Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Ransomware-ul DeadLock

Ransomware-ul DeadLock

Până în Mezo în Ransomware
Tradu in:

Campaniile moderne de ransomware sunt concepute special pentru a transforma datele dumneavoastră personale sau organizaționale în avantaje. Odată ce fișierele critice sunt criptate, atacatorii dețin toate cărțile, cu excepția cazului în care v-ați pregătit în prealabil. Igiena puternică a securității, apărarea stratificată și strategiile de backup rezistente reduc dramatic șansele ca un singur atașament rău intenționat, un program de instalare piratat sau o descărcare necinstită să ducă la întreruperea activității sau la pierderea permanentă a datelor. DeadLock Ransomware este un bun exemplu al importanței acestor elemente fundamentale.

Ce diferențiază DeadLock

DeadLock este o familie de ransomware care criptează fișiere și etichetează fiecare victimă cu un identificator unic. În timpul unui atac, acesta amestecă datele utilizatorilor și redenumește fiecare fișier criptat prin adăugarea ID-ului victimei și a extensiei „.dlock” la numele fișierului original. De exemplu: „1.png” devine „1.png.F8C6A8.dlock” și „2.pdf” devine „2.pdf.F8C6A8.dlock”. Acest ID este utilizat pe tot parcursul procesului de extorcare pentru a urmări victima și a lega plățile de cheile de decriptare. De asemenea, DeadLock trimite o notă de răscumpărare al cărei nume de fișier conține același identificator (de exemplu, „CITEȘTE-MĂ.F8C6A8.txt”) și modifică imaginea de fundal a desktopului pentru a sublinia faptul că sistemul a fost compromis.

În interiorul biletului de răscumpărare

Nota subliniază câteva puncte cheie menite să ghideze următoarele acțiuni ale victimei. Se afirmă că fișierele criptate nu pot fi restaurate fără o „cheie unică de decriptare” pe care o dețin doar atacatorii. Victimelor li se spune să instaleze mesagerul Session, axat pe confidențialitate, și să contacteze folosind un ID de sesiune furnizat (din nou, corelând identificatorul per victimă încorporat în numele fișierelor). Atacatorii solicită victimei să trimită un fișier criptat plus „cheia personală” (ID-ul lor unic) pentru verificare. Aceasta este o tactică comună menită să construiască încredere prin decriptarea unui eșantion inofensiv.

Tactici de plată și presiune

Operatorii DeadLock solicită criptomonede, în special Bitcoin sau Monero. Aceștia promit că, după plată, vor livra un decriptor funcțional. Ca în cazul majorității operațiunilor ransomware, nu există nicio garanție executorie. Nota folosește, de asemenea, teama pentru a descuraja încercările independente de recuperare: avertizează victimele să nu redenumească fișierele criptate și să nu încerce instrumente de decriptare terțe, susținând că astfel de acțiuni ar putea corupe datele permanent sau ar putea crește prețul recuperării. Aceste avertismente sunt parțial tehnice (manipularea necorespunzătoare poate complica într-adevăr recuperarea) și parțial presiuni psihologice.

Verificarea realității decriptării

Experiența cu ransomware-ul în general și mesajele proprii ale operatorilor susțin un adevăr dur: în majoritatea cazurilor, nu puteți decripta fișierele criptate cu DeadLock fără cooperarea și instrumentele atacatorilor. Aceasta lasă două căi de recuperare realiste: (1) copii de rezervă funcționale care erau offline, în afara site-ului, versionate sau altfel inaccesibile malware-ului în momentul atacului; sau (2) plata răscumpărării și sperarea că infractorii vor onora înțelegerea. Plata este riscantă: atacatorii pot dispărea, pot livra un decriptor defect sau pot folosi plata ca semnal că sunteți o țintă vulnerabilă pentru extorcarea viitoare. Ori de câte ori este posibil, bazați-vă pe copii de rezervă neafectate în loc să efectuați o plată de răscumpărare.

De ce contează eliminarea completă

Chiar și după finalizarea criptării, lăsarea ransomware-ului în sistem este periculoasă. Componentele reziduale pot recripta fișierele nou create, pot colecta acreditări, pot deschide backdoor-uri sau pot încerca să se deplaseze lateral prin rețeaua locală. Eradicarea, susținută de scanarea endpoint-urilor, inspecția memoriei și o revizuire a sarcinilor programate, a intrărilor de pornire și a controlerelor de domeniu, este esențială pentru prevenirea repetatei daune.

