DeadLock Ransomware

Nowoczesne kampanie ransomware są celowo tworzone, aby wykorzystać Twoje dane osobiste lub firmowe jako narzędzie nacisku. Po zaszyfrowaniu krytycznych plików atakujący mają wszystkie karty w swoich rękach, chyba że odpowiednio się przygotujesz. Silne zabezpieczenia, wielowarstwowe mechanizmy obronne i niezawodne strategie tworzenia kopii zapasowych znacząco zmniejszają ryzyko, że pojedynczy złośliwy załącznik, zhakowany instalator lub pobranie złośliwego oprogramowania doprowadzi do zakłóceń w działalności firmy lub trwałej utraty danych. DeadLock Ransomware to dobry przykład, dlaczego te podstawowe zasady są tak ważne.

Co wyróżnia DeadLock

DeadLock to rodzina ransomware'ów szyfrujących pliki, które oznaczają każdą ofiarę unikalnym identyfikatorem. Podczas ataku szyfruje dane użytkownika i zmienia nazwę każdego zaszyfrowanego pliku, dodając do oryginalnej nazwy pliku identyfikator ofiary oraz rozszerzenie „.dlock”. Na przykład: „1.png” staje się „1.png.F8C6A8.dlock”, a „2.pdf” staje się „2.pdf.F8C6A8.dlock”. Identyfikator ten jest używany w całym procesie wymuszenia, aby śledzić ofiarę i powiązać płatności z kluczami deszyfrującymi. DeadLock pozostawia również żądanie okupu, którego nazwa pliku zawiera ten sam identyfikator (np. „PRZECZYTAJ MNIE.F8C6A8.txt”) i zmienia tapetę pulpitu, aby podkreślić, że system został naruszony.

Wewnątrz listu z żądaniem okupu

Notatka zawiera kilka kluczowych punktów, mających na celu ukierunkowanie dalszych działań ofiary. Twierdzi, że zaszyfrowanych plików nie da się odzyskać bez „unikalnego klucza deszyfrującego”, którym dysponują tylko atakujący. Ofiary są proszone o zainstalowanie zorientowanego na prywatność komunikatora sesji i kontaktowanie się za pomocą podanego identyfikatora sesji (ponownie mapującego się na identyfikator ofiary osadzony w nazwach plików). Atakujący proszą ofiarę o przesłanie jednego zaszyfrowanego pliku oraz „klucza osobistego” (unikalnego identyfikatora) w celu weryfikacji. Jest to powszechna taktyka mająca na celu zbudowanie zaufania poprzez odszyfrowanie nieszkodliwej próbki.

Taktyki płatności i wywierania nacisku

Operatorzy DeadLock żądają kryptowaluty, a konkretnie Bitcoina lub Monero. Obiecują, że po dokonaniu płatności dostarczą działający deszyfrator. Jak w przypadku większości operacji ransomware, nie ma żadnej egzekwowalnej gwarancji. Notatka wykorzystuje również strach, aby zniechęcić do samodzielnych prób odzyskania danych: ostrzega ofiary przed zmianą nazw zaszyfrowanych plików i niepróbowaniem korzystania z zewnętrznych narzędzi deszyfrujących, twierdząc, że takie działania mogą trwale uszkodzić dane lub zwiększyć koszt odzyskania. Ostrzeżenia te mają częściowo charakter techniczny (niewłaściwe postępowanie może rzeczywiście utrudnić odzyskiwanie), a częściowo wynikają z presji psychologicznej.

Weryfikacja rzeczywistości deszyfrowania

Doświadczenie z ransomware w ogóle, a także komunikaty samych operatorów, potwierdzają twardą prawdę: w większości przypadków nie da się odszyfrować plików zaszyfrowanych przez DeadLock bez współpracy i narzędzi atakujących. Pozostają dwie realne ścieżki odzyskiwania: (1) działające kopie zapasowe, które były offline, poza witryną, wersjonowane lub z innych powodów niedostępne dla złośliwego oprogramowania w momencie ataku; lub (2) zapłacenie okupu i nadzieja, że przestępcy dotrzymają umowy. Płacenie jest ryzykowne: atakujący mogą zniknąć, dostarczyć uszkodzony deszyfrator lub wykorzystać płatność jako sygnał, że jesteś łatwym celem dla przyszłych wymuszeń. W miarę możliwości polegaj na nienaruszonych kopiach zapasowych zamiast płacić okup.

Dlaczego całkowite usunięcie jest ważne

Nawet po zakończeniu szyfrowania, pozostawienie ransomware w systemie jest niebezpieczne. Pozostałe komponenty mogą ponownie zaszyfrować nowo utworzone pliki, przechwycić dane uwierzytelniające, otworzyć tylne furtki lub próbować przemieszczać się bocznie w sieci lokalnej. Eliminacja, wspierana skanowaniem punktów końcowych, inspekcją pamięci oraz przeglądem zaplanowanych zadań, wpisów startowych i kontrolerów domeny, ma kluczowe znaczenie dla zapobiegania powtarzającym się szkodom.

