regulāri pārbaudītām dublējumkopijām atkopšanai. Organizācijas, kas apvieno slāņveida profilaksi, stingru privilēģiju kontroli, noturīgas dublējumkopijas un pieredzējušu incidentu reaģēšanu, ievērojami uzlabo savas izredzes pretoties šāda veida uzbrukumiem.