AntiHacker Ransomware

Melindungi data peribadi dan perniagaan daripada ancaman perisian hasad moden bukan lagi pilihan, ia adalah keperluan operasi. Pengendali perisian tebusan terus memperhalusi taktik, alatan dan skim kejuruteraan sosial mereka untuk memaksimumkan gangguan dan memeras pembayaran. Malah organisasi yang lebih kecil dan pengguna rumah kerap disasarkan, dan pemulihan boleh menjadi sukar atau mustahil tanpa persediaan. AntiHacker Ransomware, ahli keluarga Xorist, adalah ancaman sedemikian.

TINJAUAN ANCAMAN & KETURUNAN

AntiHacker ialah program berniat jahat yang ditemui oleh penyelidik keselamatan maklumat dan dikategorikan dalam keluarga perisian tebusan Xorist. Ancaman berasaskan Xorist biasanya dibina daripada rangka kerja kit yang penyerang boleh menyesuaikan, menukar mesej tebusan yang dipaparkan, sambungan fail, elemen bahasa dan parameter lain. AntiHacker mengikuti buku main Xorist yang biasa: ia menyulitkan data mangsa dan kemudian menuntut bayaran sebagai pertukaran untuk kunci penyahsulitan yang dikatakan.

TINGKAH LAKU & PEMARKAHAN ENCRIPSI FAIL

Sebaik sahaja AntiHacker menjejaskan sistem, ia mencari data yang boleh diakses pengguna merentas pemacu tempatan dan juga lokasi rangkaian yang berpotensi dipetakan. Pelbagai jenis fail disasarkan, dokumen, imej, arkib, fail multimedia dan stor data berharga yang lain. Setiap item yang disulitkan dinamakan semula dengan menambahkan rentetan '.antihacker2017' pada penghujung nama fail asal. Sebagai contoh, fail asalnya bernama '1.png' menjadi '1.png.antihacker2017'; '2.pdf' menjadi '2.pdf.antihacker2017'; dan corak ini berulang merentasi semua fail yang diproses. Sambungan tambahan itu mempunyai dua tujuan: ia secara visual memberi isyarat kompromi kepada mangsa dan membantu perisian tebusan mengenal pasti item mana yang telah dikendalikannya.

NOTA TEBUAN, POP-UP & KERTAS WALLPAPER MESEJ

Selepas melengkapkan rutin penyulitannya, AntiHacker mengubah suai kertas dinding desktop mangsa dan menjatuhkan nota tebusan dalam dua format selari: tetingkap pop timbul dan fail teks bernama 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (Rusia untuk 'PTHOLESS.txt'). Kandungan mesej yang dibentangkan dalam pop timbul dan fail teks adalah sama. Walau bagaimanapun, varian kertas dinding termasuk bahasa kejuruteraan sosial tambahan, justifikasi yang sepatutnya bahawa serangan itu berlaku kerana pengguna melawat tapak web berorientasikan dewasa atau haram tertentu. Sudut memalukan ini direka untuk menekan mangsa supaya membayar dengan cepat dan senyap.

PERKARA PENGEkodan WATAK

Pada sistem yang tidak menggunakan set aksara Cyrillic, teks tebusan yang dipaparkan dalam pop timbul boleh muncul sebagai omong kosong yang tidak boleh dibaca. Oleh itu, mangsa mungkin melihat tetingkap mesej yang rosak tetapi masih menemui arahan yang boleh dibaca di dalam fail teks yang digugurkan. Penyerang sering mengabaikan butiran penyetempatan; pembela boleh menggunakan artifak tersebut untuk membantu insiden berkaitan kelompok.

MEKANIK PAKSAAN: HAD PENYERTAAN UTAMA & TUNTUTAN ANCAMAN

Arahan tebusan menyatakan bahawa mangsa mesti menghubungi penyerang untuk mendapatkan kunci penyahsulitan. Mereka juga mengenakan kekangan tekanan tinggi: hanya 50 percubaan untuk memasukkan kunci dibenarkan, selepas itu mesej mendakwa data yang disulitkan akan hilang secara kekal. Amaran tambahan menegaskan bahawa menggunakan alat keselamatan, but semula atau mematikan mesin akan menyebabkan fail tidak boleh disulitkan. Taktik menakutkan ini adalah perkara biasa dalam buku permainan perisian tebusan dan bertujuan untuk menghalang pengguna daripada mendapatkan bantuan profesional atau mencuba prosedur pemulihan yang selamat.

MENGAPA MEMBAYAR TEBUSAN ADALAH BERISIKO

Tiada jaminan bahawa penjenayah siber di belakang AntiHacker (atau mana-mana perisian tebusan) akan menyampaikan penyelesaian penyahsulitan yang berfungsi selepas pembayaran. Mangsa yang membayar selalunya tidak menerima apa-apa, menerima kunci yang rosak atau menjadi sasaran pemerasan berulang kali. Pembayaran juga membiayai operasi jenayah yang berterusan dan memberi insentif kepada serangan selanjutnya. Pendirian berhemat adalah untuk mengelak daripada membayar apabila mungkin dan fokus pada laluan pemulihan di bawah kawalan anda.

