Ransomware-ul Solara

Solara este o tulpină de ransomware observată recent, despre care cercetătorii spun că este construită pe codul familiei Chaos, circulat public. Ransomware-ul precum Solara criptează fișierele utilizatorilor, solicită plăți și poate întrerupe permanent accesul la date importante, așadar protejarea dispozitivelor și a copiilor de rezervă este esențială.

CE FACE SOLARA

În timpul analizei, s-a observat că Solara cripta fișiere și adăuga șirul de text „.solara” la numele fișierelor (de exemplu, „1.png” → „1.png.solara”). Malware-ul trimite, de asemenea, o notă de răscumpărare numită „read_it.txt” care susține că victima a declanșat o protecție „anti-crack” și instruiește victimele să obțină un instrument de decriptare de la un atacator online. Mai multe articole și analize de mostre leagă Solara de familia de ransomware Chaos și descriu un comportament similar (criptare, substituire de extensii și o notă de răscumpărare în text simplu).

NOTĂ DE RĂSPUMARE ȘI CERERI DE PLATĂ

Mesajul de răscumpărare examinat de analiști afirmă că recuperarea fișierelor este „aproape imposibilă” fără instrumentul de decriptare al atacatorului. Nota instruiește victimele să contacteze un utilizator Discord (xenqxd) și sugerează opțiuni de plată precum Paysafecard (în Polonia) sau o sumă mică de Bitcoin. În special, unele mostre omit canale de contact semnificative, ceea ce poate indica o campanie imatură sau asemănătoare unei farse, sau operatori care pur și simplu nu se așteaptă să negocieze. Tratați toate aceste solicitări cu extremă suspiciune.

POȚI RECUPERA FIȘIERE FĂRĂ SĂ PLĂTEȘTI?

În general, fișierele criptate de amenințările din familia Chaos nu pot fi recuperate fără cheia de decriptare corespunzătoare. Dacă aveți copii de rezervă curate, offline, de dinainte de infecție, restaurarea acestora este cea mai sigură cale recomandată. Plata este descurajată, infractorii adesea nu livrează decriptori utilizabili, iar plata fondurilor amplifică activitatea infracțională.

VECTORI DE INFECȚIE COMUNI

• Software piratat, keygen-uri și utilitare „crackate” deghizate cu malware.
• Atașamente și linkuri de e-mail rău intenționate (macrocomenzi Office, scripturi, fișiere EXE).
• Reclame infectate, site-uri de descărcare compromise sau neoficiale, rețele P2P/torrent, unități USB și programe de descărcare terțe.

ACȚIUNI IMEDIATE DACĂ SUCETAȚI O INFECȚIE

Izolați imediat mașina : deconectați-o de la rețele (cu fir/wifi) și dezinstalați orice unități partajate/de rețea pentru a opri răspândirea laterală.

Păstrați dovezile : nu reporniți dacă colectați artefacte de memorie sau criminalistice, ci capturați memorie și imagini de disc dacă aveți capacitatea sau apelați răspunsul la incident.

Folosiți copii de rezervă : Restaurați din copii de rezervă de încredere odată ce malware-ul este eliminat și sistemele sunt reconstruite; nu restaurați copii de rezervă care ar fi putut fi conectate în momentul infectării.

Nu plătiți decât dacă o echipă de intervenție în caz de incident a evaluat toate opțiunile și consecințele; plata nu este garantată și poate încuraja atacuri viitoare.

CELE MAI BUNE PRACTICI DE SECURITATE

Mențineți o apărare actualizată, stratificată, care include următoarele practici în operațiunile zilnice:

Gestionarea patch-urilor : aplicați prompt actualizări de securitate ale sistemului de operare și aplicațiilor; multe tipuri de ransomware exploatează vulnerabilități cunoscute și corectate.

Privilegii minime și igiena contului : rulați utilizatori cu conturi non-administrator, impuneți autentificare multifactor puternică pentru accesul la distanță și conturile privilegiate și monitorizați comportamentul neobișnuit de conectare.

Strategie de backup : Creați copii de rezervă în mod regulat și păstrați-le separat de rețea. La urma urmei, copiile de rezervă sunt cel mai eficient control de recuperare împotriva atacurilor de criptare.

Protecție endpoint și EDR : implementați soluții reputate de detectare și răspuns la endpoint-uri, care pot detecta anomalii de execuție, pot bloca sarcini utile rău intenționate și pot permite o izolare rapidă. Mențineți semnăturile și telemetria activate.

Educarea utilizatorilor și rezistența la phishing : instruirea utilizatorilor să evite rularea crack-urilor/keygen-urilor, să verifice expeditorii și link-urile de e-mail și să trateze atașamentele neașteptate cu suspiciune. Simularea phishing-ului și campaniile de conștientizare reduc factorul de risc uman.

Controale ale aplicațiilor și restricții privind macrocomenzile : dezactivați macrocomenzile Office în mod implicit, blocați execuția din locații comune cu abuzuri (de exemplu, %AppData%, foldere temporare) și utilizați lista de permisiuni pentru aplicații, acolo unde este posibil.

NOTE DE ÎNCHIDERE

Solara ilustrează riscuri comune legate de constructorii de ransomware disponibili publicului: bifurcațiile și variantele proliferează, iar atacatorii adaptează continuu metodele de distribuție pentru a viza comunități specifice (rapoartele evidențiază forumurile de jocuri și canalele de software piratat ca fiind posibile momeli). Cele mai bune apărări sunt prevenirea, copiile de rezervă puternice, izolarea rapidă și colaborarea cu echipe de răspuns instruite, fără plata răscumpărărilor. Dacă suspectați o compromitere și aveți nevoie de ajutor pas cu pas pentru curățare, colectați indicatori eșantion (nume de fișiere, hash-uri, textul notei de răscumpărare) și consultați un furnizor de încredere de răspuns la incidente sau furnizorul dvs. de securitate pentru îndrumări privind izolarea și recuperarea.