2700 Ransomware

Različica izsiljevalske programske opreme, identificirana kot 2700, je bila odkrita med analizo potencialnih groženj zlonamerne programske opreme. Ta škodljiva programska oprema uporablja mehanizem za šifriranje datotek, kjer šifrira datoteke in doda določene informacije imenom datotek. Priloženi podatki vključujejo ID žrtve, e-poštni naslov sqlback@memeware.net in končnico '.2700'.

Poleg operacij šifriranja 2700 pusti za seboj dve opombi o odkupnini, imenovani 'info.txt' in 'info.hta', kot del svojega načina delovanja. Te opombe običajno vsebujejo navodila in zahteve napadalcev glede plačila odkupnine za ključ za dešifriranje.

Za ponazoritev, kako 2700 spreminja imena datotek, razmislite o naslednjih primerih: '1.png' se lahko pretvori v '1.jpg.id[9ECFA74E-3524].[sqlback@memeware.net].2700' in '2.doc' lahko postane '2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700.' Ta vzorec preimenovanja datotek prikazuje dosledno metodo, ki jo uporablja 2700 pri dodajanju informacij, specifičnih za žrtve, v šifrirane datoteke. Uporabniki, ki naletijo na to različico izsiljevalske programske opreme, morajo biti previdni in uporabiti ustrezne varnostne ukrepe za zaščito svojih podatkov in sistemov. Izsiljevalska programska oprema 2700 je bila povezana z družino zlonamerne programske opreme Phobos .

Izsiljevalska programska oprema 2700 svoje žrtve izsiljuje za denar tako, da vzame podatke za talca

Obvestilo o odkupnini, povezano z izsiljevalsko programsko opremo 2700, vsebuje podrobna navodila za žrtve, da vzpostavijo stik s storilci prek navedenega e-poštnega naslova, sqlback@memeware.net, z uporabo edinstvenega ID-ja, navedenega v zadevi sporočila. Zahteva po odkupnini, ki se običajno plača v bitcoinih, se razlikuje glede na hitrost odziva žrtve na obvestilo o odkupnini.

Da bi spodbudili skladnost, opomba ponuja omejeno možnost žrtvam, da pošljejo do 2 datoteki za brezplačno dešifriranje, pod pogojem, da skupna velikost ne presega 2 megabajtov in se datoteke štejejo za nepomembne. Navodila prav tako vodijo žrtve glede postopka pridobivanja bitcoinov, svarijo pred preimenovanjem šifriranih datotek in odsvetujejo poskus dešifriranja s programsko opremo tretjih oseb, kar lahko povzroči trajno izgubo podatkov.

Pomembno je, da 2700 izvaja strateške ukrepe za ogrožanje obrambe ciljnega sistema. Onemogoči požarni zid, temeljni varnostni ukrep, s čimer oslabi celotno zaščito sistema. Poleg tega izsiljevalska programska oprema odpravi kopije senčnih nosilcev in prepreči morebitne poti za obnovitev podatkov. Z izkoriščanjem ranljivosti v storitvah protokola oddaljenega namizja (RDP) 2700 pridobi nepooblaščen dostop s pomočjo grobe sile in napadov s slovarjem, zlasti v sistemih s slabo upravljanimi poverilnicami računa.

Poleg funkcionalnosti šifriranja in kompromisa ima 2700 še napredne zmogljivosti. Zbira podatke o lokaciji in ima zmožnost izključevanja določenih vnaprej določenih lokacij, s čimer poveča svojo dolgo življenjsko dobo in učinek. Zaradi teh večplastnih taktik je 2700 mogočna grožnja, kar poudarja pomen celovitih praks kibernetske varnosti in povečane ozaveščenosti za preprečevanje njegovih škodljivih učinkov.

Najpomembnejše je vzpostaviti zanesljive varnostne ukrepe na vseh napravah

Zaščita naprav pred grožnjami izsiljevalske programske opreme zahteva celovit pristop, ki vključuje kombinacijo preventivnih ukrepov in proaktivnih praks. Tukaj so bistveni ukrepi, ki jih morajo uporabniki vedno izvajati, da zaščitijo svoje naprave pred izsiljevalsko programsko opremo:

• Redne varnostne kopije : Ustvarjanje rednih varnostnih kopij vaših pomembnih podatkov v zunanjem pomnilniku in pomnilniku brez povezave je ključnega pomena. To zagotavlja, da lahko uporabniki, tudi če je naprava ogrožena, obnovijo prizadete datoteke, ne da bi podlegli zahtevam po odkupnini.
• Varnostna programska oprema : namestite priznano programsko opremo proti zlonamerni programski opremi na vse naprave. Nato poskrbite, da bo programska oprema posodobljena in izvajajte redne preglede, da odkrijete in odstranite potencialne grožnje, vključno z izsiljevalsko programsko opremo.
• Posodobitve programske opreme : vedno namestite nove posodobitve za vašo programsko opremo in operacijski sistem, vedno posodobljen z najnovejšimi varnostnimi popravki. Redne posodobitve pomagajo zapreti ranljivosti, ki jih lahko izkoriščajo izsiljevalska in druga zlonamerna programska oprema.
• Zavedanje o varnosti e-pošte : Bodite previdni, ko odpirate e-poštne priloge ali se odzivate na povezave, zlasti v e-poštnih sporočilih iz neznanih ali sumljivih virov. Bodite pozorni na poskuse lažnega predstavljanja, kar je običajna metoda za sprožitev napadov z izsiljevalsko programsko opremo.
• Izobraževanje uporabnikov : poučite sebe in svoje uporabnike o nevarnostih izsiljevalske programske opreme. Usposobite jih, da bodo znali prepoznati poskuse lažnega predstavljanja, sumljive povezave in pomembnost, da ne prenašajo datotek iz nezaupljivih virov.
• Načelo najmanjših privilegijev: Sprejmite načelo najmanjših privilegijev. Uporabniške pravice do dostopa omejite samo na tisto, kar je potrebno za njihovo vlogo, s čimer zmanjšate potencialni vpliv, če je račun ogrožen.
• Segmentacija omrežja : izvedite segmentacijo omrežja, da izolirate kritične sisteme od ostalega omrežja. To preprečuje bočno premikanje izsiljevalske programske opreme znotraj omrežja.

Z doslednim izvajanjem teh ukrepov lahko uporabniki znatno povečajo varnost svojih naprav in zmanjšajo verjetnost, da bi postali žrtev napadov izsiljevalske programske opreme.

Žrtvam izsiljevalske programske opreme 2700 ostane naslednje obvestilo o odkupnini:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'