Solara izspiedējvīruss

Solara ir nesen novērots izspiedējvīrusu paveids, kas, pēc pētnieku domām, ir veidots uz publiski izplatītā Chaos saimes koda bāzes. Izspiedējvīrusi, piemēram, Solara, šifrē lietotāju failus, pieprasa samaksu un var neatgriezeniski traucēt piekļuvi svarīgiem datiem, tāpēc ierīču un dublējumu aizsardzība ir būtiska.

KO SOLARA DARA

Analīzes laikā tika novērots, ka Solara šifrē failus un pievieno teksta virkni “.solara” failu nosaukumiem (piemēram, “1.png” → “1.png.solara”). Ļaunprogrammatūra arī izsūta izpirkuma pieprasījumu ar nosaukumu “read_it.txt”, kurā apgalvots, ka upuris ir aktivizējis “pretaizlaušanas” aizsardzību, un norāda upuriem iegūt atšifrēšanas rīku no tiešsaistes dalībnieka. Vairākos rakstos un paraugu analīzēs Solara tiek saistīta ar Chaos izspiedējvīrusu saimi un aprakstīta līdzīga uzvedība (šifrēšana, paplašinājuma aizstāšana un vienkārša teksta izpirkuma pieprasījums).

IZPIRKUMA MAKSAS UN MAKSĀJUMU PRASĪBAS

Analītiķu pārbaudītajā izpirkuma ziņojumā apgalvots, ka failu atgūšana ir “gandrīz neiespējama” bez uzbrucēja atšifrēšanas rīka. Ziņojumā upuriem tiek ieteikts sazināties ar Discord lietotāju (xenqxd) un ieteiktas maksājuma iespējas, piemēram, Paysafecard (Polijā) vai neliela Bitcoin summa. Jāatzīmē, ka dažos paraugos nav norādīti nozīmīgi saziņas kanāli, kas var liecināt par nenobriedušu vai palaidnībai līdzīgu kampaņu vai operatoriem, kuri vienkārši negaida sarunas. Uz visām šādām prasībām jāizturas ar ārkārtīgām aizdomām.

VAI VAR ATJAUNOT FAILUS NEMAKSĀJOT?

Kopumā failus, ko šifrējuši Chaos-ģimenes draudi, nevar atgūt bez atbilstošas atšifrēšanas atslēgas. Ja jums ir tīras, bezsaistes dublējumkopijas no laika pirms inficēšanās, to atjaunošana ir drošākais ieteicamais veids. Maksāt nav ieteicams, jo noziedznieki bieži vien nepiegādā izmantojamus atšifrētājus, un līdzekļu maksāšana turpina noziedzīgu darbību.

BIEŽĀK SASTOPAMIE INFEKCIJAS VEKTORI

• Pirātiska programmatūra, atslēgu ģeneratori un “uzlauztas” utilītas, kas maskētas ar ļaunprogrammatūru.
• Ļaunprātīgi e-pasta pielikumi un saites (Office makro, skripti, EXE faili).
• Inficētas reklāmas, apdraudētas vai neoficiālas lejupielādes vietnes, P2P/torrent tīkli, USB diski un trešo pušu lejupielādētāji.

NEKAVĒJOŠĀS DARBĪBAS AIZDOMU PAR INFEKCIJU GADĪJUMĀ

Nekavējoties izolējiet ierīci : atvienojiet to no tīkliem (vadu/Wi-Fi) un atvienojiet visus koplietotos/tīkla diskus, lai apturētu sānu izplatīšanos.

Saglabājiet pierādījumus : neizslēdziet ierīci no jauna, ja vācat atmiņu vai kriminālistikas artefaktus, tā vietā uzņemiet atmiņas un diska attēlus, ja jums ir šāda iespēja, vai zvaniet incidentu reaģēšanas dienestam.

Izmantojiet dublējumkopijas : atjaunojiet no uzticamām dublējumkopijām, kad ļaunprogrammatūra ir noņemta un sistēmas ir atjaunotas; neatjaunojiet dublējumkopijas, kas, iespējams, bija pievienotas inficēšanas laikā.

Nemaksājiet, ja vien incidentu reaģēšanas komanda nav izvērtējusi visas iespējas un sekas; maksājumam nav garantijas, ka tas darbosies, un tas var veicināt turpmākus uzbrukumus.

LABĀKĀ DROŠĪBAS PRAKSE

Uzturēt aktuālu, daudzslāņu aizsardzību, kas ikdienas darbībās ietver šādas prakses:

Ielāpu pārvaldība : nekavējoties piemērojiet operētājsistēmas un lietojumprogrammu drošības atjauninājumus; daudzi izspiedējvīrusu paveidi izmanto zināmas un ielāpotas ievainojamības.

Vismazākās privilēģijas un konta higiēna : palaidiet lietotājus ar neadministratora kontiem, ieviesiet spēcīgu daudzfaktoru autentifikāciju attālajai piekļuvei un privilēģiju kontiem, kā arī uzraugiet neparastu pieteikšanās darbību.

Dublēšanas stratēģija : regulāri veidojiet dublējumkopijas un glabājiet tās atsevišķi no tīkla. Galu galā, dublējumkopijas ir visefektīvākais atkopšanas kontroles līdzeklis pret šifrēšanas uzbrukumiem.

Galapunktu aizsardzība un EDR : ieviesiet uzticamus galapunktu noteikšanas un reaģēšanas risinājumus, kas var atklāt izpildes anomālijas, bloķēt ļaunprātīgu slodzi un nodrošināt ātru ierobežošanu. Nodrošiniet, lai paraksti un telemetrija būtu iespējoti.

Lietotāju izglītošana un aizsardzība pret pikšķerēšanu : apmāciet lietotājus izvairīties no kreku/atslēgu ģenerēšanas, pārbaudīt e-pasta sūtītājus un saites, kā arī izturēties pret negaidītiem pielikumiem ar aizdomām. Simulētas pikšķerēšanas un izpratnes veicināšanas kampaņas samazina cilvēcisko riska faktoru.

Lietojumprogrammu vadīklas un makro ierobežojumi : pēc noklusējuma atspējojiet Office makro, bloķējiet izpildi no bieži sastopamām ļaunprātīgas izmantošanas vietām (piemēram, %AppData%, pagaidu mapēm) un, ja iespējams, izmantojiet lietojumprogrammu atļaušanas sarakstu.

NOSLĒGUMA PIEZĪMES

Solara ilustrē izplatītākos riskus, kas saistīti ar publiski pieejamiem izspiedējvīrusu veidotājiem: izplatās atvasinājumi un varianti, un uzbrucēji nepārtraukti pielāgo izplatīšanas metodes, lai mērķētu uz konkrētām kopienām (ziņojumos kā iespējamie ēsmas objekti tiek izcelti spēļu forumi un pirātiskas programmatūras kanāli). Labākā aizsardzība ir profilakse, spēcīgas dublējumkopijas, ātra ierobežošana un sadarbība ar apmācītām reaģēšanas komandām, nevis izpirkuma maksas maksāšana. Ja jums ir aizdomas par kompromitēšanu un nepieciešama pakāpeniska tīrīšanas palīdzība, apkopojiet parauga indikatorus (failu nosaukumus, jaucējkodus, izpirkuma pieprasījuma piezīmes tekstu) un konsultējieties ar uzticamu incidentu reaģēšanas pakalpojumu sniedzēju vai savu drošības pārdevēju, lai saņemtu norādījumus par ierobežošanu un atkopšanu.