Скидка на мультилицензию
База данных угроз Программы-вымогатели Программа-вымогатель Mortar

Программа-вымогатель Mortar

К Mezo году в Программы-вымогатели году
Перевести на:

Вредоносное ПО продолжает оставаться одной из наиболее серьезных угроз кибербезопасности как для организаций, так и для отдельных лиц. Современные атаки программ-вымогателей могут нарушить работу предприятий, привести к серьезным финансовым потерям и скомпрометировать конфиденциальную информацию в течение нескольких часов. Поскольку группы, использующие программы-вымогатели, становятся все более изощренными, поддержание надежных мер безопасности и проактивной защиты имеет важное значение для защиты ценных данных и обеспечения непрерывности работы.

Краткий обзор программы-вымогателя Mortar.

Mortar Ransomware — это разновидность вредоносного ПО для шифрования файлов, выявленная исследователями в области кибербезопасности. Угроза в первую очередь предназначена для корпоративных сред, где злоумышленники стремятся максимально нарушить работу системы и усилить давление на жертв с целью получения выкупа. После развертывания в скомпрометированной сети Mortar шифрует файлы и оставляет записку с требованием выкупа, названную в соответствии с уникальным идентификатором жертвы, в формате «README-[ID жертвы].txt».

Отличительной особенностью этого вируса-вымогателя является его поведение при переименовании файлов. Во время шифрования Mortar добавляет уникальный идентификатор жертвы к каждому затронутому файлу. Например, файл, первоначально названный «1.png», может стать «1.png.4RcrXfvVksS5ACA», а документ, такой как «2.pdf», может быть преобразован в «2.pdf.4RcrXfvVksS5ACA». Затем тот же идентификатор используется в имени файла записки с требованием выкупа, создавая прямую связь между жертвой и атакой.

Процесс шифрования и требования выкупа

После проникновения в сеть Mortar шифрует широкий спектр данных, включая документы, базы данных, фотографии и другие ценные деловые файлы. В записке с требованием выкупа утверждается, что злоумышленники использовали алгоритмы шифрования AES-256 и RSA-2048 для блокировки информации жертвы. Хотя подобные заявления распространены среди операторов программ-вымогателей, общая цель остается той же: сделать данные недоступными без соответствующего ключа расшифровки.

В записке с требованием выкупа жертвам сообщается, что единственный способ восстановить файлы — это приобрести у злоумышленников инструмент для расшифровки. Вместо указания фиксированной суммы выкупа преступники направляют жертв на портал в сети Tor и предоставляют учетные данные для входа, состоящие из имени пользователя и пароля. Такой подход позволяет злоумышленникам вести переговоры о выплатах индивидуально и потенциально корректировать требования о выкупе в зависимости от предполагаемой ценности организации-жертвы.

Можно ли восстановить зашифрованные файлы?

Восстановление файлов, зашифрованных программами-вымогателями, зачастую крайне затруднительно без доступа к механизму расшифровки, разработанному злоумышленниками. В редких случаях исследователи кибербезопасности обнаруживают ошибки в реализации или криптографические уязвимости, позволяющие создавать бесплатные дешифраторы. Однако такие случаи редки, и жертвы, пострадавшие от хорошо разработанных программ-вымогателей, часто сталкиваются с ограниченными возможностями восстановления.

Выплата выкупа, как правило, считается рискованным решением. Киберпреступники не обязаны предоставлять работающий инструмент расшифровки после получения платежа. Многие жертвы сталкивались с ситуациями, когда средства переводились, но инструменты восстановления так и не были предоставлены, или предоставленные инструменты не смогли успешно восстановить данные. Следовательно, выплата может привести к дополнительным финансовым потерям без гарантии восстановления файлов.

Векторы заражения и методы атаки

Вирус Mortar может поражать жертв несколькими способами, обычно используемыми в кампаниях по распространению программ-вымогателей. Фишинг остается одним из наиболее распространенных способов заражения. Злоумышленники рассылают электронные письма, содержащие вредоносные вложения, такие как сжатые архивы, исполняемые файлы или документы Microsoft Office, содержащие вредоносные макросы. После открытия эти файлы могут инициировать процесс развертывания программы-вымогателя.

К дополнительным путям заражения относятся троянизированное программное обеспечение, поддельные механизмы обновления, вредоносные рекламные кампании, ненадежные порталы загрузки и пиратские приложения, распространяемые через неофициальные каналы. Эти методы используют доверие пользователей и недостаточные меры безопасности для получения доступа к системам.

При целенаправленных корпоративных вторжениях злоумышленники могут использовать более сложные методы. Часто они пытаются скомпрометировать службы протокола удаленного рабочего стола (RDP) с помощью атак методом перебора, используя слабые учетные данные. Они также могут использовать незащищенные уязвимости в системах, доступных из интернета, чтобы получить первоначальную точку опоры, прежде чем распространиться по сети и развернуть программы-вымогатели на нескольких устройствах одновременно.

