Izsiljevalska programska oprema RestoreMyData
Kampanje zlonamerne programske opreme se nenehno razvijajo, izsiljevalska programska oprema pa ostaja ena najškodljivejših groženj za uporabnike in organizacije vseh velikosti. En sam uspešen vdor lahko ustavi delovanje, poškoduje varnostne kopije, sproži izsiljevanje zaradi uhajanja podatkov in naloži dolge in drage postopke okrevanja. Proaktivna obramba in discipliniran odziv igrata odločilno vlogo pri omejevanju radija eksplozije, ko do napada pride, ne pa če se zgodi.
Kazalo
Kaj je izsiljevalska programska oprema RestoreMyData?
RestoreMyData zaklene podatke žrtev in jih izsiljuje za odkupnino. Ta sev izsiljevalske programske opreme je bil odkrit med tekočimi preiskavami iskanja groženj. Tako kot druge sodobne družine šifrira datoteke in zahteva plačilo za orodje za dešifriranje, hkrati pa trdi, da izkorišča občutljive poslovne podatke, da bi prisilil žrtve k javnim razkritjem.
Kako se napad odvija
Ko se izsiljevalska programska oprema uveljavi, pogosto prek socialnega inženiringa, zlonamernih prenosov ali sekundarne zlonamerne programske opreme, izvede svojo rutino šifriranja. Vsako ime prizadete datoteke se spremeni z dodajanjem '.restoremydata.pw'. Na primer, '1.png' postane '1.png.restoremydata.pw' in '2.pdf' postane '2.pdf.restoremydata.pw'. Ko je šifriranje končano, zlonamerna programska oprema pusti obvestilo o odkupnini z imenom 'HOW_TO_RECOVERY_FILES.txt'. Obvestilo je očitno namenjeno podjetjem in ne domačim uporabnikom, saj opozarja, da so operacije ogrožene, da datoteke niso dostopne brez pomoči napadalcev in da bodo ukradeni poslovni podatki objavljeni, če zahteve ne bodo upoštevane.
V odkupnini: Taktike in pritisk
Sporočilo trdi, da imajo samo napadalci edinstven ključ za dešifriranje in da dešifriratorji, uporabljeni za druge žrtve, ne bodo delovali. Opozarja na preprečevanje spreminjanja šifriranih datotek, da bi se izognili nepopravljivi škodi. Kot »dokaz o dešifriranju« operaterji ponudijo obnovitev ene same testne datoteke, običajno do 2 MB, in ne kritičnega sredstva, kot je baza podatkov, varnostna kopija ali velika preglednica. To je pogosta tehnika socialnega inženiringa, namenjena krepitvi verodostojnosti in spodbujanju žrtev k plačilu.
Plačilo odkupnine: tveganja in realnost
V večini primerov dešifriranje datotek, ki jih zaklene sodobna izsiljevalska programska oprema, ni izvedljivo brez ključev napadalca. Vendar pa plačilo ne zagotavlja okrevanja; žrtve pogosto poročajo, da po prenosu sredstev ne prejmejo ničesar koristnega. Plačevanje tudi spodbuja kriminalni ekosistem. Ubranljiva pot je izogibanje plačilu, osredotočanje na izkoreninjenje in obnavljanje iz čistih varnostnih kopij.
Vztrajnost, lateralno gibanje in širjenje
Poleg začetne kompromitacije nekatere grožnje poskušajo prodreti po lokalnih omrežjih, zlorabljajo skrbniška orodja, pridobivajo poverilnice in se širijo prek odstranljivih medijev (USB pogoni, zunanji diski). Predpostavljati je treba, da je RestoreMyData sposoben izkoristiti podobne tehnike, kot jih vidimo v ekosistemu, kar pomeni, da je hitrost zadrževanja ključnega pomena, ko so odkriti kazalniki.
Začetni dostop in kanali dostave
Operaterji izsiljevalske programske opreme se zanašajo na dobro preizkušene poti distribucije: lažna e-poštna sporočila in sporočila z zastrašujočimi prilogami ali povezavami, trojanske konje in nalagalnike, ki pozneje oddajo koristne datoteke, nenamerne prenose z ogroženih spletnih mest, portale brezplačne programske opreme in omrežja P2P s prepakiranimi namestitvenimi programi, zlonamerno oglaševanje, lažne posodobitve in orodja za »crack«. Zlonamerna vsebina je pogosto prikrita kot arhivi (ZIP/RAR), izvedljive datoteke, PDF-ji, dokumenti Office ali OneNote, JavaScript in drugo; izvajanje se začne v trenutku, ko uporabnik odpre ali zažene datoteko.
Strategija izkoreninjenja in okrevanja
Prizadete sisteme nemudoma izolirajte iz omrežja, da preprečite širjenje šifriranja in uhajanje podatkov. Izvedite temeljito odstranitev z uporabo uglednih, popolnoma posodobljenih varnostnih orodij. Zavedajte se, da odstranitev prepreči nadaljnjo škodo, vendar ne dešifrira že zaklenjenih podatkov. Obnovitev naj bi potekala iz varnostnih kopij, ki še niso bile prizadete.
Bistvo
Izsiljevalska programska oprema RestoreMyData je primer današnjega načina dvojnega izsiljevanja: hitro šifriranje, edinstveni ključi žrtve, zahtevki za odkupnino pod pritiskom in grožnje z uhajanjem ukradenih podatkov. Kadar koli je mogoče, se izogibajte plačilu, odločno odstranite zlonamerno programsko opremo in se za obnovitev zanašajte na utrjene, redno preizkušene varnostne kopije. Organizacije, ki združujejo večplastno preprečevanje, strog nadzor privilegijev, odporne varnostne kopije in izurjen odziv na incidente, znatno izboljšajo svoje možnosti, da se uprejo tovrstnim napadom.
Sporočila
Najdena so bila naslednja sporočila, povezana z Izsiljevalska programska oprema RestoreMyData:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
