Ransomvér Bash 2.0
Ransomvér zostáva jednou z najničivejších hrozieb, ktorým čelia jednotlivci a organizácie. Jediný úspešný útok môže pokaziť vaše súbory, zastaviť obchodné operácie a vydať citlivé údaje na milosť a nemilosť vydieračom. Proaktívna ochrana, vrstvené bezpečnostné kontroly, ostražitosť používateľov a spoľahlivé zálohy budú vždy stáť menej ako platiť zločincom (a stále nedostávať späť svoje údaje). Ransomvér Bash 2.0, tiež sledovaný ako Bash Red, je včasnou pripomienkou toho, že vznikajúce rodiny naďalej iterujú na overenom útočnom kóde a zároveň zdokonaľujú svoje nátlakové taktiky proti obetiam.
Obsah
ZOZNÁMTE SA S BASH 2.0 (BASH RED)
Výskumníci identifikovali Bash 2.0 pri prieskume aktivít nového malvéru. Hrozba je postavená na kódovej základni ransomvéru Chaos, čo je rámec, ktorý bol opätovne použitý vo viacerých spin-offoch. Využitie Chaosu dáva útočníkom náskok: základné šifrovanie, manipulácia so súbormi a rutiny pre výkupné sú už k dispozícii a je možné ich prispôsobiť pre nové kampane. Bash 2.0 využíva tieto zdedené schopnosti na uzamknutie údajov a vynútenie platieb.
ČO SA STANE S VAŠIMI SÚBORMI
Keď sa Bash 2.0 spustí v systéme, pokúsi sa zašifrovať prístupné dáta. Každý postihnutý súbor dostane ďalšiu príponu zloženú zo štyroch náhodných znakov, čím sa niečo ako „1.png“ zmení na „1.png.2rf9“ (náhodná prípona sa líši v závislosti od infekcie). Táto konvencia premenovania pomáha útočníkom (a automatizovaným nástrojom) sledovať, čo bolo uzamknuté, a zároveň okamžite signalizuje obetiam, že ich dáta už nie sú použiteľné. Ransomvér tiež mení tapetu pracovnej plochy, aby vizuálne zdôraznil vydieračskú správu.
SPRÁVA O VÝKUPNOM: BASHRED-README.TXT
Po dokončení šifrovania Bash 2.0 odošle textovú správu s názvom „bashred-reAdmE.txt“. Správa informuje obeť, že súbory sú šifrované a tvrdí, že jedinou schodnou cestou k obnoveniu je získať od útočníkov jedinečný dešifrovací kľúč a softvér. Obeťam je nariadené nadviazať kontakt a zaplatiť; správa varuje, že premenovanie, úprava alebo pokus o nezávislé dešifrovanie uzamknutých údajov by ich mohol natrvalo poškodiť. Zmena tapety zvyčajne odráža rovnaké témy, čo zvyšuje naliehavosť.
AKO REÁLNA JE OBNOVA DÁT?
Vo väčšine incidentov s ransomvérom je dešifrovanie bez spolupráce útočníkov technicky nemožné, pretože šifrovanie je navrhnuté tak, aby bolo kryptograficky silné. Len v zriedkavých prípadoch, zvyčajne keď autori malvéru urobia závažné chyby v implementácii, je dešifrovanie možné bez ich zapojenia. Ani platba nie je zárukou: obete pravidelne hlásia, že nikdy nedostali funkčné nástroje, dostali čiastočné dešifrovacie programy alebo narazili na poškodené kľúče. Platba tiež financuje ďalšie kriminálne operácie, čo z vás môže urobiť opakovaný cieľ. Z týchto dôvodov bezpečnostní odborníci dôrazne neodporúčajú plniť požiadavky na výkupné.
ZASTAVENIE KRVÁCANIA: ODSTRÁNENIE A ZADRŽANIE
Odstránenie vírusu Bash 2.0 z infikovaného prostredia je nevyhnutné na zabránenie šifrovania ďalších súborov a na zabránenie šírenia hrozby do pripojených systémov. Vyčistenie od škodlivého softvéru však nedešifruje už uzamknuté dáta. Skutočná obnova závisí od bezpečných, offline a nenarušených záloh. Pred obnovou izolujte postihnuté počítače od siete, vykonajte úplnú kontrolu škodlivého softvéru pomocou aktualizovaných nástrojov a v prípade, že nie je možné zaručiť dôveryhodnosť, prestavte počítač alebo vytvorte nový obraz systému. Obnovené systémy znova pripojte až po overení, že sú čisté.
