Solara Ransomware

Solara to niedawno zaobserwowana odmiana ransomware, która według badaczy opiera się na publicznie rozpowszechnianym kodzie rodziny Chaos. Ransomware, taki jak Solara, szyfruje pliki użytkownika, żąda zapłaty i może trwale uniemożliwić dostęp do ważnych danych, dlatego ochrona urządzeń i kopii zapasowych jest niezbędna.

CO ROBI SOLARA

Podczas analizy zaobserwowano, że Solara szyfruje pliki i dodaje do ich nazw ciąg tekstowy „.solara” (na przykład „1.png” → „1.png.solara”). Szkodliwe oprogramowanie pozostawia również żądanie okupu o nazwie „read_it.txt”, które twierdzi, że ofiara uruchomiła ochronę „anty-crack” i instruuje ofiary, aby uzyskały narzędzie deszyfrujące od cyberprzestępcy. Kilka opisów i analiz próbek łączy Solarę z rodziną ransomware Chaos i opisuje podobne zachowanie (szyfrowanie, podmienianie rozszerzeń i żądanie okupu w postaci zwykłego tekstu).

LISTA Z ŻĄDANIEM OKUPU I ROSZCZENIA O ZAPŁATĘ

Analitycy badają wiadomość z żądaniem okupu, twierdząc, że odzyskanie plików jest „prawie niemożliwe” bez narzędzia deszyfrującego atakującego. W wiadomości ofiary proszone są o kontakt z użytkownikiem Discorda (xenqxd) i sugerowane są opcje płatności, takie jak Paysafecard (w Polsce) lub niewielka kwota w Bitcoinach. Co istotne, niektóre próbki pomijają istotne kanały kontaktu, co może wskazywać na niedojrzałą lub żartobliwą kampanię, a także na operatorów, którzy po prostu nie spodziewają się negocjacji. Należy podchodzić do wszystkich takich żądań z najwyższą podejrzliwością.

CZY MOŻNA ODZYSKAĆ PLIKI BEZ PŁACENIA?

Ogólnie rzecz biorąc, plików zaszyfrowanych przez zagrożenia z rodziny Chaos nie da się odzyskać bez odpowiedniego klucza deszyfrującego. Jeśli posiadasz czyste, offline'owe kopie zapasowe sprzed infekcji, ich przywrócenie jest najbezpieczniejszą zalecaną metodą. Płatności są odradzane, przestępcy często nie dostarczają użytecznych deszyfratorów, a płacenie za nie torpedy sprzyja dalszej działalności przestępczej.

POWSZECHNE WEKTORY ZAKAŻENIA

• Pirackie oprogramowanie, keygeny i „złamane” narzędzia zamaskowane jako złośliwe oprogramowanie.
• Złośliwe załączniki i łącza do wiadomości e-mail (makra pakietu Office, skrypty, pliki EXE).
• Zainfekowane reklamy, zainfekowane lub nieoficjalne strony pobierania, sieci P2P/torrent, dyski USB i zewnętrzne programy do pobierania.

NATYCHMIASTOWE DZIAŁANIA W PRZYPADKU PODEJRZENIA ZAKAŻENIA

Natychmiast odizoluj maszynę : odłącz ją od sieci (przewodowej/Wi-Fi) i odmontuj wszystkie dyski współdzielone/sieciowe, aby zapobiec bocznemu rozprzestrzenianiu się wirusa.

Zachowaj dowody : nie wyłączaj i włączaj zasilania, jeśli zbierasz dane z pamięci lub artefakty kryminalistyczne. Zamiast tego, jeśli masz taką możliwość, przechwyć obrazy pamięci i dysków lub wezwij pomoc techniczną.

Korzystaj z kopii zapasowych : Po usunięciu złośliwego oprogramowania i odbudowie systemów przywróć system z zaufanych kopii zapasowych. Nie przywracaj kopii zapasowych, które mogły być podłączone w momencie infekcji.

Nie płać, dopóki zespół reagowania na incydenty nie oceni wszystkich opcji i konsekwencji; płatność nie jest gwarantowana i może zachęcić do kolejnych ataków.

NAJLEPSZE PRAKTYKI BEZPIECZEŃSTWA

Utrzymuj aktualną, wielowarstwową obronę, która obejmuje następujące praktyki w codziennych operacjach:

Zarządzanie poprawkami : niezwłocznie wdrażaj aktualizacje zabezpieczeń systemu operacyjnego i aplikacji. Wiele odmian oprogramowania ransomware wykorzystuje znane i załatane luki w zabezpieczeniach.

Najmniejsze uprawnienia i higiena konta : uruchamiaj użytkowników z kontami bez uprawnień administratora, wymuszaj silne uwierzytelnianie wieloskładnikowe w przypadku dostępu zdalnego i kont uprzywilejowanych oraz monitoruj nietypowe zachowania logowania.

Strategia tworzenia kopii zapasowych : Regularnie twórz kopie zapasowe i przechowuj je oddzielnie od sieci. W końcu kopie zapasowe to najskuteczniejsza metoda odzyskiwania danych po atakach szyfrujących.

Ochrona punktów końcowych i EDR : wdrażaj sprawdzone rozwiązania do wykrywania i reagowania na ataki na punktach końcowych, które mogą wykrywać anomalie w działaniu, blokować złośliwe oprogramowanie i umożliwiać szybkie powstrzymywanie ataków. Zadbaj o włączenie sygnatur i telemetrii.

Edukacja użytkowników i odporność na phishing : szkolenie użytkowników w zakresie unikania uruchamiania cracków/keygenów, weryfikacji nadawców wiadomości e-mail i linków oraz podejrzliwości wobec nieoczekiwanych załączników. Symulowane kampanie phishingowe i uświadamiające zmniejszają ryzyko związane z czynnikami ludzkimi.

Kontrola aplikacji i ograniczenia makr : wyłącz domyślnie makra pakietu Office, zablokuj wykonywanie z typowych lokalizacji, w których dochodzi do nadużyć (np. %AppData%, foldery tymczasowe) i korzystaj z listy dozwolonych aplikacji, gdzie to możliwe.

UWAGI KOŃCOWE

Solara ilustruje typowe zagrożenia związane z publicznie dostępnymi programami ransomware: forki i warianty rozprzestrzeniają się, a atakujący nieustannie dostosowują metody dystrybucji, aby atakować określone społeczności (raporty wskazują na fora gamingowe i kanały dystrybucji pirackiego oprogramowania jako potencjalne przynęty). Najlepszą obroną jest prewencja, solidne kopie zapasowe, szybkie powstrzymanie ataku oraz współpraca z przeszkolonymi zespołami reagowania, a nie płacenie okupu. Jeśli podejrzewasz naruszenie i potrzebujesz pomocy w krok po kroku w usuwaniu zagrożeń, zbierz przykładowe wskaźniki (nazwy plików, skróty, treść żądania okupu) i skonsultuj się z zaufanym dostawcą usług reagowania na incydenty lub dostawcą rozwiązań bezpieczeństwa, aby uzyskać wskazówki dotyczące zapobiegania i odzyskiwania.