Vectori comuni de infecție DeadLock

Atacatorii au nevoie de un punct de sprijin inițial. Campaniile de ransomware au fost asociate cu mai multe canale de distribuție care profită de încrederea utilizatorilor, de curiozitate și de scurtăturile pentru reducerea costurilor:

  • Software comercial piratat sau „crackat”, inclusiv generatoare de chei incluse în pachet și instrumente de ocolire a licențelor care instalează în secret programe malware.
  • Crack-uri software, keygen-uri și activatori neoficiali extrași de pe site-uri warez sau torrent.
  • Atașamente de e-mail rău intenționate: documente Word capcană (adesea cu macrocomenzi activate), PDF-uri, arhive ZIP, fișiere script sau sarcini executabile deghizate în facturi, avize de expediere sau formulare urgente de resurse umane.
  • Publicitate malicioasă (reclame rău intenționate) care redirecționează utilizatorii către kituri de exploatare sau pagini de descărcare necinstite.
  • Platforme de partajare peer-to-peer și hub-uri de descărcare terțe care reîmpachetează programele de instalare cu sarcini utile ascunse.
  • Suporturi amovibile (de exemplu, unități USB infectate) care pornesc automat sau tentează utilizatorii să lanseze fișiere contaminate.
  • Portaluri false de asistență tehnică care presează utilizatorii să descarce „remedieri” sau „actualizări” care conțin de fapt încărcătorul ransomware.
  • Site-uri web legitime compromise, care au fost încărcate cu descărcări automate sau scripturi injectate care livrează sarcina utilă.

Cele mai bune practici de securitate pentru a vă consolida apărarea

Securitatea stratificată reduce drastic raza de acțiune a unui eveniment ransomware. Mai jos sunt pașii defensivi prioritizați care ajută la prevenirea succesului DeadLock și al amenințărilor similare:

  • Mențineți copii de rezervă offline și fiabile ale datelor critice.
  • Aplicați prompt patch-uri la sistemele de operare, aplicațiile și firmware-ul, în special la serviciile expuse și suitele de productivitate predispuse la abuzuri macro sau exploit-uri.
  • Folosește protecție endpoint/EDR reputată, cu detectare ransomware bazată pe comportament și izolare automată.
  • Impuneți conturi de utilizatori cu privilegii minime; dezactivați administratorul local acolo unde nu este necesar; separați acreditările de administrator de utilizarea zilnică.
  • Restricționați execuția macrocomenzilor, interpretoarele de scripturi și fișierele binare nesemnate prin intermediul politicii de grup, al listei de permisiuni a aplicațiilor și al accesului controlat la foldere.
  • Implementați filtrarea securității e-mailurilor: atașamente în sandbox, inspectați linkurile și semnalați tipurile de fișiere suspecte sau domeniile expeditorilor falsificate.
  • Dezactivați rularea automată pe suporturile amovibile și scanați dispozitivele USB înainte de montare.
  • Solicitați autentificare multifactor (MFA) pentru acces la distanță, console de administrare și interfețe de gestionare a copiilor de rezervă.

Lecții pe termen lung

DeadLock întărește o temă recurentă în toate familiile de ransomware: atacatorii nu au nevoie de exploatări de ultimă generație dacă utilizatorii finali descarcă în mod curent instrumente piratate, deschid atașamente neverificate sau navighează prin rețele publicitare neîncrezătoare. Tehnicile de securitate de bază, disciplina de aplicare a patch-urilor, controalele de acces, copiile de rezervă monitorizate și conștientizarea utilizatorilor transformă o potențială criză într-un eveniment recuperabil. Investește în aceste mijloace de apărare acum; costul este mult mai mic decât o răscumpărare plătită sub presiune.

Gânduri de încheiere

Reziliența la ransomware se construiește cu mult înainte ca un atac să vă afecteze ecranul. Înțelegând cum funcționează DeadLock și implementând controale preventive și de recuperare stratificate, vă poziționați pentru a rezista acestei amenințări și altora similare. Rămâneți sceptic față de orice nu ați căutat sau verificat în mod deliberat. Vigilența dumneavoastră este prima și adesea cea mai bună linie de apărare.

Mesaje

Au fost găsite următoarele mesaje asociate cu Ransomware-ul DeadLock:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Trending

Cele mai văzute

Se încarcă...