Ransomvér Zeo

Ochrana osobných a firemných systémov pred deštruktívnym malvérom je nevyhnutná, pretože jediné narušenie môže viesť k dlhodobým následkom. Ransomware zostáva jednou z najničivejších hrozieb v obehu a Zeo Ransomware je ukážkovým príkladom sofistikovanosti, ktorú dosiahli moderné vydieračské operácie.

Nový variant so známymi koreňmi

Kvôli vírusu Zeo sa objavila počas bežného monitorovania hrozieb a rýchlo bola prepojená s dlhodobo rozšírenou rodinou ransomvéru Dharma. Po narušení systému šifruje dáta a mení názvy súborov pridaním ID špecifického pre obeť, e-mailovej adresy útočníkov a prípony „.zeo“. Typickým príkladom je transformovaný súbor, ako napríklad „1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo“.

Po fáze šifrovania Zeo doručí dve správy s výkupným: kontextové okno s rozšírenými pokynmi a textový súbor s názvom „info.txt“. Obe správy zdôrazňujú, že jediný spôsob, ako obnoviť prístup, je kontaktovať útočníkov a zaplatiť výkupné v bitcoinoch. Vyskakovacie okno sa snaží vybudovať dôveru tým, že ponúka obmedzený bezplatný dešifrovací test a zároveň hrozí nezvratným poškodením, ak obete upravia súbory alebo sa pokúsia o nezávislú obnovu.

Ako Zeo funguje pod kapotou

Podobne ako iné varianty Dharmy, aj Zeo sa zameriava na šifrovanie údajov uložených lokálne aj v sieťových umiestneniach. Stabilita systému je zachovaná, pretože Zeo sa vyhýba manipulácii s kritickými komponentmi operačného systému. Aby sa predišlo chybám počas šifrovania, ukončuje procesy viazané na súbory, ktoré sú aktuálne otvorené, ako sú databázové nástroje a prehliadače dokumentov.

Ransomvér obsahuje niekoľko behaviorálnych ochranných opatrení. Kontroluje zhromaždené geolokačné údaje, aby určil, či má pokračovať v útokoch, pričom sa potenciálne vyhýba regiónom, ktoré môžu byť nerentabilné alebo politicky citlivé. Zahŕňa tiež mechanizmus určený na zabránenie dvojitému šifrovaniu, hoci logika vylúčenia je neúplná a nezohľadňuje každú rodinu ransomvéru.

Perzistencia sa dosahuje dvoma hlavnými metódami: kopírovaním do adresára %LOCALAPPDATA% a registráciou položiek automatického spustenia pod špecifickými kľúčmi Spustiť. Zeo navyše vymaže tieňové kópie zväzku, aby odstránil vstavané možnosti obnovy, na ktoré by sa používatelia inak mohli spoliehať.

Vektory infekcie a taktika šírenia

Hrozby založené na Dharme často infiltrujú systémy prostredníctvom odhalených alebo slabo zabezpečených služieb Remote Desktop Protocol. Útočníci sa na získanie prístupu spoliehajú na útoky hrubou silou a slovníkové útoky a napadnuté systémy môžu mať krátko po prieniku oslabené alebo deaktivované firewally.

Prevládajú aj iné distribučné cesty. Útočníci sa často spoliehajú na klamlivé e-maily, škodlivé prílohy, kompromitované sťahovanie, podvodné aktualizácie, cracky a pirátsky obsah. Nebezpečné dáta sa objavujú v mnohých formátoch vrátane archívov, spustiteľných súborov, dokumentov, súborov JavaScript a ďalších. V niektorých prípadoch sa malvér šíri laterálne do iných zariadení v rovnakej sieti alebo prostredníctvom prenosného úložiska.

Prečo zaplatenie výkupného nie je bezpečné riešenie

Obete majú zriedkavo technické prostriedky na dešifrovanie súborov napadnutých moderným ransomvérom. Pokiaľ malvér neobsahuje kritickú chybu, iba operátori majú potrebné kľúče. Zaplatenie výkupného však nezaručuje, že útočníci doručia funkčný dešifrovací program a obete často prichádzajú o svoje peniaze aj údaje. Financovanie takýchto operácií tiež podporuje ďalšiu trestnú činnosť.

Odstránenie ransomvéru je nevyhnutné na zabránenie ďalšiemu poškodeniu, ale odstránenie Zeo neobnoví šifrované súbory. Obnova je možná iba prostredníctvom čistých záloh uložených na samostatných miestach, ako sú offline zariadenia alebo zabezpečené vzdialené servery.

Posilnenie zabezpečenia zariadení

Viacvrstvový prístup drasticky znižuje riziko napadnutia ransomvérom. Nasledujúce postupy pomáhajú posilniť dlhodobú odolnosť:

Základné preventívne opatrenia

Udržujte prísnu kontrolu nad prístupom k protokolu vzdialenej pracovnej plochy (Remote Desktop Protocol) používaním silných a jedinečných prihlasovacích údajov, zakázaním externého prístupu, keď je to potrebné, a vynucovaním overovania s obmedzením rýchlosti alebo viacfaktorového overovania.

Okamžite nainštalujte aktualizácie zabezpečenia v celom operačnom systéme, nainštalovanom softvéri a sieťovo vystavených komponentoch.

Ďalšie odporúčania osvedčených postupov

Uchovávajte spoľahlivé zálohy s verziami na viacerých izolovaných miestach vrátane offline alebo nemenného úložiska.

• Používajte renomované bezpečnostné nástroje na monitorovanie podozrivej aktivity a blokovanie škodlivého softvéru pred jeho spustením.
• K nevyžiadaným e-mailom, prílohám a ponukám na stiahnutie pristupujte skepticky, najmä k tým, ktoré sa vydávajú za legitímne organizácie alebo ponúkajú bezplatný softvér.
• Vyhýbajte sa pirátskemu softvéru, nedôveryhodným portálom na sťahovanie a pochybným reklamám v prehliadači.
• Vždy, keď je to možné, obmedzte administrátorské oprávnenia a zabezpečte, aby sa každodenné úlohy vykonávali pomocou účtov, ktoré nie sú administrátorskými účtami.

Kombináciou disciplinovanej hygieny systému s robustnými kontrolami prístupu a dobre udržiavanými zálohami používatelia výrazne znižujú svoju expozíciu voči hrozbám, ako je Zeo Ransomware, a sú lepšie pripravení na rýchlu obnovu v prípade útoku.