Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare NeZha-ransomware

NeZha-ransomware

Med Mezo i løsepengeprogramvare
Oversett til:

Løsepengevirus er fortsatt en av de mest forstyrrende truslene enkeltpersoner og organisasjoner står overfor. Et enkelt vellykket innbrudd kan stoppe driften, ødelegge eller stjele sensitive data og utløse kostbare gjenopprettingsarbeid. Å bygge sterke, lagdelte forsvar før en hendelse er den eneste pålitelige måten å minimere virkningen på når, ikke hvis, angripere prøver lykken.

Oversikt over trusselen

Forskere har identifisert en sofistikert stamme kalt NeZha ransomware. I likhet med andre familier i denne kategorien er NeZhas kjernemål enkelt: kryptere så mange filer som mulig og deretter tvinge frem betaling for en dekrypteringsnøkkel. Operatørene posisjonerer seg som den eneste veien til gjenoppretting og forsterker presset med tidsbegrensninger og trusler om datalekkasjer.

Systemoppførsel og filendringer

Når NeZha får fotfeste, begynner den å kryptere bruker- og forretningsdata på tvers av vanlige steder. Under kryptering gir den også nytt navn til elementer ved å legge til en offerspesifikk identifikator og filtypen '.NeZha'. I observerte tilfeller får filnavn en GUID-lignende ID; for eksempel har en godartet fil som '1.png' blitt sett omdannet til et navn som ligner på '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha.' Etter å ha fullført gjennomgangen, legger NeZha ut en løsepengemelding med tittelen 'README.TXT' i de berørte mappene.

Løsepengeseddel og presstaktikker

Notatet hevder at databaser, dokumenter, bilder og andre filer er kryptert, og at det å kjøpe en dekrypteringsnøkkel fra angriperne er den eneste løsningen. For å bygge troverdighet tilbyr kriminelle ofte å dekryptere én ikke-kritisk fil gratis. De advarer mot å endre låste filer, bruke tredjeparts dekrypteringsprogrammer eller søke hjelp utenfra, og hevder at dette vil øke tapene. Det er satt en 24-timers frist for første kontakt; hvis den ikke overholdes, truer operatørene med å lekke eller selge sensitive bedriftsdata de hevder å ha eksfiltrert, et eksempel på «dobbel utpressing».

Gjenopprettingsvirkeligheten og betalingsdilemmaet

Teknisk sett kan ikke de fleste moderne ransomware-programmer dekrypteres uten angripernes private nøkler, med mindre skadevaren er alvorlig feilaktig, et uvanlig scenario. Å betale er imidlertid risikabelt og frarådes: mange ofre mottar aldri fungerende dekrypteringsprogrammer selv etter overføring av penger, og betalingen opprettholder kriminell aktivitet. Den tryggere veien er å stole på rene, offline sikkerhetskopier og formell hendelsesrespons.

Inneslutning og fjerning

Fjerning av NeZha stopper ytterligere kryptering, men låser ikke opp filer som allerede er berørt. Prioriteter bør være å isolere infiserte systemer fra nettverket, bevare bevis for etterforskning, utrydde skadelig programvare ved hjelp av pålitelige verktøy eller en ren gjenoppbygging, og deretter gjenopprette fra sikkerhetskopier som du vet er i god stand. Hvis du mistenker datausfiltrering, aktiver din håndteringsplan for brudd og vurder juridiske, regulatoriske og kundevarslingsforpliktelser.

Hvordan NeZha vanligvis sprer seg

NeZha følger strategien til mange ransomware-kampanjer, og benytter seg av både brukerdrevne og angriperdrevne leveringsmetoder. Angripere kan kamuflere nyttelaster som legitimt innhold eller smugle dem inn i programvarepakker, og deretter utløse kjøring når en fil åpnes eller et skript kjøres. Noen varianter kan også forplante seg sidelengs i lokale nettverk eller kopiere seg selv til flyttbare medier.

Vanlige leveringsvektorer

  • Phishing og sosial manipulering som fører til åpning av fellevedlegg (Office/OneNote/PDF), skript (JavaScript), arkiver (ZIP/RAR) eller kjørbare filer (.exe/.run).
  • Trojaniserte installasjonsprogrammer, lasteprogrammer og bakdører som trekker inn ransomware som et andre trinn.
  • Drive-by og villedende nedlastinger fra kompromitterte eller ondsinnede nettsteder.
  • Upålitelige nedlastingskilder (gratisprogramvareportaler, tredjepartsspeil, P2P-nettverk).
  • Spamkampanjer, nettsvindel og skadelig annonsering som omdirigerer til nyttelaster.
  • Ulovlige aktiveringsverktøy («sprekker»), piratkopiert programvare/medier og falske oppdateringsspørsmål.
  • Selvspredning via lokale nettverk og flyttbar lagring (USB-stasjoner, eksterne harddisker).

Avsluttende tanker

NeZha passer inn i den moderne ransomware-formen: rask kryptering, sterk tvang og troverdige trusler om dataeksponering. Din beste innflytelse oppnås før en hendelse, gjennom streng hygiene, lagdelte kontroller, testede sikkerhetskopier og øvd respons. Kombiner tekniske sikkerhetstiltak med brukeropplæring og disiplinerte operasjoner for å redusere både sannsynligheten for og eksplosjonsradiusen til et NeZha-angrep.

Meldinger

Følgende meldinger assosiert med NeZha-ransomware ble funnet:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Trender

Mest sett

Laster inn...