Hype Ransomware

Программа-вымогатель Hype — типичный пример современного вредоносного ПО для шифрования файлов: она шифрует данные жертв, оставляет записку с требованием выкупа и добавляет к зашифрованным файлам уникальное расширение и идентификаторы. Защита устройств от таких угроз, как Hype, критически важна, поскольку после завершения шифрования файлы обычно невозможно восстановить без закрытого ключа злоумышленника, а выплата денег злоумышленникам не гарантирует восстановления, но при этом поощряет дальнейшие преступления.

Что делает шумиха — краткое содержание поведения

Анализ показывает, что Hype атакует пользовательские файлы и переименовывает их, добавляя контактные данные злоумышленников и уникальный идентификатор жертвы, а затем добавляет новое расширение. В проанализированных образцах файлы переименовываются по шаблону, похожему на:
'originalname.EXT' → 'originalname.EXT.EMAIL=[ranshype@gmail.com
]ID=[000C91DC347DF549].хайп'

В записке с требованием выкупа, названной примерно как «hype Ransmoware.txt», утверждается, что система «незащищена», предлагается «исправить» ситуацию и предлагается жертвам отправить тестовый файл для подтверждения расшифровки. В записке указаны два адреса электронной почты в группе «ranshype@gmail.com».
и «ranshype@tuta.io» и ник в Telegram (@hype20233) в качестве средств связи.

Как работает атака — технический обзор

Hype следует типичному жизненному циклу программ-вымогателей. После первоначального запуска (часто через вредоносное вложение, загрузчик, эксплойт или взломанное ПО) он сканирует доступное хранилище на наличие целевых типов файлов, шифрует их симметричным ключом, а затем, как правило, шифрует или защищает этот ключ, используя второй механизм, имеющийся у злоумышленника. Зашифрованные файлы переименовываются, чтобы обозначить владельца и указать жертве на записку с требованием выкупа. Поскольку для расшифровки требуется ключ злоумышленника или заранее подготовленная резервная копия, у жертв без надежных резервных копий остается мало вариантов восстановления.

Воздействие и восстановление

Программы-вымогатели, такие как Hype, приводят к потере данных, сбоям в работе и потенциальным потерям бизнеса в будущем, а также к нарушениям нормативных требований. Восстановление без резервных копий маловероятно: большинство зашифрованных файлов невозможно восстановить без инструмента дешифрования злоумышленника. Жертвам настоятельно рекомендуется не полагаться на оплату, гарантирующую возврат файлов — злоумышленники могут не предоставить работоспособную расшифровку, потребовать дополнительную оплату или повторно использовать украденные данные. Правильный путь восстановления обычно включает в себя: изоляцию зараженных систем, очистку и восстановление данных из заведомо исправных резервных копий, а также укрепление инфраструктуры для предотвращения повторного заражения.

Лучшие методы обеспечения безопасности для снижения риска

Регулярное резервное копирование и тестовое восстановление : сохраняйте как минимум две копии критически важных данных: одну локально для быстрого восстановления и одну вне офиса или в облаке. Обеспечьте изоляцию резервных копий, чтобы программы-вымогатели не смогли добраться до них. Регулярно проводите тестовое восстановление.

Управление исправлениями и инвентаризацией : поддержание актуального инвентаря программного обеспечения и активов, а также своевременное применение исправлений безопасности для операционных систем, приложений и сетевых устройств.

Принцип наименьших привилегий и сегментации сети : ограничить права пользователей так, чтобы доступ имели только те, кому он необходим; сегментировать сети так, чтобы зараженная конечная точка не могла свободно получить доступ к резервным копиям, серверам или другим сегментам.

Обнаружение и реагирование на конечные точки (EDR) + защита от вредоносных программ : развертывание современных EDR/антивирусов с поведенческим обнаружением, способных блокировать или оповещать о подозрительной активности шифрования; настройка оповещений для снижения уровня шума и обеспечения своевременной проверки человеком.

Безопасность электронной почты и веб-сайтов : используйте расширенную фильтрацию электронной почты, блокируйте подозрительные вложения и документы с макросами, а также реализуйте веб-фильтрацию, чтобы не допустить попадания пользователей на известные вредоносные сайты.

Многофакторная аутентификация (MFA) : требуйте MFA для удаленного доступа, административных учетных записей и облачных сервисов, чтобы снизить риск захвата учетной записи.

Избегание оплаты и движение вперед

Выплата выкупа — высокорискованный и зачастую неэффективный вариант; он не гарантирует возврата файла и служит дополнительным источником финансирования преступных операций. Вместо этого сосредоточьте ресурсы на сдерживании, восстановлении данных из защищённых резервных копий и укреплении системы безопасности, чтобы предотвратить повторение подобной атаки. Если у вас недостаточно собственных ресурсов, воспользуйтесь услугами авторитетных компаний по реагированию на инциденты и экспертизе. Быстрые и квалифицированные действия снизят ущерб и повысят вероятность полного восстановления.