Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Palaist (Makop) izspiedējvīrusu

Palaist (Makop) izspiedējvīrusu

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Digitālās vides aizsardzība pret ļaunprogrammatūru ir kļuvusi par kritiski svarīgu atbildību gan indivīdiem, gan organizācijām. Mūsdienu izspiedējvīrusu operācijas vairs nav oportūnistiski traucēkļi; tie ir aprēķināti, daudzpakāpju uzbrukumi, kas paredzēti sensitīvas informācijas šifrēšanai, izspiedšanai un publiskai atklāšanai. Viens no šādiem sarežģītiem draudiem, ko pašlaik izseko drošības pētnieki, ir Run Ransomware — ļaunprātīga versija, kas demonstrē mūsdienu kibernoziedznieku grupējumu mainīgo taktiku.

Izspiedējvīrusa palaišana: Makop saimes variants

Drošības analītiķi ir identificējuši Run Ransomware kā Makop izspiedējvīrusu saimes locekli — zināmu failu šifrēšanas ļaunprogrammatūru paveidu grupu, kas saistīta ar agresīvām izspiešanas metodēm. Šis apdraudējums tika atklāts plašākas izmeklēšanas laikā par aktīvām un jaunām izspiedējvīrusu kampaņām.

Kad izspiedējvīruss Run ir izpildīts, tas sāk sistemātisku šifrēšanas procesu, kas vērsts pret lietotāju failiem visā apdraudētajā sistēmā. Pēc datu šifrēšanas tas modificē failu nosaukumus, pievienojot trīs atšķirīgus elementus: unikālu upura ID, kontaktpersonas e-pasta adresi un paplašinājumu “.run”. Piemēram, tāds fails kā “1.png” kļūst par “1.png.[2AF20FA3].[runandpay@outlook.com].run”. Šī pārdēvēšanas struktūra kalpo gan kā kompromitēšanas marķieris, gan kā psiholoģiska spiediena taktika, padarot infekciju nekavējoties redzamu.

Papildus failu šifrēšanai izspiedējvīruss maina sistēmas fonu, lai pastiprinātu uzbrukuma ziņojumu, un publicē izpirkuma pieprasījumu ar nosaukumu “+README-WARNING+.txt”. Šīs darbības ir paredzētas, lai nodrošinātu, ka upuris nevar ignorēt ielaušanos.

Izspiešanas taktika un psiholoģiskais spiediens

Izpirkuma pieprasījuma vēstījumā ir sniegts skaidrs un pārliecinošs ziņojums. Tajā apgalvots, ka upura dators ir bloķēts, faili ir šifrēti un sensitīvi dati ir nozagti. Šī šifrēšanas un datu izspiešanas kombinācija norāda uz dubultas izspiešanas stratēģiju, kas ir metode, ko arvien vairāk izmanto mūsdienu izspiedējvīrusu operatori.

Cietušajiem tiek norādīts sazināties ar uzbrucējiem, izmantojot norādīto e-pasta adresi “runandpay@outlook.com”, un norādīt savu unikālo ID. Piezīmē uzsvērta steidzamība, piedāvājot samazinātu izpirkuma maksu, ja saziņa notiek pirmo 24 stundu laikā. Tajā arī piedraudēts, ka neievērošanas gadījumā nozagtie faili tiks publiskoti. Turklāt tajā brīdināts, ka atšifrēšanas rīks tiks dzēsts, ja upuris atteiksies maksāt, palielinot iespējamo neatgriezeniskas datu zaudēšanas risku.

Patiesībā izpirkuma maksas samaksa negarantē failu atgūšanu. Daudzi upuri vai nu saņem nefunkcionējošus atšifrēšanas rīkus, vai arī pēc maksājuma veikšanas tiek ignorēti. Bez piekļuves uzbrucēju privātajām atšifrēšanas atslēgām šifrētu failu atjaunošana parasti nav iespējama, ja vien nav pieejamas uzticamas dublējumkopijas.

Infekcijas vektori un izplatīšanās metodes

Izspiedējvīruss palaiž izplatītus, bet ļoti efektīvus kanālus, kas tiek izmantoti visā izspiedējvīrusu vidē. Inficēšanās parasti notiek pēc mijiedarbības ar ļaunprātīgu vai maldinošu saturu. Draudu izpildītāji bieži slēpj vērtumus failos, kas šķiet likumīgi vai ikdienišķi.

Biežākie infekcijas ceļi ir šādi:

  • Pikšķerēšanas e-pasti, kas satur ļaunprātīgus pielikumus vai saites
  • Viltus tehniskā atbalsta ziņojumi un sociālās inženierijas krāpniecība
  • Pirātiska programmatūra, plaisas un atslēgu ģeneratori
  • Apdraudētas vai krāpnieciskas tīmekļa vietnes
  • Vienādranga failu koplietošanas tīkli
  • Ļaunprātīgas reklāmas un ekspluatācijas komplekti
  • Inficēti USB diski
  • Neielāpotu programmatūras ievainojamību izmantošana

Ļaunprātīgi faili var parādīties kā izpildāmas programmas, skripti, saspiesti arhīvi (ZIP vai RAR) vai izplatīti dokumentu formāti, piemēram, Word, Excel un PDF faili. Novecojusi programmatūra ievērojami palielina apdraudējumu, jo apdraudējumu izpildītāji bieži izmanto zināmas ievainojamības, lai iegūtu sākotnēju piekļuvi.

