Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare RDAT-ransomware

RDAT-ransomware

Med Mezo i løsepengeprogramvare
Oversett til:

Løsepengevirus er fortsatt en av de mest forstyrrende truslene hjemmebrukere og organisasjoner står overfor. Et enkelt innbrudd kan ødelegge dokumenter, bilder og forretningsdata på få minutter, og deretter presse ofrene for tilgang. RDAT-løsepengeviruset, en avlegger av den produktive Dharma-familien, illustrerer hvorfor lagdelt forsvar og disiplinert gjenopprettingsplanlegging er avgjørende.

Trusselprofil: RDAT i korte trekk

Infosec-forskere identifiserte RDAT under en bred gjennomgang av ny skadelig programvare. Det er en Dharma-variant som er spesialbygd for datautpressing: den krypterer filer og presser ofrene til å betale for dekryptering. RDAT retter seg mot både lokale stasjoner og nettverksressurser, og unngår bevisst kritiske systemfiler slik at enheten forblir oppstartbar og offeret kan lese løsepengemeldingene.

Hva ofrene ser

Når RDAT kjøres, krypterer den et bredt spekter av filtyper. Filnavn endres for å inkludere en unik offer-ID, angriperens e-postadresse og filtypen '.RDAT', for eksempel:
1.png blir til 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

To løsepengebrev følger: et popup-vindu som sier at filene er kryptert, og en tekstfil kalt «DAT_INFO.txt» med kontaktinstruksjoner. Operatørene tilbyr å dekryptere opptil tre filer (med forbehold om størrelses-/formatbegrensninger) som bevis, samtidig som de advarer om at bruk av tredjepartsverktøy eller endring av krypterte data kan forårsake permanent tap. Disse taktikkene er utformet for å bygge troverdighet og at det haster, ikke for å hjelpe deg.

Hvordan RDAT forblir og sprer seg

RDAT arver Dharmas vedholdenhets- og anti-gjenopprettingsstrategi. Skadevaren kopierer seg selv til %LOCALAPPDATA%, registrerer autokjøringsoppføringer via spesifikke kjørenøkler og starter på nytt etter omstart. For å blokkere rask gjenoppretting sletter den Volume Shadow Copies. Før kryptering avslutter den prosesser som kan holde filer åpne (databaser, dokumentlesere og lignende), noe som sikrer maksimal dekning. Den prøver også å unngå «dobbeltkryptering» av data som allerede er truffet av annet ransomware ved å sjekke mot en kjent liste, en ufullkommen sikkerhetskontroll.

Målvalg og geofencing

Skadevaren samler inn geolokasjonsdata for å vurdere om et offer sannsynligvis vil betale. Hvis regionen virker ugunstig, økonomisk eller av geopolitiske årsaker, kan den hoppe over kryptering helt. Denne oppførselen handler utelukkende om å maksimere løsepengeutbyttet.

Hvorfor det å betale er et tapende spill

Dekryptering etter et ransomware-angrep er vanligvis umulig uten angripernes nøkler, med mindre stammen er alvorlig feilaktig. Selv da er det risikabelt å betale: mange ofre mottar aldri fungerende dekrypteringsprogrammer. Betaling finansierer også flere angrep. Den ansvarlige veien er å utrydde skadevaren, gjenoppbygge fra pålitelige sikkerhetskopier og styrke systemene for å forhindre en gjentakelse.

Bekreftede leveringskanaler

Inntrenging i Dharma-familien starter ofte med eksponert eller svakt beskyttet Remote Desktop Protocol (RDP). Angripere er avhengige av brute-force- og dictionary-angrep, og når de først er inne, kan de deaktivere vertsbrannmurer. Utover RDP utnytter økosystemet phishing og sosial manipulering, skadelig annonsering, upålitelige programvarekilder, spam-vedlegg og laste-/bakdørstrojanere. Ondsinnede nyttelaster sendes ofte som arkiver (RAR/ZIP), kjørbare filer, skript (inkludert JavaScript) og dokumenter (PDF, Office, OneNote). Enkelte familier sprer seg også gjennom lokale nettverk og flyttbare medier.

Inneslutning og gjenoppretting

Fjern løsepengeviruset for å stoppe ytterligere kryptering, men forstå at fjerning ikke gjenoppretter låste filer. Gjenoppretting krever rene, versjonerte sikkerhetskopier. Gullstandarden er å opprettholde kopier på flere steder og medietyper, inkludert offline lagring som skadelig programvare ikke kan nå.

Vanlige tilgangs- og distribusjonsvektorer for ransomware-trusler inkluderer:

  • Eksponerte/svake RDP-tjenester, legitimasjonsutfylling og brute-force-pålogginger
  • Phishing-e-poster, lokkemidler for sosial manipulering, spamvedlegg og -lenker, skadelig annonsering, trojanske nedlastinger, drive-by-nedlastinger, piratkopiert programvare og «sprekker», falske oppdateringsprogrammer og laste-/bakdørinfeksjoner; lateral spredning via LAN og flyttbare USB-/lagringsenheter

Konklusjon

RDAT Ransomware er en disiplinert, profittdrevet Dharma-variant: den vedvarer gjennom omstarter, sletter gjenopprettingspunkter, retter seg mot både lokale og delte data, og bruker presstaktikker som våpen for å utvinne betaling. Den mest pålitelige veien til robusthet er proaktiv herding pluss robuste, offline-kompatible sikkerhetskopier og godt innøvd gjenoppretting. Ikke betal; utrydd, gjenopprett og stram forsvaret for å forhindre neste forsøk.

Meldinger

Følgende meldinger assosiert med RDAT-ransomware ble funnet:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

Trender

Mest sett

Laster inn...