Ior Ransomware

Поскольку атаки программ-вымогателей становятся все более изощренными и разрушительными, защита ваших устройств от вредоносных угроз никогда не была столь важна. Эти атаки могут шифровать ваши данные, нарушать бизнес-операции и вымогать деньги у жертв, часто без гарантии восстановления данных. Недавнее обнаружение Ior Ransomware подчеркивает постоянную угрозу, которую представляют современные семейства программ-вымогателей. Понимание того, как работает Ior Ransomware, и выполнение надежных мер безопасности может значительно снизить риск стать жертвой таких атак.

Ior Ransomware: новая угроза в семействе Dharma

Ior Ransomware принадлежит к печально известному семейству Dharma Ransomware , которое имеет репутацию нацеленного как на предприятия, так и на отдельных лиц. Как только Ior заражает систему, он быстро шифрует файлы и переименовывает их, используя формат filename.id-[ID STRING].[адрес электронной почты атакующего].ior. Например, «document.pdf» будет переименован в «document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior», блокируя файл и делая его недоступным для пользователя.

Вирус-вымогатель Ior оставляет после себя два типа записок с требованием выкупа:

• Всплывающее окно, которое немедленно информирует жертву об атаке.
• Файл с именем «manual.txt», содержащий подробные инструкции по восстановлению зашифрованных данных.

Эти записки с требованием выкупа предписывают жертве связаться с злоумышленниками по предоставленным адресам электронной почты — jasalivan@420blaze.it или ja.salivan@keemail.me — в течение 12 часов. В записке также предлагается расшифровать до трех файлов (размером менее 3 МБ) в качестве доказательства того, что расшифровка возможна. Однако злоумышленники предостерегают от попыток переименовать зашифрованные файлы или использовать сторонние инструменты расшифровки, угрожая постоянной потерей данных или более высокими расходами на расшифровку, если эти действия будут предприняты.

Методы атаки: как вирус-вымогатель Ior заражает системы

Вирус-вымогатель Ior представляет серьезную угрозу не только из-за своих возможностей шифрования файлов, но и из-за своего агрессивного подхода к отключению функций безопасности и обеспечению стойкости. Вредоносное ПО:

• Шифрует как локальные, так и сетевые файлы, затрагивая не только зараженный компьютер, но и все подключенные устройства хранения данных или системы.
• Отключает системный брандмауэр, делая устройство более уязвимым для дальнейших атак.
• Удаляет теневые копии томов, которые не позволяют пользователям восстанавливать файлы с помощью встроенных точек восстановления Windows.
• Копирует себя в каталог %LOCALAPPDATA% и регистрируется в ключах запуска Windows, что позволяет автоматически перезапускать его при перезагрузке системы.

Кроме того, вирус-вымогатель Ior способен собирать данные о местоположении и исключать определенные каталоги из шифрования, что предполагает определенный уровень настройки на основе стратегии злоумышленника.

Векторы заражения: как распространяется вирус-вымогатель Ior

Как и многие штаммы программ-вымогателей семейства Dharma, Ior Ransomware часто распространяется через уязвимые службы Remote Desktop Protocol (RDP). Киберпреступники используют слабые конфигурации RDP, используя атаки методом подбора или перебора по словарю для взлома плохо управляемых учетных данных. Однако это не единственный способ, которым Ior заражает системы:

• Поврежденные вложения или ссылки к электронным письмам : фишинговые письма с вредоносными вложениями или встроенными ссылками являются распространенным методом доставки программ-вымогателей.
• Используемые уязвимости программного обеспечения : неисправленные системы являются основными целями для программ-вымогателей, поскольку злоумышленники могут использовать известные уязвимости в устаревшем программном обеспечении или операционных системах.
• Пиратское программное обеспечение : Незаконно загруженное программное обеспечение часто скрывает вредоносное ПО, в том числе программы-вымогатели, которое пользователи запускают по незнанию.
• Взломанные веб-сайты : пользователи могут быть обмануты и вынуждены загрузить вредоносное ПО с помощью обманной рекламы, поддельных загрузок или взломанных веб-сайтов.
• Одноранговые (P2P) сети и сторонние загрузчики : небезопасные файлы могут легко распространяться через торрент-платформы или сторонние менеджеры загрузок, в которых отсутствуют средства контроля безопасности.