Реагирование на инфекцию раствора

После обнаружения Mortar крайне важно немедленно локализовать атаку. Удаление программы-вымогателя из зараженных систем помогает предотвратить дальнейшую активность шифрования и снижает риск дополнительного ущерба для всей системы. Однако удаление вредоносного ПО не следует путать с восстановлением данных. Удаление вредоносной программы не приводит к автоматическому восстановлению зашифрованных файлов.

Наиболее надежным методом восстановления остается восстановление чистых резервных копий, созданных до атаки. Резервные копии следует хранить отдельно от производственных систем, чтобы предотвратить шифрование хранилищ резервных копий программами-вымогателями во время инцидента. Организации, которые поддерживают безопасные, изолированные резервные копии, как правило, находятся в гораздо более выгодном положении для восстановления после атак программ-вымогателей без взаимодействия с киберпреступниками.

Создание надежной защиты от программ-вымогателей

Эффективная защита от программ-вымогателей требует многоуровневой стратегии безопасности, сочетающей в себе технологии, осведомленность пользователей и профилактическое обслуживание. Организациям следует регулярно обновлять операционные системы, приложения и сетевые устройства, чтобы устранить уязвимости, которые часто используют злоумышленники. Надежные политики аутентификации, особенно для служб удаленного доступа, могут значительно снизить риск несанкционированного доступа.

Не менее важна разработка надежной стратегии резервного копирования. Критические данные следует копировать в несколько мест, включая автономные или отключенные хранилища, недоступные с скомпрометированных систем. Регулярное тестирование резервных копий гарантирует корректную работу процедур восстановления в чрезвычайных ситуациях.

К основным мерам обеспечения безопасности относятся:

  • Регулярное резервное копирование данных в отдельные и защищенные места хранения.
  • Установка обновлений и исправлений безопасности сразу же после их появления.
  • Используйте надежные, уникальные пароли и включите многофакторную аутентификацию.
  • Ограничение доступа к ненужным сервисам удаленного доступа и мониторинг попыток входа в систему.
  • Обучение сотрудников распознаванию фишинговых писем и подозрительных вложений.
  • Внедрение надежных решений для защиты конечных точек и мониторинга сети.

Организациям также следует придерживаться принципа минимальных привилегий, предоставляя пользователям только тот доступ, который необходим для выполнения их ролей. Непрерывный мониторинг, аудит безопасности и планирование реагирования на инциденты дополнительно повышают устойчивость к кампаниям по распространению программ-вымогателей, таких как Mortar. Сочетание превентивных мер контроля, возможностей быстрого обнаружения и надежных систем резервного копирования остается наиболее эффективной защитой от современных угроз шифрования файлов.

Заключение

Программа-вымогатель Mortar представляет собой серьезную угрозу для корпоративных сетей, поскольку способна шифровать ценные данные, нарушать работу систем и оказывать давление на жертв, требуя выкуп за расшифровку. Добавляя уникальные идентификаторы к зашифрованным файлам и направляя жертв на специальный портал вымогательства, злоумышленники демонстрируют структурированный и целенаправленный подход. Хотя восстановление зашифрованных файлов может быть сложной задачей, организации, которые уделяют приоритетное внимание надежной кибербезопасности, поддерживают изолированные резервные копии и заблаговременно устраняют уязвимости, могут существенно снизить последствия инцидентов с программами-вымогателями и улучшить свой общий уровень безопасности.

System Messages

The following system messages may be associated with Программа-вымогатель Mortar:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

В тренде

Мошенничество с использованием электронных писем для...

Фишинг, Спам
Киберпреступники, стоящие за мошеннической схемой с использованием LinkedIn Collaboration, пытаются заманить получателей письмами, которые выглядят как деловые запросы от профессионалов. В письмах утверждается, что они отправлены покупателем по имени Джонатан Сприггс из компании Storex Trading Ltd., который якобы нашел получателя через LinkedIn и хочет обсудить крупный заказ на 12 000 единиц...

Ваш почтовый клиент Microsoft Outlook устарел....

Фишинг, Спам
Письма с сообщением «Ваш почтовый клиент Microsoft Outlook устарел» — это фишинговые сообщения, замаскированные под официальные уведомления о безопасности от Microsoft Outlook. В письмах получателей предупреждают о том, что их почтовый клиент якобы устарел, и утверждают, что несвоевременное обновление может привести к потере электронных писем, контактов, календарей, встреч и других важных...

Clicksafetychallenge.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Специалисты по информационной безопасности выявили Clicksafetychallenge.co.in как мошенническую веб-страницу, созданную для обмана посетителей с целью получения разрешения на включение уведомлений...

Наиболее просматриваемые

Загрузка...