REALITI PEMULIHAN

Mengalih keluar AntiHacker daripada sistem yang dijangkiti boleh menghentikan penyulitan fail selanjutnya, tetapi ia tidak menyahsulit data yang telah dikunci. Laluan yang paling boleh dipercayai untuk pemulihan ialah memulihkan salinan bersih fail yang terjejas daripada sandaran yang diasingkan, luar talian atau di luar jangkauan perisian hasad. Jika tiada sandaran berdaya maju wujud, pilihan pemulihan data menjadi sangat terkekang.

VEKTOR JANGKITAN UTAMA

Pengarang perisian tebusan bergantung pada ekosistem pengedaran luas yang sama yang menyemarakkan kategori perisian hasad lain. AntiHacker tidak terkecuali. Penyerang sering menyamar muatan sebagai perisian yang sah atau menggabungkannya dengan program, dokumen atau pemasang yang retak atau cetak rompak. Hanya membuka fail yang terperangkap samar boleh mencetuskan muat turun atau rantaian pelaksanaan.

• Pancingan data & gewang kejuruteraan sosial dihantar melalui e-mel, mesej peribadi atau mesej langsung dengan lampiran berniat jahat atau pautan terbenam.
• Muat turun pandu atau mengelirukan yang dimulakan daripada tapak web yang terjejas atau berniat jahat tanpa kebenaran pengguna yang jelas.
• Pemuat Trojan dan pintu belakang yang secara senyap mengambil dan melancarkan perisian tebusan setelah dibenamkan.
• Sumber muat turun yang tidak boleh dipercayai seperti tapak perisian percuma, halaman pengehosan pihak ketiga dan rangkaian perkongsian fail Peer-to-Peer (P2P).
• Penipuan dalam talian dan kempen malvertising yang mengubah hala pengguna ke arah kit eksploitasi atau muatan jahat.
• Alat pengaktifan perisian yang tidak sah ('cracks' / keygens) dan kemas kini perisian palsu yang memasang perisian hasad dan bukannya tampung yang sah.
• Arkib (ZIP, RAR, dsb.), fail boleh laku (EXE, RUN, dll.), fail skrip (cth, JavaScript), dan format dokumen (PDF, Microsoft Office, OneNote dan lain-lain) dipersenjatai untuk melancarkan rantaian jangkitan.

TINJAUAN STRATEGI PERTAHANAN

Lapisan pertahanan perisian tebusan yang berkesan adalah manusia, proses dan teknologi. Anda tidak boleh bergantung pada satu kawalan pelindung; andaikan sekurang-kurangnya satu lapisan akan gagal. Gabungkan kesedaran pengguna, konfigurasi yang dikeraskan, tampalan yang ketat, amalan sandaran yang teguh dan keupayaan pengesanan/tindak balas yang kukuh untuk mengurangkan kedua-dua kemungkinan dan kesan pencerobohan gaya AntiPenggodam.

• Mengekalkan sandaran data penting.
• Pastikan sistem pengendalian, aplikasi dan alatan keselamatan dikemas kini sepenuhnya; gunakan tampalan dengan segera, terutamanya untuk akses jauh dan perkhidmatan perkongsian fail.
• Gunakan penyelesaian anti-malware / pengesanan & tindak balas (EDR) yang bereputasi baik dengan pengesanan perisian tebusan tingkah laku dan keupayaan rollback automatik jika disokong.
• Menguatkuasakan hak pengguna yang paling tidak mempunyai keistimewaan; mengendalikan tugas harian di bawah akaun bukan pentadbir dan mengehadkan akses tulis kepada stor data kongsi.
• Bahagikan rangkaian dan hadkan pergerakan sisi; asingkan repositori sandaran dan pelayan kritikal pada peringkat akses yang berasingan.
• Memerlukan pengesahan berbilang faktor (MFA) untuk log masuk jauh, tindakan istimewa dan konsol pengurusan sandaran.

KESIMPULAN

AntiHacker Ransomware menggambarkan cara pelaku ancaman menyesuaikan keluarga berasaskan kit seperti Xorist untuk menghasilkan skim peras ugut yang disasarkan secara serantau yang kuat. Penyulitan datanya, penandaan nama fail, artifak nota tebusan berbilang bahasa dan pemesejan paksaan semuanya direka bentuk untuk mendorong pembayaran. Namun langkah balas yang paling kuat kekal sebagai persediaan: sandaran terpencil, pertahanan berlapis, pengguna termaklum dan pelan tindak balas yang berdisiplin. Organisasi dan individu yang melabur dalam perlindungan ini boleh mengubah peristiwa perisian tebusan yang berpotensi bencana menjadi insiden yang boleh dipulihkan.