AKO SA BASH 2.0 ŠÍRI VO VOĽNEJ DIVOČINE
Útočníci majú širokú sieť. Medzi bežné distribučné vektory spojené s ransomvérovými kampaňami a relevantné pre Bash 2.0 patria:
- Škodlivé prílohy alebo odkazy doručené prostredníctvom spamu, spear-phishingu alebo platforiem sociálnych správ.
- Inštalačné programy s trójskymi koňmi, ktoré sú súčasťou balenia alebo sa vydávajú za legitímny softvér, hry, mediálne kodeky alebo nástroje na zvýšenie produktivity.
- Drive-by sťahovanie spustené prostredníctvom napadnutých alebo škodlivých stránok, často dosiahnutých prostredníctvom škodlivej reklamy.
- Kanály na sťahovanie tretích strán, freeware a peer-to-peer so slabou kontrolou integrity.
- Nelegálne softvérové „cracky“, keygeny a falzifikačné aktivačné nástroje, ktoré ticho doručujú užitočné zaťaženie.
- Falošné výzvy na aktualizáciu (prehliadač, doplnok, operačný systém alebo aplikácia), ktoré namiesto záplat inštalujú malvér.
Niektoré zostavy hrozieb sú schopné laterálneho pohybu alebo samošírenia, pričom sa pokúšajú prechádzať lokálnymi sieťami alebo sa kopírovať na vymeniteľné médiá, ako sú USB kľúče a externé disky.
NAJLEPŠIE BEZPEČNOSTNÉ POSTUPY NA POSILNENIE VAŠEJ OBRANY
- Udržiavajte zálohy s verziami, offline a pravidelne testované. Uchovávajte aspoň jednu sadu záloh mimo siete (preferované je nemenné úložisko alebo médium s možnosťou jednorazového zápisu).
- Udržujte operačné systémy, aplikácie, bezpečnostné balíky a firmvér plne aktualizované. V prípade potreby povoľte automatické aktualizácie.
- Nasaďte renomované riešenia proti malvéru/EDR s detekciou behaviorálneho ransomvéru a možnosťami vrátenia zmien.
- Na zníženie rizika phishingu používajte filtrovanie e-mailov, sandboxovanie príloh a brány na skenovanie odkazov; vyškoľte používateľov, ako rozpoznávať falošných odosielateľov a neočakávané prílohy.
- Zakázať alebo obmedziť makrá a aktívny obsah vo formátoch dokumentov; otvoriť nevyžiadané dokumenty v chránenom zobrazení.
- Pracujte s používateľskými účtami s najnižšími oprávneniami; vyhradzujte si administrátorské poverenia pre vyhradené, zabezpečené relácie.
- Segmentujte siete a vynucujte riadenie prístupu tak, aby jeden ohrozený koncový bod nemohol dosiahnuť všetky kritické zdieľané siete.
- Vyžadovať viacfaktorové overovanie pre vzdialený prístup, privilegované akcie a zálohovacie konzoly na správu.
- Vypnite automatické spustenie/prehrávanie na vymeniteľných médiách; pred pripojením k produkčným systémom skontrolujte externé disky.
ZÁVEREČNÉ MYŠLIENKY
Ransomvér Bash 2.0 ilustruje, ako rýchlo môžu útočníci premeniť existujúce kódové bázy na nové nástroje na vydieranie. Obrancovia, ktorí sa spoliehajú výlučne na detekciu založenú na podpisoch alebo reakciu na poslednú chvíľu, zostanú v nevýhode. Kombináciou disciplinovaných stratégií zálohovania, silnej hygieny záplat, viacvrstvovej obrany koncových bodov a e-mailov, návrhu s najnižšími privilégiami a precvičených postupov reakcie dramaticky znížite pravdepodobnosť aj dopad udalosti ransomvéru.
Správy
Boli nájdené nasledujúce správy spojené s číslom Ransomvér Bash 2.0:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
