Traders Ransomware
Izspiedējvīrusi joprojām ir viens no visstraujāk augošajiem un postošākajiem draudiem, ar ko saskaras gan indivīdi, gan organizācijas. Viens veiksmīgs ielaušanās var šifrēt gadiem ilgu darbu, atklāt privātus datus un izraisīt dārgas dīkstāves. Informētība par aktīvajiem vīrusiem un daudzslāņu aizsardzības piemērošana ievērojami samazina gan uzbrukuma iespējamību, gan ietekmi.
Satura rādītājs
Draudu profils — kas ir “tirgotāji”?
“Traders” ir failus šifrējošs izspiedējvīruss, ko drošības analītiķi novēro apdraudējumu meklēšanas un ļaunprogrammatūras izmeklēšanas laikā. Tiklīdz tas iekļūst sistēmā, tas šifrē lietotāja datus un maina failu nosaukumus, lai atzīmētu ķīlnieku failus. Pēc tam operatori pieprasa samaksu apmaiņā pret atšifrēšanas atslēgu, vienlaikus izdarot spiedienu, izmantojot datu noplūdes draudus.
Atšķirīgi failu marķieri — kā tiek pārdēvēti jūsu dati
Pēc šifrēšanas programma Traders katram skartajam failam pievieno upurim specifisku identifikatoru un paplašinājumu “.traders”. Šablonā ir iekļauts upura ID iekavās, kas atvieglo apdraudējuma atrašanu dažādās mapēs. Piemēram:
- 1.png kļūst par 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.tirgotāji
- 2.pdf kļūst par 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.tirgotāji
Izpirkuma piezīme — uzbrucēju prasības un apgalvojumi
Traders atstāj zīmīti ar nosaukumu “README.TXT”. Ziņojumā norādīts, ka dokumenti, fotoattēli, datubāzes un citi vērtīgi faili ir šifrēti, un apgalvots, ka atkopšanai ir nepieciešama unikāla privātā atslēga, kas atrodas uzbrucēju rīcībā. Piezīme parasti attur no pašpalīdzības atšifrēšanas mēģinājumiem, brīdinot, ka nepiemēroti rīki var neatgriezeniski sabojāt datus. Tajā ir norādīti kontaktpunkti, e-pasta adrese (“traders@mailum.com”) un sesijas ziņojumapmaiņas ID, ar kuru palīdzību upuri tiek instruēti veikt sarunas.
Dubultā izspiešana — datu zādzība kā ietekmes līdzeklis
Papildus šifrēšanai zīmītē ir drauds, ka izfiltrētie dati tiks pārdoti vai publicēti, ja netiks veikts maksājums. Šī "dubultās izspiešanas" taktika cenšas piespiest upurus, kuri paļaujas uz dublējumkopijām, pievienojot vienādojumam reputācijas, juridiskos un privātuma riskus.
Atveseļošanās realitāte — kas patiesībā palīdz
Mūsdienu izspiedējvīrusu bloķētus failus parasti nav iespējams atgūt bez uzbrucēju atšifrētāja. Praktiski atjaunošanas ceļi ir ierobežoti ar tīrām, bezsaistes dublējumkopijām, kas nebija pieejamas incidenta laikā. Izpirkuma maksas maksāšana ir stingri neieteicama: nav garantijas, ka saņemsiet darbojošos atšifrēšanas rīkus, un maksājums veicina turpmāku noziedzīgu darbību.
Ierobežošana un iznīcināšana — tūlītējas darbības
Ja tiek atklāts Traders, nekavējoties izolējiet skartās iekārtas no tīkla, lai apturētu turpmāku šifrēšanu un laterālo izplatību. Saglabājiet forenzikas artefaktus, tostarp izpirkuma pieprasījumu, šifrētu failu paraugus un attiecīgos žurnālus. Izmantojiet cienījamu ļaunprogrammatūras apkarošanas/EDR risinājumu, lai noņemtu lietderīgo slodzi un visus saglabāšanas mehānismus. Pēc iznīcināšanas atjaunojiet vai atkārtoti izveidojiet apdraudēto sistēmu attēlu, nomainiet akreditācijas datus un pārbaudiet piekļuves atslēgas un žetonus. Tikai pēc tam jāsāk datu atjaunošana no pārbaudītām dublējumiem, rūpīgi uzraugot atkārtotu inficēšanu.
Sākotnējā piekļuve un piegāde — kā tirgotāji sasniedz sistēmas
Tāpat kā daudzas citas izspiedējvīrusu saimes, arī Traders tiek piegādāts, izmantojot vairākus kanālus. Bieži sastopami iekļūšanas punkti ir ļaunprātīgi e-pasta pielikumi vai saites, Trojas zirgu inficēta vai pirātiska programmatūra (tostarp atslēgu ģeneratori un kreki), viltoti tehniskā atbalsta ēsmas un neaizlāpotu ievainojamību izmantošana. Draudu izpildītāji ļaunprātīgi izmanto arī ļaunprātīgu reklāmu, kompromitētas vai līdzīgas vietnes, inficētus noņemamus datu nesējus, P2P tīklus, trešo pušu lejupielādes portālus un slazdos iejauktus failu tipus, piemēram, izpildāmos instalētājus, Office vai PDF dokumentus ar iegultiem makro vai skriptiem, kā arī saspiestus arhīvus (ZIP/RAR), kas izpako dropperus.
Stipriniet savu aizsardzību — svarīgākās drošības prakses
- Saglabājiet bezsaistes dublējumkopijas.
- Nekavējoties instalējiet ielāpus. Ja iespējams, prioritizējiet pakalpojumus, kas pieejami internetā, un ieslēdziet automātiskos atjauninājumus.
- Izvietojiet uzticamu drošības programmatūru ar aizsardzību reāllaikā, uzvedības bloķēšanu un kontrolētu piekļuvi mapēm.
- Nostipriniet RDP un attālās piekļuves aizsardzību. Atspējojiet, ja nepieciešams, ierobežojiet ar atļauju sarakstu/VPN, pieprasiet MFA un uzraugiet brutālu spēku vai anomālus pieteikšanās gadījumus.
- Atspējojiet riskantus makro un skriptus. Bloķējiet Office makro piekļuvi internetam, ierobežojiet PowerShell ierobežotās valodas režīmā lietotājiem, kas nav administratori, un auditējiet skriptu izpildi.
- Drošas pārlūkprogrammas un lejupielādes. Izmantojiet tikai cienījamus pakalpojumus, bloķējiet zināmus ļaunprātīgus domēnus un izvairieties no trešo pušu lejupielādētājiem un P2P avotiem.
Noslēguma domas
Tirgotāju izspiedējvīrusi apvieno spēcīgu šifrēšanu ar izspiešanas spiedienu, padarot sagatavošanos par labāko aizsardzību. Regulāri atjauniniet sistēmas, nodrošiniet piekļuvi ar vismazākajām privilēģijām, izvietojiet jaudīgu galapunktu aizsardzību, segmentējiet tīklus un, pats svarīgākais, uzturiet pārbaudītas bezsaistes dublējumkopijas. Ja jūsu dators jau ir ietekmēts, koncentrējieties uz ierobežošanu un profesionālu novēršanu, nevis maksāšanu.
