Niebieskie oprogramowanie ransomware

W dzisiejszym cyfrowym krajobrazie posiadanie wystarczającej ochrony przed zagrożeniami ze strony złośliwego oprogramowania nigdy nie było ważniejsze. Ransomware, szczególnie silny rodzaj złośliwego oprogramowania, stwarza znaczne ryzyko, szyfrując dane użytkowników i żądając okupu za ich zwrot. Jedno z takich zagrożeń, Blue Ransomware, pojawiło się niedawno, atakując osoby i organizacje. Zrozumienie, jak działa ten ransomware i jak się przed nim zabezpieczyć, jest niezbędne do zachowania integralności danych i bezpieczeństwa systemów.

Zrozumienie Blue Ransomware

Badacze cyberbezpieczeństwa zidentyfikowali Blue Ransomware jako wariant niesławnej rodziny Phobos. To groźne oprogramowanie szyfruje pliki na zainfekowanych urządzeniach, zmieniając ich nazwy poprzez dodanie identyfikatora ofiary, adresu e-mail givebackdata@mail.ru i rozszerzenia „.blue”. Na przykład „1.doc” zmienia się na „1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue”, a „2.pdf” zmienia się na „2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue”.

List z żądaniem okupu i groźbą

Po zaszyfrowaniu plików przez Blue Ransomware tworzone są pliki „info.hta” i „info.txt” zawierające notatkę o okupie. Notatka ta informuje ofiary o szyfrowaniu i nakazuje im skontaktować się z atakującymi za pośrednictwem podanego adresu e-mail, podając swój unikalny identyfikator w temacie wiadomości. Ofiarom zaleca się zapłacenie okupu w Bitcoinach, aby otrzymać narzędzie do deszyfrowania, którego koszt zależy od szybkości reakcji. Ponadto ofiary są ostrzegane przed zmianą nazw zaszyfrowanych plików lub korzystaniem z narzędzi do deszyfrowania innych firm, ponieważ może to doprowadzić do utraty danych lub wzrostu kosztów deszyfrowania.

Jak działa Blue Ransomware

Blue Ransomware szyfruje pliki przechowywane lokalnie i w udziałach sieciowych, wyłącza zaporę systemową i usuwa kopie woluminów w tle, aby uniemożliwić łatwe odzyskiwanie. Zapewnia trwałość, kopiując się do katalogu '%LOCALAPPDATA%' i rejestrując się za pomocą określonych kluczy Run. Ponadto zbiera dane o lokalizacji i może wykluczyć wstępnie określone lokalizacje ze swoich ataków, co czyni go wszechstronnym i trwałym zagrożeniem.

Metody dostawy

Ransomware z rodziny Phobos , w tym Blue, jest często dostarczany za pośrednictwem podatnych usług Remote Desktop Protocol (RDP). Atakujący zazwyczaj stosują ataki siłowe i słownikowe na źle zarządzane dane uwierzytelniające kont. Inne powszechne metody dostarczania obejmują fałszywe wiadomości e-mail z zainfekowanymi załącznikami lub linkami, taktyki pomocy technicznej i wykorzystywanie luk w zabezpieczeniach przestarzałego oprogramowania. Ponadto cyberprzestępcy mogą rozprzestrzeniać ransomware za pośrednictwem złośliwych reklam, zainfekowanych lub oszukańczych witryn, sieci peer-to-peer (P2P), zewnętrznych programów do pobierania i zainfekowanych dysków USB.

Wzmocnij swoje bezpieczeństwo: jak bronić się przed oprogramowaniem ransomware

• Regularne kopie zapasowe : Regularne tworzenie kopii zapasowych danych jest jedną z najskuteczniejszych metod obrony przed ransomware. Upewnij się, że kopie zapasowe są przechowywane offline lub w oddzielnej sieci, aby zapobiec wszelkim szansom na ich naruszenie podczas ataku.
• Silne hasła i uwierzytelnianie wieloskładnikowe : Twórz silne i unikalne hasła do wszystkich swoich kont. Włącz uwierzytelnianie wieloskładnikowe (MFA), gdziekolwiek jest to możliwe. Dzięki temu znacznie zmniejszysz ryzyko nieautoryzowanego dostępu poprzez ataki siłowe lub słownikowe.
• Aktualizuj oprogramowanie „Regularnie aktualizuj całe oprogramowanie, w tym programy i systemy operacyjne, aby łatać luki, które cyberprzestępcy mogliby wykorzystać. Włącz automatyczne aktualizacje, aby mieć pewność, że zawsze będziesz chroniony najnowszymi poprawkami bezpieczeństwa.
• Wyłącz niepotrzebne usługi : Wyłącz lub ogranicz korzystanie z RDP i innych zdalnych usług, jeśli nie są niezbędne. Jeśli RDP jest niezbędny, zabezpiecz go silnymi hasłami, MFA i ograniczając dostęp do określonych adresów IP.
• Edukuj i szkol użytkowników : Edukuj użytkowników o zagrożeniach związanych z wiadomościami phishingowymi, złośliwymi załącznikami i oszukańczymi linkami. Regularne szkolenia pomagają użytkownikom rozpoznawać i unikać potencjalnych zagrożeń.
• Użyj solidnych rozwiązań bezpieczeństwa : Wdróż kompleksowe rozwiązania bezpieczeństwa, w tym ochronę antymalware i zaporę sieciową. Urządzenia te mogą wykrywać i blokować złośliwe działania, zanim naruszą one Twój system.

Wniosek: Czujność jest kluczem

Pojawienie się Blue Ransomware podkreśla ewoluujące i uporczywe zagrożenie atakami ransomware. Poprzez zrozumienie, jak działa takie złośliwe oprogramowanie i wdrożenie solidnych środków bezpieczeństwa, użytkownicy mogą znacznie zmniejszyć ryzyko stania się ofiarą tych szkodliwych schematów. Zachowaj czujność, aktualizuj swoje systemy i zawsze twórz kopie zapasowe swoich danych, aby chronić się przed zagrożeniami ransomware.

Treść listu z żądaniem okupu dostarczonego przez Blue Ransomware brzmi następująco:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'