Ransomvér Solara

Solara je nedávno objavený kmeň ransomvéru, o ktorom výskumníci tvrdia, že je postavený na verejne šírenom kóde rodiny Chaos. Ransomvér ako Solara šifruje používateľské súbory, požaduje platbu a môže natrvalo narušiť prístup k dôležitým údajom, takže ochrana zariadení a záloh je nevyhnutná.

ČO ROBÍ SOLARA

Počas analýzy bolo pozorované, že Solara šifruje súbory a k názvom súborov pripája textový reťazec „.solara“ (napríklad „1.png“ → „1.png.solara“). Malvér tiež odosiela výzvu na výkupné s názvom „read_it.txt“, ktorá tvrdí, že obeť spustila „ochranu proti cracku“ a nariaďuje obetiam, aby si od online aktéra zaobstarali dešifrovací nástroj. Niekoľko článkov a analýz vzoriek spája Solaru s rodinou ransomvéru Chaos a opisuje podobné správanie (šifrovanie, nahradenie prípon a výzva na výkupné v otvorenom texte).

VÝKUPNÝ POUKÁŽOK A NÁROKY NA PLATBU

V správe s výkupným, ktorú preskúmali analytici, sa tvrdí, že obnova súborov je „takmer nemožná“ bez dešifrovacieho nástroja útočníka. Správa obsahuje pokyny pre obete, aby kontaktovali používateľa Discordu (xenqxd) a navrhuje možnosti platby, ako napríklad Paysafecard (v Poľsku) alebo malú sumu v bitcoinoch. Je pozoruhodné, že niektoré vzorky vynechávajú zmysluplné kontaktné kanály, čo môže naznačovať nezrelú alebo žartovú kampaň, alebo operátorov, ktorí jednoducho neočakávajú vyjednávanie. Všetky takéto požiadavky treba brať s mimoriadnym podozrením.

MÔŽETE OBNOVIŤ SÚBORY BEZ PLATENIA?

Vo všeobecnosti nie je možné obnoviť súbory zašifrované hrozbami z rodiny Chaos bez správneho dešifrovacieho kľúča. Ak máte čisté, offline zálohy z obdobia pred infekciou, ich obnovenie je najbezpečnejšou odporúčanou cestou. Platenie sa neodporúča, zločinci často nedodávajú použiteľné dešifrovacie programy a platenie finančných prostriedkov ďalej podporuje trestnú činnosť.

BEŽNÉ PRENÁŠAČE INFEKCIE

• Pirátsky softvér, keygeny a „cracknuté“ nástroje maskované škodlivým softvérom.
• Škodlivé e-mailové prílohy a odkazy (makrá balíka Office, skripty, súbory EXE).
• Infikované reklamy, kompromitované alebo neoficiálne stránky na sťahovanie, siete P2P/torrent, USB disky a sťahovacie programy tretích strán.

OKAMŽITÉ OPATRENIA PRI PODOZRENÍ NA INFEKCIU

Okamžite izolujte zariadenie : odpojte sa od sietí (káblových/Wi-Fi) a odpojte všetky zdieľané/sieťové disky, aby ste zabránili šíreniu vírusu.

Zachovanie dôkazov : nevypínajte a nezapínajte počítač, ak zhromažďujete pamäť alebo forenzné artefakty, namiesto toho zaznamenávajte obrazy pamäte a disku, ak máte na to možnosti, alebo zavolajte oddelenie reakcie na incidenty.

Používajte zálohy : Po odstránení škodlivého softvéru a obnovení systémov obnovte systém z dôveryhodných záloh; neobnovujte zálohy, ktoré mohli byť pripojené v čase infekcie.

Neplaťte, pokiaľ tím pre reakciu na incidenty neposúdil všetky možnosti a dôsledky; platba nie je zaručená a môže viesť k budúcim útokom.

NAJLEPŠIE BEZPEČNOSTNÉ POSTUPY

Udržiavajte aktuálnu, viacvrstvovú obranu, ktorá zahŕňa nasledujúce postupy v každodennej prevádzke:

Správa záplat : okamžite nainštalujte aktualizácie operačného systému a aplikácií; mnohé kmene ransomvéru zneužívajú známe a opravené zraniteľnosti.

Najnižšie privilégiá a hygiena účtov : spúšťajte používateľov s účtami bez administrátorských oprávnení, vynucujte silnú viacfaktorovú autentifikáciu pre vzdialený prístup a privilegované účty a monitorujte nezvyčajné správanie pri prihlasovaní.

Stratégia zálohovania : Pravidelne vytvárajte zálohy a uchovávajte ich oddelene od siete. Zálohy sú koniec koncov najúčinnejšou kontrolou obnovy proti šifrovacím útokom.

Ochrana koncových bodov a EDR : nasaďte renomované riešenia detekcie a reakcie na koncové body, ktoré dokážu odhaliť anomálie vykonávania, blokovať škodlivé dáta a umožniť rýchle obmedzenie. Udržujte signatúry a telemetriu zapnuté.

Vzdelávanie používateľov a odolnosť voči phishingu : vyškoliť používateľov, aby sa vyhýbali používaniu crackov/keygenov, overovali odosielateľov e-mailov a odkazy a aby s neočakávanými prílohami zaobchádzali s podozrením. Simulované phishingové a osvetové kampane znižujú ľudský rizikový faktor.

Ovládacie prvky aplikácií a obmedzenia makier : predvolene zakážte makrá balíka Office, blokujte spúšťanie z bežných umiestnení zneužívania (napr. %AppData%, dočasné priečinky) a v prípade potreby používajte zoznam povolených aplikácií.

ZÁVEREČNÉ POZNÁMKY

Solara ilustruje bežné riziká spojené s verejne dostupnými nástrojmi na tvorbu ransomvéru: množia sa forky a varianty a útočníci neustále prispôsobujú distribučné metódy tak, aby zacielili na konkrétne komunity (správy označujú herné fóra a kanály s pirátskym softvérom ako pravdepodobné lákadlá). Najlepšou obranou je prevencia, silné zálohy, rýchle obmedzenie a spolupráca s vyškolenými reakčnými tímami, nie platenie výkupného. Ak máte podozrenie na kompromitáciu a potrebujete podrobnú pomoc s vyčistením, zhromaždte vzorové indikátory (názvy súborov, haše, text výzvy na výkupné) a poraďte sa s dôveryhodným poskytovateľom reakcie na incidenty alebo s dodávateľom bezpečnostných služieb, aby vám poradil s obmedzením a obnovením.