Perisian Ransomware Solara

Solara ialah jenis perisian tebusan yang diperhatikan baru-baru ini yang dikatakan penyelidik dibina di atas kod keluarga Chaos yang diedarkan secara terbuka. Ransomware seperti Solara menyulitkan fail pengguna, menuntut pembayaran dan boleh mengganggu akses kepada data penting secara kekal, jadi melindungi peranti dan sandaran adalah penting.

APA YANG SOLARA BUAT

Semasa analisis, Solara diperhatikan menyulitkan fail dan menambahkan rentetan teks '.solara' pada nama fail (contohnya, '1.png' → '1.png.solara'). Malware itu juga menjatuhkan nota tebusan bernama 'read_it.txt' yang mendakwa mangsa mencetuskan perlindungan 'anti-retak' dan mengarahkan mangsa mendapatkan alat penyahsulitan daripada pelakon dalam talian. Beberapa penulisan dan analisis sampel memautkan Solara kepada keluarga perisian tebusan Chaos dan menerangkan tingkah laku yang serupa (penyulitan, penggantian sambungan dan nota tebusan teks biasa).

NOTA TEBUAN & TUNTUTAN BAYARAN

Mesej wang tebusan yang diperiksa oleh penganalisis menegaskan bahawa pemulihan fail adalah 'hampir mustahil' tanpa alat penyahsulitan penyerang. Nota tersebut mengarahkan mangsa untuk menghubungi pengguna Discord (xenqxd) dan mencadangkan pilihan pembayaran seperti Paysafecard (di Poland) atau jumlah Bitcoin yang kecil. Terutama, sesetengah sampel mengetepikan saluran hubungan yang bermakna, yang boleh menunjukkan kempen yang tidak matang atau seperti gurauan, atau pengendali yang langsung tidak mengharapkan untuk berunding. Layan semua tuntutan tersebut dengan syak wasangka yang melampau.

BOLEHKAH ANDA MEMULIH FAIL TANPA MEMBAYAR?

Secara umum, fail yang disulitkan oleh ancaman Chaos-family tidak boleh dipulihkan tanpa kunci penyahsulitan yang betul. Jika anda mempunyai sandaran luar talian yang bersih sebelum jangkitan, memulihkannya ialah laluan yang disyorkan paling selamat. Membayar tidak digalakkan, penjenayah selalunya tidak menghantar penyahsulit yang boleh digunakan, dan membayar dana aktiviti jenayah selanjutnya.

VEKTOR JANGKITAN BIASA

• Perisian cetak rompak, keygen dan utiliti 'retak' yang menyamar dengan perisian hasad.
• Lampiran dan pautan e-mel berniat jahat (makro pejabat, skrip, EXE).
• Iklan yang dijangkiti, tapak muat turun yang terjejas atau tidak rasmi, rangkaian P2P/torrent, pemacu USB dan pemuat turun pihak ketiga.

TINDAKAN SEGERA JIKA ANDA MENGSYAYAI JANGKITAN

Asingkan mesin dengan segera : putuskan sambungan daripada rangkaian (berwayar/wifi) dan nyahlekap mana-mana pemacu kongsi/rangkaian untuk menghentikan penyebaran sisi.

Simpan bukti : jangan kitaran kuasa jika anda mengumpul memori atau artifak forensik, sebaliknya tangkap memori dan imej cakera jika anda mempunyai keupayaan, atau hubungi respons insiden.

Gunakan sandaran : Pulihkan daripada sandaran yang dipercayai sebaik sahaja perisian hasad dialih keluar dan sistem dibina semula; jangan pulihkan sandaran yang mungkin telah disambungkan pada masa jangkitan.

Jangan bayar melainkan pasukan tindak balas insiden telah menilai semua pilihan dan akibat; bayaran tidak dijamin berfungsi dan mungkin menggalakkan serangan masa hadapan.

AMALAN KESELAMATAN TERBAIK

Kekalkan pertahanan berlapis yang terkini yang merangkumi amalan berikut dalam operasi harian:

Pengurusan tampalan : gunakan kemas kini keselamatan OS dan aplikasi dengan segera; banyak strain ransomware mengeksploitasi kelemahan yang diketahui dan ditampal.

Keistimewaan dan kebersihan akaun yang paling sedikit : jalankan pengguna dengan akaun bukan pentadbir, kuatkuasakan pengesahan berbilang faktor yang kuat untuk akses jauh dan akaun istimewa, dan pantau untuk kelakuan log masuk yang luar biasa.

Strategi sandaran : Buat sandaran dengan kerap dan pastikan ia berasingan daripada rangkaian. Lagipun, sandaran adalah satu-satunya kawalan pemulihan yang paling berkesan terhadap serangan penyulitan.

Perlindungan titik akhir dan EDR : gunakan penyelesaian pengesanan & tindak balas titik akhir bereputasi yang boleh mengesan anomali pelaksanaan, menyekat muatan berniat jahat dan membolehkan pembendungan pantas. Pastikan tandatangan dan telemetri didayakan.

Pendidikan pengguna dan rintangan pancingan data : melatih pengguna untuk mengelak daripada menjalankan crack/keygen, untuk mengesahkan penghantar dan pautan e-mel, dan untuk merawat lampiran yang tidak dijangka dengan syak wasangka. Kempen pancingan data dan kesedaran simulasi mengurangkan faktor risiko manusia.

Kawalan aplikasi dan sekatan makro : lumpuhkan makro Office secara lalai, sekat pelaksanaan daripada lokasi penyalahgunaan biasa (cth, %AppData%, folder temp) dan gunakan penyenaraian membenarkan aplikasi jika boleh.

NOTA PENUTUP

Solara menggambarkan risiko biasa yang terikat dengan pembina perisian tebusan yang tersedia secara terbuka: garpu dan varian semakin membiak, dan penyerang terus menyesuaikan kaedah pengedaran untuk menyasarkan komuniti tertentu (laporan menyerlahkan forum permainan dan saluran perisian cetak rompak sebagai gewang). Pertahanan terbaik ialah pencegahan, sandaran yang kuat, pembendungan pantas, dan bekerja dengan pasukan respons terlatih, tidak membayar wang tebusan. Jika anda mengesyaki berkompromi dan memerlukan bantuan pembersihan langkah demi langkah, kumpulkan petunjuk sampel (nama fail, cincangan, teks nota tebusan) dan rujuk penyedia respons insiden yang dipercayai atau vendor keselamatan anda untuk panduan pembendungan dan pemulihan.