RestoreMyData Ransomware
Kempen perisian hasad sentiasa berkembang, dan perisian tebusan kekal sebagai salah satu ancaman yang paling merosakkan untuk pengguna dan organisasi dari setiap saiz. Satu pencerobohan yang berjaya boleh menghentikan operasi, merosakkan sandaran, mencetuskan pemerasan kebocoran data, dan mengenakan pemulihan yang lama dan mahal. Pertahanan proaktif dan tindak balas berdisiplin memainkan peranan penting dalam mengehadkan radius letupan apabila, bukan jika, serangan berlaku.
Isi kandungan
Apakah RestoreMyData Ransomware?
RestoreMyData mengunci data mangsa dan memeras mereka untuk wang tebusan. Strain ransomware ini telah dikenal pasti semasa penyiasatan memburu ancaman yang sedang dijalankan. Seperti keluarga kontemporari yang lain, ia menyulitkan fail dan menuntut bayaran untuk utiliti penyahsulitan, sambil juga mendakwa mengeksfiltrasi data perniagaan sensitif untuk menekan mangsa dengan kebocoran awam.
Bagaimana Serangan Terjadi
Selepas bertapak, selalunya melalui kejuruteraan sosial, muat turun berniat jahat atau perisian hasad sekunder, perisian tebusan melaksanakan rutin penyulitannya. Setiap nama fail yang terjejas diubah suai dengan menambahkan '.restoremydata.pw.' Contohnya, '1.png' menjadi '1.png.restoremydata.pw' dan '2.pdf' menjadi '2.pdf.restoremydata.pw.' Apabila penyulitan selesai, perisian hasad menggugurkan nota tebusan bernama 'HOW_TO_RECOVERY_FILES.txt.' Nota itu jelas ditujukan kepada perniagaan dan bukannya pengguna rumah, memberi amaran bahawa operasi berisiko, fail tidak boleh diakses tanpa bantuan penyerang, dan data korporat yang dicuri akan diterbitkan jika permintaan diabaikan.
Di dalam Nota Tebusan: Taktik dan Tekanan
Mesej itu menegaskan bahawa hanya penyerang yang memegang kunci penyahsulitan unik dan penyahsulit yang digunakan untuk mangsa lain tidak akan berfungsi. Ia memberi amaran terhadap mengubah suai fail yang disulitkan untuk mengelakkan kerosakan yang tidak dapat dipulihkan. Sebagai 'bukti penyahsulitan,' pengendali menawarkan untuk memulihkan satu fail ujian, biasanya sehingga 2 MB, dan bukan aset kritikal seperti pangkalan data, sandaran atau hamparan besar. Ini ialah teknik kejuruteraan sosial biasa yang direka untuk membina kredibiliti dan mendorong mangsa ke arah pembayaran.
Membayar Tebusan: Risiko dan Realiti
Dalam kebanyakan kes, menyahsulit fail yang dikunci oleh perisian tebusan moden tidak boleh dilaksanakan tanpa kunci penyerang. Walau bagaimanapun, pembayaran tidak menjamin pemulihan; mangsa kerap melaporkan tidak menerima apa-apa yang berguna selepas memindahkan dana. Membayar juga menyemarakkan ekosistem jenayah. Kursus yang boleh dipertahankan adalah untuk mengelakkan pembayaran, fokus pada pembasmian, dan memulihkan daripada sandaran bersih.
Kegigihan, Pergerakan Lateral, dan Spread
Melangkaui kompromi awal, beberapa ancaman cuba bergerak ke sisi merentasi rangkaian tempatan, menyalahgunakan alat pentadbiran, menuai bukti kelayakan dan menyebarkan melalui media boleh tanggal (pemacu USB, cakera luaran). RestoreMyData harus diandaikan mampu memanfaatkan teknik serupa yang dilihat dalam ekosistem, bermakna kelajuan pembendungan adalah kritikal apabila penunjuk ditemui.
Akses Awal dan Saluran Penghantaran
Pengendali perisian tebusan bergantung pada laluan pengedaran yang sudah usang: e-mel pancingan data dan mesej dengan lampiran atau pautan yang terperangkap samar, trojan dan pemuat yang menurunkan muatan kemudian, muat turun pandu oleh dari tapak yang terjejas, portal perisian percuma dan rangkaian P2P dengan pemasang dibungkus semula, malvertising, kemas kini palsu dan 'crack'. Kandungan berniat jahat selalunya ditutup sebagai arkib (ZIP/RAR), boleh laku, PDF, dokumen Office atau OneNote, JavaScript dan banyak lagi; pelaksanaan bermula apabila pengguna membuka atau menjalankan fail.
Strategi Pembasmian dan Pemulihan
Asingkan sistem yang terjejas dengan serta-merta daripada rangkaian untuk menghentikan penyebaran penyulitan dan exfiltration data. Lakukan pengalihan keluar secara menyeluruh menggunakan alat keselamatan yang bereputasi dan dikemas kini sepenuhnya. Fahami bahawa pengalihan keluar menghentikan kerosakan selanjutnya tetapi tidak menyahsulit data yang telah dikunci. Pemulihan harus datang daripada sandaran yang belum terjejas.
Bottom Line
RestoreMyData Ransomware mencontohkan buku main pemerasan berganda hari ini: penyulitan pantas, kunci mangsa yang unik, nota tebusan tekanan tinggi dan ancaman untuk membocorkan data yang dicuri. Elakkan daripada membayar apabila boleh, alih keluar perisian hasad dengan tegas dan bergantung pada sandaran yang dikeraskan dan diuji secara kerap untuk pemulihan. Organisasi yang menggabungkan pencegahan berlapis, kawalan keistimewaan yang ketat, sandaran berdaya tahan dan tindak balas insiden yang diamalkan dengan ketara meningkatkan peluang mereka untuk menahan serangan jenis ini.
Mesej
Mesej berikut yang dikaitkan dengan RestoreMyData Ransomware ditemui:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
