REVRAC (Makop) Ransomware
Zagrożenie ze strony ransomware jest większe niż kiedykolwiek. W związku z regularnym pojawianiem się nagłówków mediów na temat wycieków danych i ataków złośliwego oprogramowania, niezwykle ważne jest, aby użytkownicy zachowali czujność i stosowali rygorystyczne praktyki cyberbezpieczeństwa. Wśród najnowszych zagrożeń znajduje się nowo zidentyfikowany wariant ransomware REVRAC, wyrafinowanego i wysoce szkodliwego szczepu należącego do rodziny ransomware Makop. Niniejsza analiza analizuje mechanizmy działania tego zagrożenia, metody infekcji oraz najskuteczniejsze sposoby obrony przed nim.
Spis treści
Znajome imię z niebezpiecznym twistem
Chociaż ransomware o nazwie REVRAC był już wcześniej widziany, obecna wersja to zupełnie nowa i niebezpieczna ewolucja. Ta wersja została jednoznacznie powiązana z rodziną ransomware Makop, znaną z agresywnego szyfrowania i destrukcyjnych możliwości. Po uruchomieniu w systemie docelowym REVRAC natychmiast rozpoczyna szyfrowanie plików użytkownika, w tym dokumentów, obrazów, baz danych i innych cennych danych.
Zainfekowane pliki są zmieniane według określonego schematu: oryginalna nazwa pliku jest modyfikowana tak, aby zawierała unikalny identyfikator ofiary, adres e-mail atakującego i rozszerzenie „.REVRAC”. Na przykład nazwa pliku „1.png” jest zmieniana na „1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC”.
Oprócz blokowania plików ransomware zmienia tapetę pulpitu systemu i tworzy notatkę z żądaniem okupu o nazwie „+README-WARNING+.txt”. Notatka ta zawiera żądania atakujących i ostrzega przed korzystaniem z narzędzi innych firm lub zmianą nazw plików, ponieważ grozi to trwałym uszkodzeniem lub zwiększeniem żądań okupu.
List z żądaniem okupu: celowe wymuszenie
Wiadomość z żądaniem okupu pozostawiona przez REVRAC ma na celu wymuszenie na ofiarach podporządkowania się poprzez strach i poczucie pilności. Informuje ona użytkowników, że ich plików nie da się odzyskać bez unikalnego klucza deszyfrującego, którym dysponują tylko atakujący. Ofiary proszone są o kontakt pod adresem „onlybuy@cyberfear.com”, podając swój identyfikator wyświetlany w nazwach plików. W wiadomości podkreślono, że wszelkie nieautoryzowane próby odszyfrowania lub modyfikacji zaszyfrowanych danych mogą doprowadzić do nieodwracalnej utraty danych.
Pomimo tych zapewnień, eksperci ds. cyberbezpieczeństwa stanowczo odradzają płacenie okupu. Nie ma gwarancji, że zapłacenie okupu doprowadzi do odzyskania plików, a samo zapłacenie jedynie napędza dalszą działalność przestępczą.
Jak REVRAC infekuje systemy
Ransomware REVRAC rozprzestrzenia się za pomocą różnych oszukańczych i złośliwych taktyk. Typowe wektory infekcji to:
Fałszywe instalatory oprogramowania : złośliwe oprogramowanie podszywające się pod złamane programy, generatory kluczy lub nieautoryzowane narzędzia aktywacyjne.
Wiadomości phishingowe : wiadomości, które nakłaniają użytkowników do pobrania złośliwych załączników lub kliknięcia niebezpiecznych linków.
Zainfekowane witryny i reklamy : witryny lub reklamy wyglądające na wiarygodne, które w ukryciu instalują złośliwe oprogramowanie.
Nośniki wymienne i rozprzestrzenianie się w sieci : infekcje rozprzestrzeniające się za pośrednictwem dysków USB lub pomiędzy podłączonymi systemami.
Wykorzystywanie luk w zabezpieczeniach oprogramowania : wykorzystywanie niezałatanych błędów w legalnym oprogramowaniu w celu uzyskania dostępu i uruchomienia oprogramowania ransomware.
Szkodliwe oprogramowanie jest często osadzone w plikach tego typu: wykonywalnych (.exe), dokumentach (.docx, .xls), skryptach (.js, .vbs) lub archiwach (.zip, .rar).
Najlepsze praktyki zapobiegania infekcjom ransomware
Aby bronić się przed zagrożeniami takimi jak REVRAC, użytkownicy muszą przyjąć wielowarstwowe i proaktywne podejście do cyberbezpieczeństwa. Do najskuteczniejszych praktyk bezpieczeństwa należą:
- Utrzymuj pełną aktualizację wszystkich systemów operacyjnych, aplikacji i narzędzi zabezpieczających.
- Używaj sprawdzonego programu antywirusowego lub antymalware z ochroną w czasie rzeczywistym.
- Wyłącz makra w plikach Microsoft Office pochodzących z nieznanych źródeł.
Wniosek: Zachowaj czujność, zachowaj ochronę
Ransomware REVRAC jest dobitnym przykładem tego, jak ransomware ewoluuje, stając się coraz bardziej ukierunkowane i szkodliwe. Jego powiązanie z rodziną Makop podkreśla jego potencjał wyrządzania poważnych szkód. Jednak dzięki odpowiednim środkom ostrożności, od higieny oprogramowania, przez edukację użytkowników, po procedury tworzenia kopii zapasowych, zarówno osoby prywatne, jak i organizacje mogą chronić swoje dane i systemy przed wpadnięciem w ręce cyberprzestępców. Zapobieganie pozostaje najskuteczniejszym narzędziem w walce z ransomware.
Wiadomości
Znaleziono następujące komunikaty związane z REVRAC (Makop) Ransomware:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
