Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Ransomvér NeZha

Ransomvér NeZha

Do roku Mezo v roku Ransomware
Preložiť do:

Ransomvér zostáva jednou z najničivejších hrozieb, ktorým čelia jednotlivci aj organizácie. Jediný úspešný útok môže zastaviť prevádzku, poškodiť alebo odcudziť citlivé údaje a spustiť nákladné úsilie o obnovu. Budovanie silnej, viacvrstvovej obrany pred incidentom je jediný spoľahlivý spôsob, ako minimalizovať dopad, keď, a nie ak, útočníci pokúšajú šťastie.

Prehľad hrozieb

Výskumníci identifikovali sofistikovaný kmeň ransomvéru s názvom NeZha. Rovnako ako u iných rodín v tejto kategórii, aj hlavný cieľ NeZha je jednoduchý: zašifrovať čo najviac súborov a potom vynútiť platbu za dešifrovací kľúč. Jeho operátori sa prezentujú ako jediná cesta k obnove a zosilňujú tlak časovými obmedzeniami a hrozbami úniku údajov.

Správanie v systéme a zmeny súborov

Keď sa NeZha uchytí, začne šifrovať používateľské a obchodné údaje na bežných miestach. Počas šifrovania tiež premenuje položky pridaním identifikátora špecifického pre obeť a prípony „.NeZha“. V pozorovaných prípadoch názvy súborov získajú ID podobné GUID; napríklad neškodný súbor, ako napríklad „1.png“, sa zmenil na názov podobný „1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha“. Po dokončení prechodu NeZha vloží do postihnutých adresárov správu s výkupným s názvom „README.TXT“.

Výkupné a nátlakové taktiky

V správe sa uvádza, že databázy, dokumenty, fotografie a ďalšie súbory sú šifrované a že jediným riešením je zakúpenie dešifrovacieho kľúča od útočníkov. Aby si zločinci vybudovali dôveryhodnosť, často ponúkajú bezplatné dešifrovanie jedného nekritického súboru. Varujú pred úpravou uzamknutých súborov, používaním dešifrovacích programov tretích strán alebo vyhľadávaním vonkajšej pomoci s tvrdením, že to zvýši straty. Na prvý kontakt je stanovená 24-hodinová lehota; ak ju operátori zmeškajú, vyhrážajú sa únikom alebo predajom citlivých firemných údajov, o ktorých tvrdia, že ich odcudzili, čo je príklad „dvojitého vydierania“.

Realita vymáhania a platobná dilema

Technicky vzaté, väčšinu moderného ransomvéru nemožno dešifrovať bez súkromných kľúčov útočníkov, pokiaľ malvér nie je vážne chybný, čo je nezvyčajný scenár. Platenie je však riskantné a neodporúča sa: mnohé obete nikdy nedostanú funkčné dešifrovacie programy ani po prevode finančných prostriedkov a platba podporuje trestnú činnosť. Bezpečnejšou cestou je spoľahnúť sa na čisté, offline zálohy a formálnu reakciu na incident.

Zadržanie a odstránenie

Odstránenie NeZha zastaví ďalšie šifrovanie, ale neodomkne už postihnuté súbory. Prioritou by mala byť izolácia infikovaných systémov od siete, zachovanie dôkazov pre forenznú analýzu, odstránenie škodlivého softvéru pomocou renomovaných nástrojov alebo čistej prestavby a následná obnova zo známych dobrých záloh. Ak máte podozrenie na únik údajov, aktivujte plán reakcie na narušenie a zvážte právne, regulačné a zákaznícke povinnosti v oblasti informovania.

Ako sa NeZha zvyčajne šíri

NeZha sa riadi postupmi mnohých ransomvérových kampaní a využíva metódy doručovania riadené používateľmi aj útočníkmi. Útočníci môžu maskovať užitočné dáta ako legitímny obsah alebo ich prepašovať do softvérových balíkov a potom spustiť vykonanie pri otvorení súboru alebo spustení skriptu. Niektoré varianty sa tiež môžu šíriť laterálne v lokálnych sieťach alebo sa kopírovať na vymeniteľné médiá.

Bežné vektory doručenia

  • Phishing a sociálne inžinierstvo vedúce k otváraniu nastražených príloh (Office/OneNote/PDF), skriptov (JavaScript), archívov (ZIP/RAR) alebo spustiteľných súborov (.exe/.run).
  • Inštalačné programy, zavádzacie programy a zadné vrátka s trojanským koňom, ktoré ako druhú fázu ťahajú ransomvér.
  • Nežiaduce sťahovanie a klamlivé sťahovanie z napadnutých alebo škodlivých stránok.
  • Nedôveryhodné zdroje sťahovania (freeware portály, zrkadlá tretích strán, P2P siete).
  • Spamové kampane, online podvody a škodlivá reklama, ktorá presmeruje na užitočné zaťaženie.
  • Nelegálne aktivačné nástroje („cracky“), pirátsky softvér/médiá a falošné výzvy na aktualizáciu.
  • Samošírenie prostredníctvom lokálnych sietí a vymeniteľných úložísk (USB disky, externé pevné disky).

Záverečné myšlienky

NeZha zapadá do modernej formy ransomvéru: rýchle šifrovanie, silné donucovanie a dôveryhodné hrozby úniku údajov. Najlepšiu výhodu získate ešte pred incidentom prostredníctvom prísnej hygieny, viacvrstvových kontrol, testovaných záloh a precvičenej reakcie. Kombinujte technické záruky so vzdelávaním používateľov a disciplinovanými operáciami, aby ste znížili pravdepodobnosť aj dosah útoku NeZha.

Správy

Boli nájdené nasledujúce správy spojené s číslom Ransomvér NeZha:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Trendy

Najviac videné

Načítava...