Solara Ransomware

Solara — недавно обнаруженный штамм вируса-вымогателя, который, по словам исследователей, основан на общедоступном коде семейства Chaos. Такие программы-вымогатели, как Solara, шифруют пользовательские файлы, требуют оплаты и могут полностью лишить доступа к важным данным, поэтому защита устройств и резервных копий имеет решающее значение.

ЧТО ДЕЛАЕТ СОЛАРА

В ходе анализа было замечено, что Solara шифрует файлы и добавляет текстовую строку «.solara» к именам файлов (например, «1.png» → «1.png.solara»). Вредоносная программа также отправляет записку с требованием выкупа «read_it.txt», в которой утверждается, что жертва активировала защиту от взлома, и предлагается получить инструмент дешифрования у онлайн-агента. Несколько отчетов и примеров анализа связывают Solara с семейством программ-вымогателей Chaos и описывают схожее поведение (шифрование, подмена расширения и отправка записки с требованием выкупа открытым текстом).

ЗАПИСКА О ВЫКУПЕ И ПЛАТЕЖНЫЕ ПРЕТЕНЗИИ

В сообщении с требованием выкупа, изученном аналитиками, утверждается, что восстановление файлов «практически невозможно» без дешифровального инструмента злоумышленника. В сообщении жертвам предлагается связаться с пользователем Discord (xenqxd) и предлагаются варианты оплаты, такие как Paysafecard (в Польше) или небольшая сумма в биткоинах. Примечательно, что в некоторых образцах не указаны значимые каналы связи, что может указывать на незрелую или похожую на розыгрыш кампанию, или на то, что операторы просто не готовы к переговорам. Относитесь ко всем подобным требованиям с крайним подозрением.

МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ БЕЗ ПЛАТ?

Как правило, файлы, зашифрованные вредоносными программами семейства Chaos, невозможно восстановить без ключа дешифрования. Если у вас есть чистые резервные копии, созданные до заражения, их восстановление — самый безопасный способ. Платить за расшифровку не рекомендуется, поскольку злоумышленники часто не предоставляют пригодные для использования дешифраторы, а оплата финансирования способствует дальнейшей преступной деятельности.

РАСПРОСТРАНЕННЫЕ ПЕРЕНОСЧИКИ ИНФЕКЦИЙ

• Пиратское ПО, кейгены и «взломанные» утилиты, замаскированные под вредоносное ПО.
• Вредоносные вложения и ссылки в электронных письмах (макросы Office, скрипты, EXE-файлы).
• Заражённые рекламные объявления, взломанные или неофициальные сайты загрузки, сети P2P/торренты, USB-накопители и сторонние загрузчики.

НЕМЕДЛЕННЫЕ ДЕЙСТВИЯ, ЕСЛИ ВЫ ПОДОЗРЕВАЕТЕ ИНФЕКЦИЮ

Немедленно изолируйте машину : отключите ее от сетей (проводных/Wi-Fi) и отключите все общие/сетевые диски, чтобы остановить горизонтальное распространение.

Сохраните доказательства : не выключайте и не включайте питание, если вы собираете воспоминания или криминалистические артефакты, вместо этого сделайте снимки памяти и дисков, если у вас есть такая возможность, или позвоните в службу реагирования на инцидент.

Используйте резервные копии : восстановите данные из надежных резервных копий после удаления вредоносного ПО и переустановки системы; не восстанавливайте резервные копии, которые могли быть подключены во время заражения.

Не платите, пока группа реагирования на инциденты не оценит все варианты и последствия; оплата не гарантирует эффективность и может спровоцировать будущие атаки.

ЛУЧШИЕ ПРАКТИКИ БЕЗОПАСНОСТИ

Поддерживайте актуальную многоуровневую защиту, включающую в себя следующие практики в повседневной работе:

Управление исправлениями : своевременно применяйте обновления безопасности ОС и приложений; многие виды программ-вымогателей используют известные и исправленные уязвимости.

Минимальные привилегии и гигиена учетных записей : управление пользователями с учетными записями без прав администратора, применение строгой многофакторной аутентификации для удаленного доступа и привилегированных учетных записей, а также отслеживание необычного поведения при входе в систему.

Стратегия резервного копирования : регулярно создавайте резервные копии и храните их отдельно от сети. В конце концов, резервные копии — это самый эффективный способ восстановления данных после атак шифрования.

Защита конечных точек и EDR : разверните надежные решения для обнаружения и реагирования на конечные точки, которые могут обнаруживать аномалии выполнения, блокировать вредоносные данные и обеспечивать быструю локализацию. Не отключайте сигнатуры и телеметрию.

Обучение пользователей и противодействие фишингу : научите их избегать использования кряков/кейгенов, проверять отправителей писем и ссылки, а также относиться с подозрением к неожиданным вложениям. Моделирование фишинга и информационные кампании снижают человеческий фактор риска.

Элементы управления приложениями и ограничения на макросы : отключите макросы Office по умолчанию, заблокируйте выполнение из распространенных мест злоупотребления (например, %AppData%, временные папки) и используйте список разрешенных приложений, где это возможно.

ЗАКЛЮЧИТЕЛЬНЫЕ ЗАМЕЧАНИЯ

Solara иллюстрирует распространённые риски, связанные с общедоступными конструкторами программ-вымогателей: форки и варианты распространяются всё чаще, а злоумышленники постоянно адаптируют методы распространения, ориентируясь на определённые сообщества (в отчётах игровые форумы и каналы распространения пиратского ПО упоминаются как потенциальные приманки). Лучшая защита — это профилактика, надёжное резервное копирование, быстрое сдерживание и работа с обученными группами реагирования, а не выплата выкупа. Если вы подозреваете взлом и нуждаетесь в пошаговой помощи по устранению проблемы, соберите примеры индикаторов (имена файлов, хэши, текст записки с требованием выкупа) и обратитесь к проверенному поставщику услуг реагирования на инциденты или вашему поставщику услуг безопасности за рекомендациями по сдерживанию и восстановлению.