Ransomware-ul Prey

Protejarea dispozitivelor personale și corporative împotriva programelor malware nu mai este opțională, ci esențială. Infractorii cibernetici dezvoltă continuu instrumente din ce în ce mai avansate pentru a compromite datele, iar ransomware-ul rămâne una dintre cele mai distructive amenințări. Unul dintre cele mai recente exemple ale acestui tip de malware este Prey Ransomware, un program rău intenționat identificat ca o variantă a celebrei familii MedusaLocker. Această amenințare este special concepută pentru a cripta fișiere, a extorca victimele pentru răscumpărare și a putea scurge date furate dacă cererile nu sunt îndeplinite.

Un atac neobosit asupra datelor

Odată executat pe un sistem vizat, Prey Ransomware începe să cripteze fișierele folosind o combinație de algoritmi criptografici RSA și AES, care sunt aproape imposibil de spart fără cheile de decriptare ale atacatorilor. Malware-ul adaugă extensia „.prey35” fiecărui fișier criptat, transformând nume precum „photo.png” în „photo.png.prey35”.

În urma procesului de criptare, ransomware-ul modifică imaginea de fundal a desktopului și afișează o notă de răscumpărare intitulată „HOW_TO_RECOVER_DATA.html”. Mesajul informează victima că rețeaua companiei sale a fost compromisă, fișierele criptate și informațiile sensibile exfiltrate. Victimele sunt instruite să contacteze atacatorii în termen de 72 de ore, altfel se vor confrunta cu cereri sporite de răscumpărare și expunerea publică a datelor furate.

Promisiunea înșelătoare a decriptării

Nota de răscumpărare susține că victimele pot testa decriptarea pe până la trei fișiere neesențiale înainte de plată. Cu toate acestea, astfel de afirmații sunt menite să creeze o încredere falsă. Experții în securitate cibernetică subliniază faptul că plata răscumpărării nu garantează recuperarea fișierelor, în multe cazuri, atacatorii nu furnizează niciodată cheia sau instrumentul de decriptare promis. Mai mult, plata nu face decât să alimenteze alte operațiuni criminale și să încurajeze noi atacuri.

Decriptarea fără implicarea atacatorului este de obicei imposibilă, cu excepția cazului în care ransomware-ul este codificat necorespunzător sau a fost deja decriptat de cercetători. Pentru majoritatea victimelor, recuperarea se bazează exclusiv pe disponibilitatea unor copii de rezervă securizate, preexistente.

Metode de distribuție și vectori de infecție

Ca majoritatea ransomware-urilor, Prey este distribuit prin phishing, inginerie socială și descărcări rău intenționate. Infecția începe adesea atunci când utilizatorii neavizați deschid atașamente sau linkuri înșelătoare. Fișierele pot fi în numeroase formate, inclusiv ZIP, RAR, PDF, EXE sau documente Microsoft Office care conțin macrocomenzi rău intenționate. Simpla deschidere a acestor fișiere poate iniția lanțul de infecție.

Amenințarea se poate răspândi și prin:

• Troieni și încărcătoare care instalează ransomware în fundal.
• Descărcări automate sau campanii de publicitate malicioasă.
• E-mailuri spam care conțin atașamente sau linkuri infectate.

• Actualizări de software false sau activatori de software piratați („crack-uri”).

• Rețele peer-to-peer (P2P) și site-uri freeware nesigure.

• Propagarea rețelei, unde ransomware-ul se deplasează lateral prin sisteme conectate sau dispozitive de stocare externe.

Eliminarea amenințării și recuperarea fișierelor

Dacă Prey Ransomware infectează un sistem, este necesară o acțiune imediată. Malware-ul trebuie eliminat complet pentru a preveni criptarea ulterioară. Deși eliminarea oprește daunele suplimentare, aceasta nu va decripta fișierele afectate. Cea mai sigură metodă de recuperare este restaurarea datelor din copii de rezervă curate, offline, create înainte de producerea infecției.

Victimele ar trebui să evite interacțiunea cu cererea de răscumpărare și, în schimb, să solicite asistență de la profesioniști în domeniul securității cibernetice de renume sau de la echipe de răspuns la incidente. De asemenea, este important să raporteze incidentul autorităților locale de criminalitate cibernetică.

Construirea unei apărări puternice: practici esențiale de securitate

Prevenirea infecțiilor cu ransomware precum Prey necesită o combinație de conștientizare, igienă digitală bună și măsuri de siguranță tehnice. Utilizatorii pot reduce semnificativ riscul prin implementarea următoarelor măsuri de securitate:

1. Pași proactivi de protecție

• Mențineți sistemele de operare, software-ul și instrumentele antivirus actualizate.
• Activați autentificarea multi-factor (MFA) oriunde este posibil.
• Folosește o suită de securitate fiabilă cu monitorizare a amenințărilor în timp real.
• Dezactivați macrocomenzile în Microsoft Office și blocați descărcările automate.
• Evitați să deschideți atașamente neașteptate sau să faceți clic pe linkuri de la expeditori necunoscuți.

2. Practici de backup și gestionare a datelor

• Mențineți mai multe copii de rezervă ale datelor, una pe un server la distanță (cloud) și alta pe un dispozitiv fizic deconectat (hard disk extern, USB).
• Verificați periodic integritatea copiilor de rezervă pentru a vă asigura că fișierele pot fi restaurate.

• Izolați sistemele de rezervă de rețeaua principală pentru a preveni infecțiile încrucișate.

Concluzie: Vigilența este cea mai bună apărare

Creșterea numărului de ransomware Prey evidențiază evoluția continuă a amenințărilor cibernetice și nevoia unei vigilențe constante. Plata răscumpărării nu face decât să agraveze problema, în timp ce prevenirea și pregătirea rămân cea mai eficientă apărare. Prin practicarea unor obiceiuri solide de securitate cibernetică, menținerea unor copii de rezervă regulate și evitarea comportamentelor online riscante, utilizatorii pot reduce considerabil șansele de a cădea victime ale ransomware-ului precum Prey.