Perisian Ransomware DeadLock

Kempen perisian tebusan moden direka khas untuk menjadikan data peribadi atau organisasi anda menjadi leverage. Setelah fail kritikal disulitkan, penyerang memegang semua kad, melainkan anda telah menyediakan lebih awal. Kebersihan keselamatan yang kukuh, pertahanan berlapis dan strategi sandaran yang berdaya tahan secara mendadak mengurangkan kemungkinan lampiran berniat jahat tunggal, pemasang retak atau muat turun penyangak akan membawa kepada gangguan perniagaan atau kehilangan data kekal. DeadLock Ransomware ialah contoh yang baik mengapa asas-asas ini penting.

Apa yang membezakan DeadLock

DeadLock ialah keluarga perisian tebusan penyulitan fail yang menandakan setiap mangsa dengan pengecam unik. Semasa serangan, ia mengacak data pengguna dan menamakan semula setiap fail yang disulitkan dengan menambahkan ID mangsa dan sambungan '.dlock' pada nama fail asal. Contohnya: '1.png' menjadi '1.png.F8C6A8.dlock' dan '2.pdf' menjadi '2.pdf.F8C6A8.dlock.' ID ini digunakan sepanjang proses peras ugut untuk menjejaki mangsa dan mengikat pembayaran kepada kunci penyahsulitan. DeadLock juga menjatuhkan nota tebusan yang nama failnya membenamkan pengecam yang sama (cth, "READ ME.F8C6A8.txt") dan menukar kertas dinding desktop untuk mengukuhkan bahawa sistem telah terjejas.

Di dalam Nota Tebusan

Nota itu membuat beberapa perkara penting yang direka untuk mengemudi pergerakan mangsa seterusnya. Ia menegaskan bahawa fail yang disulitkan tidak boleh dipulihkan tanpa 'kunci penyahsulitan unik' yang hanya dimiliki oleh penyerang. Mangsa diberitahu untuk memasang pemesej Sesi yang memfokuskan privasi dan menghubungi menggunakan ID Sesi yang dibekalkan (sekali lagi memetakan kembali kepada pengecam setiap mangsa yang dibenamkan dalam nama fail). Penyerang meminta mangsa menghantar satu fail yang disulitkan serta 'kunci peribadi' (ID unik mereka) untuk pengesahan. Ini adalah taktik biasa yang bertujuan untuk membina kepercayaan dengan menyahsulit sampel yang tidak berbahaya.

Taktik Pembayaran dan Tekanan

Pengendali DeadLock menuntut mata wang kripto, khususnya Bitcoin atau Monero. Mereka berjanji bahawa, selepas pembayaran, mereka akan menghantar penyahsulit yang berfungsi. Seperti kebanyakan operasi perisian tebusan, tiada jaminan boleh dikuatkuasakan. Nota itu juga menggunakan ketakutan untuk menghalang percubaan pemulihan bebas: ia memberi amaran kepada mangsa supaya tidak menamakan semula fail yang disulitkan dan tidak mencuba alat penyahsulitan pihak ketiga, mendakwa tindakan sedemikian boleh merosakkan data secara kekal atau menaikkan harga pemulihan. Amaran ini sebahagiannya teknikal (pengendalian yang tidak betul sememangnya boleh merumitkan pemulihan) dan sebahagian lagi tekanan psikologi.

Semakan Realiti Penyahsulitan

Pengalaman dengan perisian tebusan secara umum, dan pemesejan pengendali sendiri, menyokong kebenaran yang sukar: dalam kebanyakan kes, anda tidak boleh menyahsulit fail DeadLock‑scrambled tanpa kerjasama dan alatan penyerang. Itu meninggalkan dua laluan pemulihan yang realistik: (1) berfungsi sandaran yang berada di luar talian, di luar tapak, versi atau sebaliknya tidak boleh diakses oleh perisian hasad pada masa serangan; atau (2) membayar tebusan dan berharap penjenayah menghormati perjanjian itu. Membayar adalah berisiko: penyerang mungkin hilang, menghantar penyahsulit yang rosak atau menggunakan pembayaran sebagai isyarat bahawa anda adalah sasaran lembut untuk pemerasan masa depan. Di mana mungkin, bergantung pada sandaran yang tidak terjejas dan bukannya membuat pembayaran tebusan.

Mengapa Penyingkiran Penuh Penting

Walaupun selepas penyulitan selesai, meninggalkan perisian tebusan pada sistem adalah berbahaya. Komponen sisa mungkin menyulitkan semula fail yang baru dibuat, menuai bukti kelayakan, membuka pintu belakang atau cuba bergerak secara sisi merentasi rangkaian tempatan. Pembasmian, disokong oleh pengimbasan titik akhir, pemeriksaan memori dan semakan tugas yang dijadualkan, entri permulaan dan pengawal domain, adalah penting untuk mencegah kerosakan berulang.

