Perisian Ransomware RDAT

Ransomware kekal sebagai salah satu ancaman paling mengganggu yang dihadapi oleh pengguna dan organisasi rumah. Satu pencerobohan boleh merampas dokumen, foto dan data perniagaan dalam beberapa minit, kemudian memeras mangsa untuk mendapatkan akses. RDAT Ransomware, cabang daripada keluarga Dharma yang prolifik, menggambarkan mengapa pertahanan berlapis dan perancangan pemulihan yang berdisiplin adalah penting.

Profil Ancaman: Sekilas Pandang RDAT

Penyelidik Infosec mengenal pasti RDAT semasa semakan luas perisian hasad baru muncul. Ia adalah varian Dharma yang dibina khusus untuk pemerasan data: ia menyulitkan fail dan menekan mangsa untuk membayar penyahsulitan. RDAT menyasarkan kedua-dua pemacu tempatan dan perkongsian rangkaian, dengan sengaja mengelakkan fail sistem kritikal supaya peranti kekal boleh boot dan mangsa boleh membaca nota tebusan.

Apa yang Dilihat oleh Mangsa

Sebaik sahaja RDAT dilaksanakan, ia menyulitkan pelbagai jenis fail. Nama fail diubah untuk memasukkan ID mangsa yang unik, e-mel penyerang dan sambungan '.RDAT', contohnya:
1.png menjadi 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Dua nota tebusan berikut: tetingkap pop timbul yang menyatakan fail disulitkan dan fail teks bernama 'DAT_INFO.txt' dengan arahan hubungan. Tawaran pengendali' untuk menyahsulit sehingga tiga fail (tertakluk kepada had saiz/format) sebagai bukti, sambil memberi amaran bahawa menggunakan alat pihak ketiga atau mengubah suai data yang disulitkan boleh menyebabkan kerugian kekal. Taktik ini direka untuk membina kredibiliti dan segera, bukan untuk membantu anda.

Bagaimana RDAT Kekal dan Merebak

RDAT mewarisi buku permainan kegigihan dan anti-pemulihan Dharma. Perisian hasad menyalin dirinya ke dalam %LOCALAPPDATA%, mendaftarkan entri autorun melalui kekunci Run tertentu dan dilancarkan semula selepas but semula. Untuk menyekat pemulihan pantas, ia memadamkan Volume Shadow Copies. Sebelum menyulitkan, ia menamatkan proses yang mungkin mengekalkan fail terbuka (pangkalan data, pembaca dokumen dan yang serupa), memastikan liputan maksimum. Ia juga cuba mengelakkan data 'penyulitan dua kali' yang telah dilanda perisian tebusan lain dengan menyemak senarai yang diketahui, pemeriksaan keselamatan yang tidak sempurna.

Pemilihan Sasaran dan Geofencing

Malware mengumpul data geolokasi untuk mengukur sama ada mangsa mungkin membayar. Jika rantau ini kelihatan tidak menguntungkan, dari segi ekonomi atau atas sebab geopolitik, ia mungkin melangkau penyulitan sepenuhnya. Tingkah laku ini adalah semata-mata untuk memaksimumkan hasil tebusan.

Mengapa Membayar Adalah Pertaruhan Kalah

Penyahsulitan selepas serangan perisian tebusan biasanya mustahil tanpa kunci penyerang, melainkan ketegangan itu cacat teruk. Walaupun begitu, membayar adalah berisiko: ramai mangsa tidak pernah menerima penyahsulit yang berfungsi. Pembayaran juga membiayai lebih banyak serangan. Jalan yang bertanggungjawab adalah untuk menghapuskan perisian hasad, membina semula daripada sandaran yang boleh dipercayai dan mengeraskan sistem untuk mengelakkan kejadian berulang.

Saluran Penghantaran Disahkan

Pencerobohan keluarga Dharma selalunya bermula dengan Protokol Desktop Jauh (RDP) yang terdedah atau dilindungi dengan lemah. Penyerang bergantung pada serangan kekerasan dan kamus dan, sekali masuk, boleh melumpuhkan tembok api hos. Di luar RDP, ekosistem memanfaatkan pancingan data dan kejuruteraan sosial, malvertising, sumber perisian yang tidak boleh dipercayai, lampiran spam dan trojan pemuat/pintu belakang. Muatan berniat jahat biasanya dihantar sebagai arkib (RAR/ZIP), boleh laku, skrip (termasuk JavaScript) dan dokumen (PDF, Office, OneNote). Keluarga tertentu juga membiak melalui rangkaian tempatan dan media boleh alih.

Penahanan dan Pemulihan

Hapuskan perisian tebusan untuk menghentikan penyulitan selanjutnya, tetapi fahami bahawa pengalihan keluar tidak memulihkan fail yang dikunci. Pemulihan memerlukan sandaran versi yang bersih. Standard emas adalah untuk mengekalkan salinan di berbilang lokasi dan jenis media, termasuk storan luar talian yang tidak boleh disentuh oleh perisian hasad.

Vektor akses dan pengedaran biasa untuk ancaman perisian tebusan termasuk:

• Perkhidmatan RDP terdedah/lemah, pemadat bukti kelayakan dan log masuk kekerasan
• E-mel pancingan data, gewang kejuruteraan sosial, lampiran dan pautan spam, malvertising, muat turun trojan, muat turun dipandu, perisian cetak rompak dan 'retak', pengemas kini palsu dan jangkitan pemuat/pintu belakang; penyebaran sisi melalui LAN dan peranti USB/storan boleh tanggal

Bottom Line

RDAT Ransomware ialah varian Dharma yang didorong oleh keuntungan yang berdisiplin: ia berterusan sepanjang but semula, memadamkan titik pemulihan, menyasarkan kedua-dua data tempatan dan dikongsi serta menggunakan taktik tekanan untuk mengeluarkan pembayaran. Laluan yang paling boleh dipercayai untuk berdaya tahan ialah pengerasan proaktif serta sandaran yang teguh, berkemampuan luar talian dan pemulihan yang telah dilatih dengan baik. Jangan bayar; membasmi, memulihkan dan mengetatkan pertahanan untuk menghalang percubaan seterusnya.