Bash 2.0 Ransomware
Ransomware pozostaje jednym z najpoważniejszych zagrożeń, z jakimi borykają się osoby prywatne i organizacje. Pojedyncze udane włamanie może zakłócić działanie plików, sparaliżować działalność firmy i wystawić poufne dane na łaskę szantażystów. Proaktywna ochrona, wielowarstwowe zabezpieczenia, czujność użytkowników i niezawodne kopie zapasowe zawsze będą tańsze niż płacenie przestępcom (i nadal nieodzyskiwanie danych). Ransomware Bash 2.0, znany również jako Bash Red, to trafne przypomnienie, że nowe rodziny nieustannie udoskonalają sprawdzony kod ataku, jednocześnie udoskonalając taktykę wywierania presji na ofiary.
Spis treści
POZNAJ BASH 2.0 (BASH RED)
Badacze zidentyfikowali Bash 2.0 podczas badania nowej aktywności złośliwego oprogramowania. Zagrożenie to opiera się na bazie kodu ransomware Chaos, frameworku, który został ponownie wykorzystany w wielu projektach pobocznych. Wykorzystanie Chaos daje atakującym przewagę: podstawowe szyfrowanie, obsługa plików i procedury żądania okupu są już obecne i można je dostosować do nowych kampanii. Bash 2.0 wykorzystuje te odziedziczone możliwości do blokowania danych i wymuszania płatności.
CO DZIEJE SIĘ Z TWOIMI PLIKAMI
Po uruchomieniu Bash 2.0 w systemie, próbuje on zaszyfrować dostępne dane. Każdy zainfekowany plik otrzymuje dodatkowe rozszerzenie składające się z czterech losowych znaków, zmieniając coś takiego jak „1.png” na „1.png.2rf9” (losowy sufiks różni się w zależności od infekcji). Ta konwencja zmiany nazw pomaga atakującym (i zautomatyzowanym narzędziom) śledzić, co zostało zablokowane, jednocześnie natychmiast sygnalizując ofiarom, że ich dane nie nadają się już do użytku. Ransomware zmienia również tapetę pulpitu, aby wizualnie wzmocnić przekaz o wyłudzeniu.
WIADOMOŚĆ O OKUP: BASHRED-README.TXT
Po zakończeniu szyfrowania, Bash 2.0 upuszcza notatkę tekstową o nazwie „bashred-reAdmE.txt”. Wiadomość informuje ofiarę, że pliki są zaszyfrowane i twierdzi, że jedyną realną drogą do odzyskania danych jest uzyskanie unikalnego klucza deszyfrującego i oprogramowania od atakujących. Ofiary otrzymują polecenie nawiązania kontaktu i uiszczenia opłaty; notatka ostrzega, że zmiana nazwy, modyfikacja lub próba samodzielnego odszyfrowania zablokowanych danych może spowodować ich trwałe uszkodzenie. Zmiana tapety zazwyczaj nawiązuje do tych samych motywów, zwiększając tym samym poczucie pilności.
JAK REALNE JEST ODZYSKIWANIE DANYCH?
W większości przypadków ataków ransomware odszyfrowanie bez współpracy atakujących jest technicznie niemożliwe, ponieważ szyfrowanie jest zaprojektowane tak, aby było silne kryptograficznie. Tylko w rzadkich przypadkach, zazwyczaj gdy autorzy złośliwego oprogramowania popełniają poważne błędy w implementacji, odszyfrowanie jest możliwe bez ich udziału. Nawet zapłata nie daje gwarancji: ofiary regularnie zgłaszają, że nigdy nie otrzymują działających narzędzi, otrzymują częściowe deszyfratory lub napotykają uszkodzone klucze. Zapłata finansuje również dalsze działania przestępcze, potencjalnie czyniąc Cię kolejnym celem. Z tych powodów specjaliści ds. bezpieczeństwa stanowczo odradzają spełnianie żądań okupu.