Vektor Jangkitan DeadLock Biasa

Penyerang memerlukan pijakan awal. Kempen ransomware telah dikaitkan dengan berbilang saluran pengedaran yang memangsakan kepercayaan pengguna, rasa ingin tahu dan pintasan penjimatan kos:

• Perisian komersil cetak rompak atau 'retak', termasuk penjana kunci yang digabungkan dan alat pintasan lesen yang memasang perisian hasad secara rahsia.
• Retak perisian, keygens dan pengaktif tidak rasmi ditarik dari tapak warez atau torrent.
• Lampiran e-mel berniat jahat: dokumen Word yang terperangkap samar (selalunya didayakan makro), PDF, arkib ZIP, fail skrip atau muatan boleh laksana yang menyamar sebagai invois, notis penghantaran atau borang HR segera.
• Malvertising (iklan berniat jahat) yang mengubah hala pengguna untuk mengeksploitasi kit atau halaman muat turun penyangak.
• Platform perkongsian peer-to-peer dan hab muat turun pihak ketiga yang membungkus semula pemasang dengan muatan tersembunyi.
• Media boleh tanggal (cth, pemacu USB yang dijangkiti) yang dijalankan secara automatik atau menggoda pengguna untuk melancarkan fail yang tercemar.
• Portal sokongan teknologi palsu yang menekan pengguna untuk memuat turun 'pembetulan' atau 'kemas kini' sebenarnya mengandungi pemuat perisian tebusan.
• Tapak web sah terjejas yang telah disemai dengan muat turun drive‑by atau skrip suntikan yang menyampaikan muatan.

Amalan Keselamatan Terbaik untuk Mengukuhkan Pertahanan Anda

Keselamatan berlapis secara mendadak mengurangkan jejari letupan peristiwa perisian tebusan. Di bawah ialah langkah pertahanan yang diutamakan yang membantu menghalang DeadLock dan ancaman serupa daripada berjaya:

• Kekalkan sandaran data kritikal yang boleh dipercayai dan luar talian.
• Tampal sistem pengendalian, aplikasi dan perisian tegar dengan segera, terutamanya perkhidmatan terdedah dan suite produktiviti yang terdedah kepada penyalahgunaan makro atau mengeksploitasi.
• Gunakan perlindungan titik akhir/EDR yang bereputasi dengan pengesanan perisian tebusan berasaskan tingkah laku dan pengasingan automatik.
• Menguatkuasakan akaun pengguna yang paling tidak mempunyai keistimewaan; lumpuhkan pentadbir tempatan jika tidak diperlukan; asingkan kelayakan pentadbir daripada penggunaan harian.
• Hadkan pelaksanaan makro, jurubahasa skrip dan perduaan yang tidak ditandatangani melalui dasar kumpulan, penyenaraian membenarkan aplikasi dan akses folder terkawal.
• Gunakan penapisan keselamatan e-mel: lampiran kotak pasir, periksa pautan dan benderakan jenis fail yang mencurigakan atau domain penghantar yang dipalsukan.
• Lumpuhkan autorun pada media boleh tanggal dan imbas peranti USB sebelum dipasang.
• Memerlukan pengesahan berbilang faktor (MFA) untuk akses jauh, konsol pentadbir dan antara muka pengurusan sandaran.

Pelajaran Jangka Panjang

DeadLock memperkukuh tema berulang merentas keluarga perisian tebusan: penyerang tidak memerlukan eksploitasi canggih jika pengguna akhir secara rutin memuat turun alatan retak, membuka lampiran yang tidak disahkan atau menyemak imbas rangkaian iklan yang tidak dipercayai. Teknik keselamatan asas, menampal disiplin, kawalan akses, sandaran yang dipantau dan kesedaran pengguna, mengubah krisis yang akan berlaku kepada peristiwa yang boleh dipulihkan. Melabur dalam pertahanan ini sekarang; kosnya jauh lebih rendah daripada wang tebusan yang dibayar di bawah tekanan.

Fikiran Penutup

Ketahanan perisian ransomware dibina lama sebelum serangan melanda skrin anda. Dengan memahami cara DeadLock beroperasi dan melaksanakan kawalan pencegahan dan pemulihan berlapis, anda meletakkan diri anda untuk menahan ancaman ini dan yang lain sepertinya. Tetap ragu-ragu tentang apa-apa yang anda tidak sengaja cari atau sahkan. Kewaspadaan anda adalah yang pertama, dan selalunya yang terbaik, barisan pertahanan.