Лучшие методы безопасности для защиты от программ-вымогателей

Чтобы защитить себя от программ-вымогателей Ior и других киберугроз, важно следовать лучшим практикам безопасности. Проявляя активность и принимая правильные меры предосторожности, вы можете значительно снизить риск стать жертвой этих атак. Вот основные шаги для усиления защиты от программ-вымогателей:

1. Регулярно делайте резервные копии данных: Частые резервные копии — ваша самая сильная защита от программ-вымогателей. Убедитесь, что все основные файлы резервируются на независимом устройстве хранения или в облачном сервисе, которые отключены от вашей основной системы. Таким образом, если ваши данные зашифрованы, вы можете восстановить их без необходимости платить выкуп.
2. Безопасный удаленный доступ: если вы используете RDP или другие службы удаленного доступа, убедитесь, что они безопасно настроены:

Отключите RDP, если он не используется.

Используйте надежные уникальные пароли для учетных записей с удаленным доступом.

Включите многофакторную аутентификацию (MFA) для дополнительной безопасности.

Ограничьте доступ RDP к определенным IP-адресам с помощью брандмауэра или VPN.

1. Поддерживайте системы и программное обеспечение в актуальном состоянии: устаревшее программное обеспечение часто становится целью атак программ-вымогателей. Убедитесь, что ваша операционная система, приложения и антивирусное программное обеспечение обновлены с использованием последних исправлений безопасности. Автоматизируйте обновления, где это возможно, чтобы минимизировать окно уязвимости.
2. Развертывание решений по борьбе с программами-вымогателями: инвестируйте в надежное антивирусное программное обеспечение, включающее защиту от программ-вымогателей. Многие современные пакеты безопасности могут обнаруживать подозрительное поведение, например шифрование файлов или несанкционированные изменения в системных настройках, и останавливать программы-вымогатели до того, как они нанесут ущерб.
3. Будьте осторожны с электронными письмами: Фишинговые письма остаются одним из самых эффективных способов для злоумышленников доставить программы-вымогатели. Избегайте нажатия на нежелательные вложения или ссылки в электронных письмах. Проверяйте легитимность неожиданных писем, даже если они кажутся полученными из надежных источников.
4. Используйте сильные уникальные пароли: Слабые пароли являются серьезной уязвимостью для атак программ-вымогателей, особенно тех, которые используют тактику подбора на RDP. Используйте сильные сложные пароли и регулярно меняйте их. Рассмотрите возможность использования менеджера паролей для хранения и создания уникальных паролей для разных учетных записей.
5. Отключите макросы и ограничьте выполнение скриптов: многие заражения программами-вымогателями начинаются с вредоносных макросов в документах или путем использования скриптовых движков, таких как PowerShell. Отключите макросы по умолчанию и ограничьте выполнение скриптов, чтобы минимизировать риск заражения.
6. Используйте брандмауэр и сегментацию сети: брандмауэр может остановить несанкционированный доступ к вашей системе, а сегментация сети может сократить распространение программ-вымогателей в организации. Изолируя критические системы и ограничивая доступ к сети, вы можете ограничить ущерб от атаки.

Заключение: будьте в курсе событий и готовы

Программа-вымогатель Ior, как и другие члены семейства Dharma, представляет серьезную угрозу как для отдельных лиц, так и для организаций. Ее способность шифровать данные, отключать функции безопасности и распространяться через скомпрометированные сети делает ее грозным противником. Однако, приняв изложенные выше рекомендации — регулярное резервное копирование, обновления программного обеспечения, надежный удаленный доступ и надежные пароли — вы можете усилить свою защиту и минимизировать последствия атаки программы-вымогателя. Ключ к безопасности — проактивная бдительность и приверженность рекомендациям по кибербезопасности.

Требование выкупа, отображаемое программой-вымогателем Ior в виде всплывающего окна:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Сообщение от злоумышленников, отправленное в виде текстового файла:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'