Typowe wektory infekcji DeadLock

Atakujący potrzebują początkowego punktu zaczepienia. Kampanie ransomware kojarzone są z wieloma kanałami dystrybucji, które żerują na zaufaniu użytkowników, ich ciekawości i możliwościach oszczędzania na kosztach:

• Pirackie lub „złamane” oprogramowanie komercyjne, w tym dołączone generatory kluczy i narzędzia do obejścia licencji, które potajemnie instalują złośliwe oprogramowanie.
• Cracki oprogramowania, keygeny i nieoficjalne aktywatory pobrane ze stron warez lub torrent.
• Złośliwe załączniki do wiadomości e-mail: zainfekowane dokumenty Word (często z włączoną obsługą makr), pliki PDF, archiwa ZIP, pliki skryptów lub ładunki wykonywalne udające faktury, powiadomienia o przesyłkach lub pilne formularze kadrowe.
• Malvertising (szkodliwe reklamy) przekierowujące użytkowników do zestawów exploitów lub stron umożliwiających pobranie złośliwych plików.
• Platformy udostępniania peer-to-peer i niezależne centra pobierania, które przepakowują instalatory z ukrytymi ładunkami.
• Nośniki wymienne (np. zainfekowane dyski USB), które uruchamiają się automatycznie lub nakłaniają użytkowników do uruchomienia zainfekowanych plików.
• Fałszywe portale pomocy technicznej, które wywierają presję na użytkowników, aby pobrali „poprawki” lub „aktualizacje”, które w rzeczywistości zawierają moduł ładujący ransomware.
• Zagrożone, legalne witryny internetowe, na których zainstalowano pliki do pobrania bez wiedzy użytkownika lub wstrzyknięto skrypty dostarczające ładunek.

Najlepsze praktyki bezpieczeństwa wzmacniające Twoją obronę

Wielowarstwowe zabezpieczenia znacząco zmniejszają promień rażenia ataku ransomware. Poniżej przedstawiono priorytetowe kroki obronne, które pomagają zapobiec atakowi DeadLock i podobnym zagrożeniom:

• Utrzymuj niezawodne, offline'owe kopie zapasowe najważniejszych danych.
• Niezwłocznie aktualizuj systemy operacyjne, aplikacje i oprogramowanie sprzętowe, zwłaszcza usługi i pakiety oprogramowania biurowego narażone na nadużycia makr i exploity.
• Korzystaj z renomowanej ochrony punktów końcowych/EDR z wykrywaniem ransomware na podstawie zachowań i automatyczną izolacją.
• Wymuś konta użytkowników o najmniejszych uprawnieniach; wyłącz uprawnienia administratora lokalnego tam, gdzie nie są wymagane; oddziel poświadczenia administratora od codziennego użytku.
• Ogranicz wykonywanie makr, interpretatory skryptów i niepodpisane pliki binarne za pomocą zasad grupy, listy dozwolonych aplikacji i kontrolowanego dostępu do folderów.
• Wdróż filtry zabezpieczające pocztę e-mail: przeprowadź test załączników, sprawdź łącza i oznacz podejrzane typy plików lub domeny fałszywych nadawców.
• Wyłącz automatyczne uruchamianie nośników wymiennych i przeskanuj urządzenia USB przed ich zamontowaniem.
• Wymagaj uwierzytelniania wieloskładnikowego (MFA) w przypadku dostępu zdalnego, konsol administracyjnych i interfejsów zarządzania kopiami zapasowymi.

Lekcje długoterminowe

DeadLock wzmacnia powtarzający się motyw w rodzinach ransomware: atakujący nie potrzebują nowatorskich exploitów, jeśli użytkownicy końcowi rutynowo pobierają złamane narzędzia, otwierają niezweryfikowane załączniki lub przeglądają niezaufane sieci reklamowe. Podstawowe techniki bezpieczeństwa, dyscyplina w zakresie łatania luk, kontrola dostępu, monitorowanie kopii zapasowych i świadomość użytkowników sprawiają, że potencjalny kryzys staje się zdarzeniem możliwym do odzyskania. Zainwestuj w te zabezpieczenia już teraz; koszt jest znacznie niższy niż okup zapłacony pod presją.

Myśli końcowe

Odporność na ransomware buduje się na długo przed atakiem. Rozumiejąc, jak działa DeadLock i wdrażając wielowarstwowe mechanizmy zapobiegawcze i odzyskiwania, możesz stawić czoła temu i podobnym zagrożeniom. Zachowaj sceptycyzm wobec wszystkiego, czego celowo nie sprawdziłeś lub nie sprawdziłeś. Twoja czujność to pierwsza, a często najlepsza, linia obrony.