Izsiljevalska programska oprema DeadLock

Sodobne kampanje izsiljevalske programske opreme so namensko zasnovane tako, da vaše osebne ali organizacijske podatke spremenijo v prednost. Ko so kritične datoteke šifrirane, imajo napadalci vse karte v rokah, razen če se na to vnaprej pripravite. Močna varnostna higiena, večplastna obramba in odporne strategije varnostnega kopiranja drastično zmanjšajo verjetnost, da bo ena sama zlonamerna priloga, razpokana namestitvena programska oprema ali lažni prenos povzročil motnje v poslovanju ali trajno izgubo podatkov. Izsiljevalska programska oprema DeadLock je dober primer, zakaj so ti temelji pomembni.

Kaj loči DeadLock od drugih

DeadLock je družina izsiljevalskih programov za šifriranje datotek, ki vsako žrtev označi z edinstvenim identifikatorjem. Med napadom premeša uporabniške podatke in preimenuje vsako šifrirano datoteko tako, da izvirnemu imenu datoteke doda ID žrtve in končnico '.dlock'. Na primer: '1.png' postane '1.png.F8C6A8.dlock' in '2.pdf' postane '2.pdf.F8C6A8.dlock'. Ta ID se uporablja skozi celoten postopek izsiljevanja za sledenje žrtvi in povezovanje plačil s ključi za dešifriranje. DeadLock prav tako pošlje sporočilo o odkupnini, katerega ime datoteke vsebuje isti identifikator (npr. »PREBERI ME.F8C6A8.txt«) in spremeni ozadje namizja, da poudari, da je bil sistem ogrožen.

V odkupnini

V opombi je navedenih več ključnih točk, namenjenih usmerjanju nadaljnjih potez žrtve. Trdi, da šifriranih datotek ni mogoče obnoviti brez »edinstvenega ključa za dešifriranje«, ki ga imajo samo napadalci. Žrtvam se naroči, naj namestijo program Session Messenger, osredotočen na zasebnost, in se obrnejo nanje z uporabo posredovanega ID-ja seje (ki se spet preslika nazaj na identifikator žrtve, vdelan v imena datotek). Napadalci prosijo žrtev, naj jim za preverjanje pošlje eno šifrirano datoteko in »osebni ključ« (njihov edinstveni ID). To je pogosta taktika, namenjena vzpostavljanju zaupanja z dešifriranjem neškodljivega vzorca.

Taktike plačila in pritiska

Operaterji DeadLocka zahtevajo kriptovaluto, natančneje Bitcoin ali Monero. Obljubljajo, da bodo po plačilu dostavili delujoč dešifrirator. Kot pri večini operacij izsiljevalske programske opreme ni nobenega izvršljivega jamstva. Obvestilo uporablja tudi strah, da bi odvrnilo od neodvisnih poskusov okrevanja: žrtve opozarja, naj ne preimenujejo šifriranih datotek in naj ne preizkušajo orodij za dešifriranje tretjih oseb, saj trdi, da bi takšna dejanja lahko trajno poškodovala podatke ali povečala stroške okrevanja. Ta opozorila so deloma tehnične narave (nepravilno ravnanje lahko dejansko oteži okrevanje) in deloma psihološkega pritiska.

Preverjanje realnosti dešifriranja

Izkušnje z izsiljevalsko programsko opremo na splošno in lastna sporočila operaterjev podpirajo trdo resnico: v večini primerov datotek, uničenih z DeadLockom, ni mogoče dešifrirati brez sodelovanja in orodij napadalcev. To pomeni dve realni poti za obnovitev: (1) delujoče varnostne kopije, ki so bile v času napada brez povezave, zunaj spletnega mesta, z določenimi različicami ali kako drugače niso bile dostopne zlonamerni programski opremi; ali (2) plačilo odkupnine in upanje, da bodo kriminalci spoštovali dogovor. Plačevanje je tvegano: napadalci lahko izginejo, dostavijo pokvarjen dešifrirnik ali uporabijo plačilo kot signal, da ste lahko tarča za prihodnje izsiljevanje. Kadar koli je mogoče, se namesto plačila odkupnine zanašajte na nepoškodovane varnostne kopije.

Zakaj je popolna odstranitev pomembna

Tudi po končanem šifriranju je nevarno pustiti izsiljevalsko programsko opremo v sistemu. Preostale komponente lahko ponovno šifrirajo novo ustvarjene datoteke, pridobijo poverilnice, odprejo zadnja vrata ali poskušajo lateralno premakniti po lokalnem omrežju. Iztrebljanje, podprto s skeniranjem končnih točk, pregledom pomnilnika in pregledom načrtovanih opravil, zagonskih vnosov in krmilnikov domen, je ključnega pomena za preprečevanje ponovitve škode.

