Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan Ymir Ransomware

Ymir Ransomware

Menjelang Mezo pada Perisian tebusan
Terjemahkan ke
بهاس ملايو

Era digital telah membawa kemudahan yang luar biasa tetapi juga telah membuka jalan kepada ancaman yang semakin kompleks seperti perisian tebusan. Melindungi peranti peribadi dan perniagaan daripada perisian tebusan dan jenis ancaman lain adalah penting untuk melindungi data, kewangan dan reputasi. Satu ancaman canggih yang menimbulkan gelombang dalam kalangan keselamatan siber ialah Ymir Ransomware.

Apakah Ymir Ransomware?

Ymir Ransomware ialah ancaman canggih yang memanfaatkan penyulitan lanjutan untuk mengunci fail mangsa, menuntut bayaran untuk pemulihan mereka. Perisian tebusan ini menggunakan algoritma kriptografi ChaCha20 untuk memastikan mangsa menghadapi cabaran besar dalam mencuba pemulihan fail bebas. Apabila Ymir menyulitkan fail, ia menambahkan sambungan unik yang terdiri daripada aksara rawak, mengubah nama fail dengan ketara—contohnya, '1.png' mungkin menjadi '1.jpg.6C5oy2dVr6'.

Strategi Serangan Berbilang Lapisan Ymir

Setelah proses penyulitan selesai, Ymir mengambil beberapa langkah untuk memastikan mangsa menyedari serangan dan syarat tebusan. Perisian tebusan meletakkan nota tebusan bertajuk 'INCIDENT_REPORT.pdf' dalam setiap direktori yang terjejas. Selain itu, langkah yang lebih membimbangkan melibatkan memaparkan mesej skrin penuh sebelum skrin log masuk mangsa, dengan berkesan mengunci mereka keluar daripada sistem mereka sehingga tindakan diambil.

Mesej pralog masuk memberitahu mangsa bahawa rangkaian mereka telah dipecahkan, fail mereka disulitkan dan data sensitif diekstrak. Ia menggesa mereka melaporkan kejadian itu kepada pihak atasan mereka dan memberi amaran bahawa sebarang percubaan untuk menyahsulit fail dengan alat yang tidak dibenarkan boleh mengakibatkan kerosakan yang tidak dapat dipulihkan.

Ketentuan Nota Tebusan Ymir

Nota tebusan Ymir, yang terkandung dalam 'INCIDENT_REPORT.pdf,' mengulangi perkara utama serangan dan memperincikan tuntutan penyerang. Nota itu menjanjikan bahawa jika wang tebusan dibayar, mangsa akan menerima alat penyahsulitan, dan sebarang data yang dikumpul akan dipadamkan daripada pelayan penyerang. Sebaliknya, jika pembayaran tidak dibuat, dokumen itu mengancam bahawa data yang dieksfiltrasi akan didedahkan kepada umum—berpotensi menyebabkan kemudaratan kewangan dan reputasi yang ketara. Ancaman ini meliputi penjualan maklumat di forum darknet atau berkongsi dengan saluran media atau pesaing.

Penyerang membenarkan mangsa menyahsulit sehingga tiga fail yang disulitkan sebagai bukti bahawa pemulihan adalah mungkin. Ini, ditambah dengan bukti penyingkiran data, menggariskan sifat pelanggaran yang teruk.

Rantaian Jangkitan Kompleks: Taktik dan Alat

Serangan Ymir adalah kompleks, melibatkan fasa kecurian data awal yang dijalankan menggunakan RustyStealer sebelum perisian tebusan itu sendiri digunakan—selalunya beberapa hari kemudian. Penjenayah siber mendapat akses kepada sistem melalui arahan kawalan jauh PowerShell, menggunakan pelbagai alat untuk mengekalkan kawalan dan melaksanakan rancangan mereka.

Beberapa alat yang diperhatikan dalam senjata Ymir termasuk:

  • Penggodam Proses dan Pengimbas IP Lanjutan untuk diagnostik sistem dan pergerakan sisi.
  • perisian hasad WinRM (Pengurusan Jauh Windows) dan SystemBC untuk membantu menyebarkan jangkitan merentasi rangkaian tempatan.
  • Teknik canggih untuk mengelak pengesanan melibatkan operasi memori di mana beratus-ratus panggilan fungsi dibuat untuk memperkenalkan kod hasad secara berperingkat.

Realiti Kejam Pembayaran Tebusan

Salah satu aspek yang paling kritikal dalam serangan ransomware ialah memahami sia-sia membayar tebusan. Pakar keselamatan siber menekankan bahawa membayar wang tebusan yang dituntut tidak menjamin kunci atau perisian penyahsulitan yang dijanjikan. Dalam banyak keadaan, mangsa dibiarkan kosong selepas pembayaran, setelah membiayai aktiviti jenayah selanjutnya tanpa sebarang faedah.

Amalan Keselamatan Penting untuk Mempertahankan Perisian Ransomware Ymir

Untuk melindungi daripada Ymir Ransomware dan ancaman serupa, melaksanakan langkah keselamatan siber yang komprehensif adalah penting. Berikut ialah beberapa amalan yang disyorkan:

  • Sandaran Data Biasa : Pastikan data disandarkan dengan kerap ke lokasi luar talian yang selamat. Langkah ini merupakan salah satu perlindungan paling berkesan terhadap perisian tebusan kerana ia menyediakan pilihan pemulihan yang tidak bergantung pada interaksi dengan penyerang.
  • Keselamatan Titik Akhir yang Kuat : Gunakan penyelesaian perlindungan titik akhir yang teguh yang mampu mengesan dan menyekat aktiviti yang mencurigakan. Ini termasuk pengesanan berasaskan tingkah laku yang mengenal pasti perisian tebusan melalui tindakannya, bukan hanya tandatangan yang diketahui.
  • Pengesahan Berbilang Faktor (MFA) : Dayakan MFA di mana mungkin kerana ia menambahkan lebih keselamatan pada akaun pengguna. Ini boleh memintas akses tanpa kebenaran walaupun bukti kelayakan log masuk terjejas.
  • Pengurusan Tampalan : Pastikan semua perisian, terutamanya sistem pengendalian dan aplikasi yang biasa digunakan, dikemas kini. Kerentanan dalam perisian lapuk sering dieksploitasi oleh pengendali perisian tebusan.
  • Segmentasi Rangkaian : Asingkan sumber rangkaian kritikal supaya, sekiranya berlaku pelanggaran, penyerang tidak dapat mengakses keseluruhan sistem atau rangkaian dengan mudah.

Kekal Mendahului Ancaman

Ancaman perisian tebusan seperti Ymir menyerlahkan keperluan untuk strategi pertahanan proaktif. Walaupun penyahsulitan mungkin tidak dapat dilaksanakan tanpa kerjasama penyerang, langkah pencegahan yang teguh boleh meminimumkan kesan dan kemungkinan serangan. Melabur dalam infrastruktur keselamatan siber yang kukuh dan memupuk budaya kewaspadaan adalah langkah penting dalam mengekalkan daya tahan terhadap ancaman perisian tebusan yang berkembang.

Video Ymir Ransomware

Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .

Mesej

Mesej berikut yang dikaitkan dengan Ymir Ransomware ditemui:

#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.

#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.

#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.

#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.

#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.

#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.

#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.

#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.

#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.

RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.

Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF
IMPORTANT
What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files they may be damaged irretrievably. To contact us read the INCIDENT REPORT file carefully

Trending

Paling banyak dilihat

Memuatkan...