ZATRZYMAJ KRWAWIENIE: USUNIĘCIE I ZATRZYMANIE
Usunięcie Bash 2.0 z zainfekowanego środowiska jest niezbędne, aby zapobiec szyfrowaniu kolejnych plików i rozprzestrzenianiu się zagrożenia na podłączone systemy. Jednak usunięcie złośliwego oprogramowania nie odszyfrowuje już zablokowanych danych. Prawdziwa odbudowa systemu zależy od posiadania bezpiecznych, offline'owych i nienaruszalnych kopii zapasowych. Przed odzyskiwaniem należy odizolować zainfekowane komputery od sieci, przeprowadzić pełne skanowanie w poszukiwaniu złośliwego oprogramowania za pomocą zaktualizowanych narzędzi oraz odbudować system lub odtworzyć go z obrazu, jeśli nie ma gwarancji zaufania. Podłącz ponownie przywrócone systemy dopiero po upewnieniu się, że są czyste.
JAK BASH 2.0 ROZPRZESTRZENIA SIĘ W DZIKIEJ PRZYRODZIE
Atakujący zarzucają szeroką sieć. Typowe wektory dystrybucji powiązane z kampaniami ransomware i istotne dla Bash 2.0 to:
- Złośliwe załączniki lub linki rozsyłane za pośrednictwem spamu, spear‑phishingu lub komunikatorów społecznościowych.
- Dołączone lub zainfekowane trojanami instalatory podszywające się pod legalne oprogramowanie, gry, kodeki multimedialne lub narzędzia biurowe.
- Pobieranie plików metodą drive-by download odbywa się za pośrednictwem zainfekowanych lub złośliwych witryn, często przy użyciu złośliwych reklam.
- Kanały pobierania plików innych firm, bezpłatne i peer-to-peer ze słabymi kontrolami integralności.
- Nielegalne „cracki” oprogramowania, keygeny i fałszywe narzędzia aktywacyjne, które po cichu dostarczają ładunki.
- Fałszywe monity o aktualizację (przeglądarki, wtyczki, systemu operacyjnego lub aplikacji), które instalują złośliwe oprogramowanie zamiast poprawek.
Niektóre zagrożenia są zdolne do przemieszczania się poziomego lub samoistnego rozprzestrzeniania się, próbując przekroczyć sieci lokalne lub skopiować się na nośniki wymienne, takie jak dyski flash USB i dyski zewnętrzne.
NAJLEPSZE PRAKTYKI BEZPIECZEŃSTWA WZMACNIAJĄCE TWOJĄ OBRONĘ
- Utrzymuj wersjonowane, offline’owe i regularnie testowane kopie zapasowe. Przechowuj co najmniej jeden zestaw kopii zapasowych poza siecią (preferowane niezmienne nośniki lub nośniki jednokrotnego zapisu).
- Dbaj o to, by systemy operacyjne, aplikacje, pakiety zabezpieczeń i oprogramowanie sprzętowe były w pełni zaktualizowane. Włącz automatyczne aktualizacje, gdy jest to możliwe.
- Wdróż sprawdzone rozwiązania antywirusowe/EDR z wykrywaniem ataków ransomware na podstawie analizy zachowania i możliwością cofania zmian.
- Stosuj filtrowanie wiadomości e-mail, izolowanie załączników i bramki skanujące linki, aby ograniczyć ryzyko phishingu; przeszkol użytkowników w zakresie rozpoznawania fałszywych nadawców i nieoczekiwanych załączników.
MYŚLI KOŃCOWE
Atak ransomware Bash 2.0 pokazuje, jak szybko atakujący mogą wykorzystać istniejące bazy kodu w nowych narzędziach do wymuszeń. Obrońcy, którzy polegają wyłącznie na wykrywaniu opartym na sygnaturach lub reagowaniu w ostatniej chwili, pozostaną w niekorzystnej sytuacji. Łącząc zdyscyplinowane strategie tworzenia kopii zapasowych, solidną higienę poprawek, warstwową ochronę punktów końcowych i poczty e-mail, projektowanie z minimalnymi uprawnieniami oraz sprawdzone strategie reagowania, można radykalnie zmniejszyć zarówno prawdopodobieństwo, jak i skutki ataku ransomware.
Wiadomości
Znaleziono następujące komunikaty związane z Bash 2.0 Ransomware:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