Pogosti vektorji okužbe z zastojem

Napadalci potrebujejo začetno oporo. Izsiljevalske kampanje so bile povezane z več distribucijskimi kanali, ki izkoriščajo zaupanje uporabnikov, radovednost in bližnjice za zmanjšanje stroškov:

• Piratska ali »razpokana« komercialna programska oprema, vključno s priloženimi generatorji ključev in orodji za obhod licenc, ki na skrivaj nameščajo zlonamerno programsko opremo.
• Razpoke programske opreme, generatorji ključev in neuradni aktivatorji, potegnjeni z warez ali torrent strani.
• Zlonamerne priloge e-pošte: zavajajoči dokumenti Word (pogosto z omogočenimi makroji), datoteke PDF, arhivi ZIP, datoteke skriptov ali izvedljivi koristni podatki, prikriti kot računi, obvestila o odpremi ali nujni obrazci za človeške vire.
• Zlonamerni oglasi (zlonamerno oglaševanje), ki uporabnike preusmerjajo na komplete za izkoriščanje programske opreme ali lažne strani za prenos.
• Platforme za deljenje med uporabniki in središča za prenos tretjih oseb, ki namestitvene programe prepakirajo s skritimi koristnimi podatki.
• Izmenljivi mediji (npr. okuženi USB-pogoni), ki se samodejno zaženejo ali uporabnike skušajo zagnati okužene datoteke.
• Lažni portali za tehnično podporo, ki uporabnike silijo k prenosu »popravkov« ali »posodobitev«, ki dejansko vsebujejo nalagalnik izsiljevalske programske opreme.
• Ogrožena legitimna spletna mesta, na katera so bili nameščeni programi za prenos podatkov prek sistema ali vbrizgani skripti za prenos koristnega tovora.

Najboljše varnostne prakse za okrepitev vaše obrambe

Večplastna varnost močno zmanjša radij eksplozije izsiljevalske programske opreme. Spodaj so navedeni prednostni obrambni koraki, ki pomagajo preprečiti uspeh DeadLocka in podobnih groženj:

• Vzdržujte zanesljive varnostne kopije kritičnih podatkov brez povezave.
• Pravočasno posodobite operacijske sisteme, aplikacije in vdelano programsko opremo, zlasti tiste, ki so izpostavljene storitvam in programskim paketom, nagnjenim k zlorabam makrov ali izkoriščanju.
• Uporabite ugledno zaščito končnih točk/EDR z zaznavanjem izsiljevalske programske opreme na podlagi vedenja in samodejno izolacijo.
• Uveljavite uporabniške račune z najmanj privilegiji; onemogočite lokalnega skrbnika, kjer ni potreben; ločite skrbniške poverilnice od vsakodnevne uporabe.
• Omejite izvajanje makrov, interprete skriptov in nepodpisane binarne datoteke s pravilnikom skupine, seznamom dovoljenih aplikacij in nadzorovanim dostopom do map.
• Uvedite filtriranje varnosti e-pošte: priloge v peskovniku, pregled povezav in označevanje sumljivih vrst datotek ali ponarejenih domen pošiljateljev.
• Pred nameščanjem onemogočite samodejni zagon na izmenljivih medijih in skenirajte naprave USB.
• Za oddaljeni dostop, skrbniške konzole in vmesnike za upravljanje varnostnih kopij zahtevajte večfaktorsko overjanje (MFA).

Dolgoročne lekcije

DeadLock poudarja ponavljajočo se temo v vseh družinah izsiljevalske programske opreme: napadalci ne potrebujejo najsodobnejših izkoriščanj, če končni uporabniki redno prenašajo razpokana orodja, odpirajo nepreverjene priloge ali brskajo po nezanesljivih oglaševalskih omrežjih. Osnovne varnostne tehnike, disciplina pri nameščanju popravkov, nadzor dostopa, nadzorovane varnostne kopije in ozaveščenost uporabnikov spremenijo morebitno krizo v dogodek, ki ga je mogoče popraviti. Investirajte v te obrambne ukrepe zdaj; stroški so veliko nižji od odkupnine, plačane pod pritiskom.

Zaključne misli

Odpornost na izsiljevalsko programsko opremo se zgradi že dolgo preden napad zadene vaš zaslon. Z razumevanjem delovanja DeadLocka in uvedbo večplastnih preventivnih in obnovitvenih kontrol se postavite v položaj, da se uprete tej in podobnim grožnjam. Bodite skeptični do vsega, česar niste namerno poiskali ali preverili. Vaša budnost je prva in pogosto najboljša obrambna linija.