RestoreMyData Ransomware

Kampanie złośliwego oprogramowania nieustannie ewoluują, a ransomware pozostaje jednym z najpoważniejszych zagrożeń dla użytkowników i organizacji każdej wielkości. Pojedyncze udane włamanie może wstrzymać działanie systemu, uszkodzić kopie zapasowe, wywołać wymuszenie wycieku danych i spowodować długotrwałe, kosztowne odzyskiwanie danych. Proaktywna obrona i zdyscyplinowane reagowanie odgrywają decydującą rolę w ograniczaniu zasięgu ataku w momencie jego wystąpienia, a nie w momencie jego wystąpienia.

Czym jest RestoreMyData Ransomware?

RestoreMyData blokuje dane ofiar i wymusza od nich okup. Ten szczep ransomware został zidentyfikowany podczas trwających śledztw w sprawie zagrożeń. Podobnie jak inne współczesne rodziny, szyfruje pliki i żąda zapłaty za narzędzie deszyfrujące, a jednocześnie deklaruje wykradanie poufnych danych firmowych, aby wywrzeć presję na ofiary poprzez publiczne wycieki.

Jak przebiega atak

Po uzyskaniu dostępu, często za pomocą socjotechniki, złośliwych pobrań lub wtórnego złośliwego oprogramowania, ransomware uruchamia swoją procedurę szyfrowania. Każda nazwa pliku jest modyfikowana poprzez dodanie „.restoremydata.pw”. Na przykład „1.png” staje się „1.png.restoremydata.pw”, a „2.pdf” staje się „2.pdf.restoremydata.pw”. Po zakończeniu szyfrowania złośliwe oprogramowanie pozostawia notatkę z żądaniem okupu o nazwie „HOW_TO_RECOVERY_FILES.txt”. Notatka jest wyraźnie skierowana do firm, a nie użytkowników indywidualnych, ostrzegając, że działalność jest zagrożona, pliki są niedostępne bez pomocy atakujących, a skradzione dane firmowe zostaną opublikowane, jeśli żądania zostaną zignorowane.

Wewnątrz listu z żądaniem okupu: taktyka i naciski

W wiadomości twierdzi się, że tylko atakujący posiadają unikalny klucz deszyfrujący i że deszyfratory użyte w przypadku innych ofiar nie będą działać. Ostrzega się przed modyfikowaniem zaszyfrowanych plików, aby uniknąć nieodwracalnych uszkodzeń. Jako „dowód odszyfrowania” operatorzy oferują przywrócenie pojedynczego pliku testowego, zazwyczaj o rozmiarze do 2 MB, a nie krytycznego zasobu, takiego jak baza danych, kopia zapasowa czy duży arkusz kalkulacyjny. Jest to powszechna technika socjotechniczna, mająca na celu zbudowanie wiarygodności i nakłonienie ofiar do zapłaty.

Zapłacenie okupu: ryzyko i rzeczywistość

W większości przypadków odszyfrowanie plików zablokowanych przez nowoczesne oprogramowanie ransomware nie jest możliwe bez kluczy atakującego. Jednak płatność nie gwarantuje odzyskania; ofiary często zgłaszają, że po przelaniu środków nie otrzymały niczego wartościowego. Płatności napędzają również ekosystem przestępczy. Obronnym rozwiązaniem jest unikanie płatności, skupienie się na eliminacji i przywracaniu danych z czystych kopii zapasowych.

Trwałość, ruch boczny i rozprzestrzenianie się

Po początkowym włamaniu, niektóre zagrożenia próbują przemieszczać się bocznie w sieciach lokalnych, nadużywać narzędzi administracyjnych, gromadzić dane uwierzytelniające i rozprzestrzeniać się za pośrednictwem nośników wymiennych (dysków USB, dysków zewnętrznych). Należy założyć, że RestoreMyData jest w stanie wykorzystać podobne techniki stosowane w ekosystemie, co oznacza, że szybkość powstrzymania ataku ma kluczowe znaczenie po wykryciu wskaźników.

Początkowe kanały dostępu i dostarczania

Operatorzy ransomware polegają na znanych metodach dystrybucji: phishingowych e-mailach i wiadomościach z ukrytymi załącznikami lub linkami, trojanach i loaderach, które później instalują szkodliwe oprogramowanie, programach drive-by download z zainfekowanych stron, portalach z darmowym oprogramowaniem i sieciach P2P z przepakowanymi instalatorami, złośliwych reklamach, fałszywych aktualizacjach i narzędziach typu „crack”. Złośliwa zawartość często maskuje się jako archiwa (ZIP/RAR), pliki wykonywalne, pliki PDF, dokumenty Office lub OneNote, JavaScript i inne; wykonanie rozpoczyna się w momencie otwarcia lub uruchomienia pliku przez użytkownika.

Strategia eradykacji i odzyskiwania

Natychmiast odizoluj zainfekowane systemy od sieci, aby powstrzymać rozprzestrzenianie się szyfrowania i eksfiltrację danych. Przeprowadź dokładne usuwanie, używając sprawdzonych, w pełni zaktualizowanych narzędzi bezpieczeństwa. Pamiętaj, że usunięcie zapobiega dalszym uszkodzeniom, ale nie odszyfrowuje już zablokowanych danych. Odzyskiwanie powinno odbywać się z kopii zapasowych, które nie zostały jeszcze uszkodzone.

Podsumowanie

RestoreMyData Ransomware jest przykładem dzisiejszego podwójnego schematu wymuszenia: szybkie szyfrowanie, unikalne klucze ofiar, agresywne żądania okupu i groźby wycieku skradzionych danych. Unikaj płacenia, kiedy tylko to możliwe, usuwaj złośliwe oprogramowanie zdecydowanie i polegaj na wzmocnionych, regularnie testowanych kopiach zapasowych w celu odzyskania danych. Organizacje, które łączą wielowarstwową ochronę, ścisłą kontrolę uprawnień, odporne kopie zapasowe i przećwiczone reagowanie na incydenty, znacznie zwiększają swoje szanse na przetrwanie tego rodzaju ataków.