Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan NeZha Ransomware

NeZha Ransomware

Menjelang Mezo pada Perisian tebusan
Terjemahkan ke

Ransomware kekal sebagai salah satu ancaman paling mengganggu yang dihadapi oleh individu dan organisasi. Satu pencerobohan yang berjaya boleh menghentikan operasi, merosakkan atau mengeluarkan data sensitif dan mencetuskan usaha pemulihan yang mahal. Membina pertahanan berlapis yang kuat sebelum insiden adalah satu-satunya cara yang boleh dipercayai untuk meminimumkan kesan apabila, bukan jika, penyerang mencuba nasib mereka.

Gambaran keseluruhan ancaman

Penyelidik telah mengenal pasti strain canggih yang digelar perisian tebusan NeZha. Seperti keluarga lain dalam kategori ini, objektif teras NeZha adalah mudah: menyulitkan seberapa banyak fail yang mungkin dan kemudian memaksa pembayaran untuk kunci penyahsulitan. Pengendalinya meletakkan diri mereka sebagai satu-satunya laluan untuk pemulihan dan menguatkan tekanan dengan had masa dan ancaman kebocoran data.

Tingkah laku pada sistem dan perubahan fail

Sebaik sahaja NeZha bertapak, ia mula menyulitkan data pengguna dan perniagaan merentas lokasi biasa. Semasa penyulitan, ia juga menamakan semula item dengan menambahkan pengecam khusus mangsa dan sambungan '.NeZha'. Dalam kes yang diperhatikan, nama fail mendapat ID seperti GUID; contohnya, fail jinak seperti '1.png' telah dilihat diubah menjadi nama yang serupa dengan '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha.' Selepas melengkapkan pasnya, NeZha meletakkan nota tebusan bertajuk 'README.TXT' ke dalam direktori yang terjejas.

Nota tebusan dan taktik tekanan

Nota itu menegaskan bahawa pangkalan data, dokumen, foto dan fail lain disulitkan dan membeli kunci penyahsulitan daripada penyerang adalah satu-satunya penyelesaian. Untuk membina kredibiliti, penjenayah sering menawarkan untuk menyahsulit satu fail tidak kritikal secara percuma. Mereka memberi amaran agar tidak mengubah suai fail yang dikunci, menggunakan penyahsulit pihak ketiga atau mendapatkan bantuan luar, mendakwa ini akan meningkatkan kerugian. Tarikh akhir 24 jam ditetapkan untuk hubungan awal; jika terlepas, pengendali mengancam untuk membocorkan atau menjual data syarikat sensitif yang mereka dakwa telah dieksfiltrasi, contoh 'pemerasan berganda.'

Realiti pemulihan dan dilema pembayaran

Secara teknikal, kebanyakan perisian tebusan moden tidak boleh dinyahsulit tanpa kunci peribadi penyerang, melainkan perisian hasad itu cacat serius, senario yang luar biasa. Membayar, bagaimanapun, adalah berisiko dan tidak digalakkan: ramai mangsa tidak pernah menerima penyahsulit yang berfungsi walaupun selepas memindahkan dana, dan pembayaran mengekalkan aktiviti jenayah. Laluan yang lebih selamat adalah bergantung pada sandaran luar talian yang bersih dan tindak balas insiden rasmi.

Penahanan dan penyingkiran

Mengalih keluar NeZha menghentikan penyulitan lanjut tetapi tidak membuka kunci fail yang telah terjejas. Keutamaan hendaklah mengasingkan sistem yang dijangkiti daripada rangkaian, mengekalkan bukti untuk forensik, membasmi perisian hasad menggunakan perkakas yang bereputasi atau bina semula yang bersih, dan kemudian memulihkan daripada sandaran yang terkenal. Jika anda mengesyaki penyusutan data, aktifkan pelan tindak balas pelanggaran anda dan pertimbangkan kewajipan pemberitahuan undang-undang, kawal selia dan pelanggan.

Bagaimana NeZha biasanya merebak

NeZha mengikuti buku permainan banyak kempen perisian tebusan, membonceng pada kedua-dua kaedah penyampaian dipacu pengguna dan didorong penyerang. Penyerang boleh menyamar muatan sebagai kandungan yang sah atau menyeludupnya ke dalam berkas perisian, kemudian mencetuskan pelaksanaan apabila fail dibuka atau skrip dijalankan. Sesetengah varian juga boleh merambat secara sisi dalam rangkaian tempatan atau menyalin sendiri ke media boleh tanggal.

Vektor penghantaran biasa

  • Pancingan data dan kejuruteraan sosial yang membawa kepada pembukaan lampiran yang terperangkap samar (Office/OneNote/PDF), skrip (JavaScript), arkib (ZIP/RAR) atau boleh laku (.exe/.run).
  • Pemasang trojan, pemuat dan pintu belakang yang menarik perisian tebusan sebagai peringkat kedua.
  • Muat turun memandu dan mengelirukan daripada tapak yang terjejas atau berniat jahat.
  • Sumber muat turun yang tidak dipercayai (portal perisian percuma, cermin pihak ketiga, rangkaian P2P).
  • Kempen spam, penipuan dalam talian dan penyelewengan yang mengubah hala kepada muatan.
  • Alat pengaktifan yang tidak sah ('retak'), perisian/media cetak rompak dan gesaan kemas kini palsu.
  • Sebarkan sendiri melalui rangkaian tempatan dan storan boleh tanggal (pemacu USB, HDD luaran).

Menutup pemikiran

NeZha sesuai dengan acuan perisian tebusan moden: penyulitan pantas, paksaan kuat dan ancaman pendedahan data yang boleh dipercayai. Leverage terbaik anda diperoleh sebelum kejadian, melalui kebersihan yang rapi, kawalan berlapis, sandaran yang diuji dan tindak balas yang diamalkan. Gabungkan perlindungan teknikal dengan pendidikan pengguna dan operasi berdisiplin untuk mengurangkan kedua-dua kemungkinan dan jejari letupan serangan NeZha.

Mesej

Mesej berikut yang dikaitkan dengan NeZha Ransomware ditemui:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Trending

Paling banyak dilihat

Memuatkan...