Nekavējoties notiekošas izraidīšanas nozīme

Kad izspiedējvīruss ir iekļuvis sistēmā, tas ir jānoņem pēc iespējas ātrāk. Ja tas paliek aktīvs, tas var turpināt šifrēt jaunizveidotus vai pievienotus failus, tostarp tos, kas atrodas kartētos tīkla diskos vai koplietojamā krātuvē. Uzņēmumu vidē tas var pāraugt viena apdraudēta galapunkta darbībā plaši izplatītā tīkla incidentā.

Savlaicīga inficētās ierīces izolācija no tīkla var novērst sānu pārvietošanos. Tomēr noņemšana vien neatšifrē skartos failus; tā tikai aptur turpmāku ļaunprātīgu darbību.

Aizsardzības stiprināšana: svarīgākās drošības prakses

Efektīvai aizsardzībai pret Run Ransomware un līdzīgiem draudiem ir nepieciešama daudzslāņu drošības stratēģija. Lai gan neviena sistēma nav pilnībā imūna, tālāk minētā labākā prakse ievērojami samazina riska pakļautību:

  • Regulāri uzturiet bezsaistes vai mākonī balstītas dublējumkopijas un pārbaudiet to integritāti.
  • Atjauniniet operētājsistēmas un lietojumprogrammas ar jaunākajiem drošības ielāpiem.
  • Izmantojiet uzticamus galapunktu aizsardzības risinājumus ar reāllaika apdraudējumu noteikšanu.
  • Atspējojiet makro Office dokumentos, ja vien tas nav absolūti nepieciešams.
  • Izvairieties lejupielādēt pirātisku vai neoficiālu programmatūru.
  • Esiet piesardzīgi ar nevēlamiem e-pastiem, īpaši tiem, kas satur pielikumus vai steidzamus pieprasījumus.
  • Ierobežojiet administratora privilēģijas, lai ierobežotu neatļautas sistēmas izmaiņas.
  • Ieviest tīkla segmentāciju organizatoriskās vidēs.

Papildus tehniskajām kontrolēm lietotāju informētība joprojām ir kiberdrošības noturības stūrakmens. Personu apmācība atpazīt pikšķerēšanas mēģinājumus un aizdomīgas lejupielādes var ievērojami samazināt veiksmīgas inficēšanās rādītājus.

Galīgais novērtējums

Izspiedējvīruss “Run” ir piemērs mūsdienu izspiedējvīrusu operāciju pieaugošajai sarežģītībai. Izmantojot šifrēšanu, datu zādzības un psiholoģiskas manipulācijas, tas piespiež upurus pieņemt ātrus maksājumu lēmumus. Tā saistība ar “Makop” izspiedējvīrusu saimi izceļ šo noziedzīgo uzņēmumu strukturēto un mainīgo raksturu.

Atgūšana bez dublējumkopijām bieži vien nav iespējama, un izpirkuma maksas maksāšana joprojām ir augsta riska pasākums. Visuzticamākā aizsardzība slēpjas proaktīvā aizsardzībā: stabilās dublēšanas stratēģijās, savlaicīgos programmatūras atjauninājumos, spēcīgajā galapunktu aizsardzībā un informētā lietotāju rīcībā. Mūsdienu apdraudējumu ainavā sagatavotība nav izvēles iespēja, tā ir būtiska.

 

System Messages

The following system messages may be associated with Palaist (Makop) izspiedējvīrusu:

----------------------------------------------------

WARNING! AVVERTIMENTO! WARNUNG!

----------------------------------------------------

Your computer is locked, your data are encrypted and stolen.

Contact us immediately to pay and decrypt your files.

The decryption price is lower for the first 24 hours.

If you don't pay for decryption after your initial contact, the files will be published online.

The decoder will be deleted if you don't pay.

----------------------------------------------------

Email: runandpay@outlook.com

----------------------------------------------------

YOUR ID:

Tendences

Medusa izspiedējvīrusa uzbrukuma kampaņa

Advanced Persistent Threat (APT), Ransomware
Ar Ziemeļkoreju saistītais apdraudējumu izpildītājs, kas pazīstams kā Lazarus Group, kas tiek izsekots arī kā Diamond Sleet un Pompilus, ir novērots, izmantojot Medusa izspiedējvīrusu uzbrukumā nenosauktai organizācijai Tuvajos Austrumos. Drošības pētnieki arī identificēja neveiksmīgu ielaušanās mēģinājumu, ko veica tie paši dalībnieki, vēršoties pret veselības aprūpes organizāciju Amerikas...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
23,864
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...