Izsiljevalska programska oprema Solara

Solara je nedavno opažen sev izsiljevalske programske opreme, za katerega raziskovalci pravijo, da temelji na javno razširjeni kodi družine Chaos. Izsiljevalska programska oprema, kot je Solara, šifrira uporabniške datoteke, zahteva plačilo in lahko trajno prekine dostop do pomembnih podatkov, zato je zaščita naprav in varnostnih kopij bistvenega pomena.

KAJ POČNE SOLARA

Med analizo je bilo opaženo, da je Solara šifrirala datoteke in imenom datotek dodajala besedilni niz '.solara' (na primer '1.png' → '1.png.solara'). Zlonamerna programska oprema pusti tudi sporočilo z zahtevo za odkupnino z imenom 'read_it.txt', ki trdi, da je žrtev sprožila zaščito pred vdorom, in žrtvam naroči, naj od spletnega akterja pridobijo orodje za dešifriranje. Več zapisov in analiz vzorcev povezuje Solaro z družino izsiljevalskih programov Chaos in opisuje podobno vedenje (šifriranje, zamenjava razširitev in sporočilo z zahtevo za odkupnino v navadnem besedilu).

ZAHTEVKI ZA ODKUPNINO IN PLAČILO

V sporočilu z zahtevo za odkupnino, ki so ga pregledali analitiki, je navedeno, da je obnovitev datotek »skoraj nemogoča« brez napadalčevega orodja za dešifriranje. Sporočilo žrtvam naroči, naj se obrnejo na uporabnika Discorda (xenqxd), in predlaga možnosti plačila, kot je Paysafecard (na Poljskem) ali majhen znesek Bitcoina. Omeniti velja, da nekateri vzorci izpuščajo smiselne kontaktne kanale, kar lahko kaže na nezrelo ali potegavščino podobno kampanjo ali na operaterje, ki preprosto ne pričakujejo pogajanj. Vse takšne zahteve obravnavajte skrajno sumničavo.

LAHKO OBNOVITE DATOTEKE BREZ PLAČILA?

Na splošno datotek, šifriranih z grožnjami družine Chaos, ni mogoče obnoviti brez ustreznega ključa za dešifriranje. Če imate čiste varnostne kopije brez povezave izpred okužbe, je njihova obnovitev najvarnejša priporočena pot. Plačilo ni priporočljivo, saj kriminalci pogosto ne dostavijo uporabnih dešifrirjev, plačevanje sredstev pa nadaljuje kriminalno dejavnost.

POGOSTI PRENOSILCEV OKUŽB

• Piratska programska oprema, generatorji ključev in »razpokani« pripomočki, prikriti z zlonamerno programsko opremo.
• Zlonamerne priloge in povezave v e-poštnih sporočilih (makri, skripti, datoteke EXE v sistemu Office).
• Okuženi oglasi, ogrožena ali neuradna spletna mesta za prenos, omrežja P2P/torrent, pogoni USB in programi za prenos tretjih oseb.

TAKOJŠNJI UKREPI ČE SUMITE NA OKUŽBO

Takoj izolirajte napravo : prekinite povezavo z omrežji (žičnim/Wi-Fi) in odklopite vse skupne/omrežne pogone, da preprečite širjenje virusa.

Ohranite dokaze : če zbirate spomin ali forenzične artefakte, ne izklapljajte in ponovno vklapljajte računalnika, temveč zajemite slike spomina in diska, če imate to možnost, ali pokličite službo za odzivanje na incidente.

Uporabite varnostne kopije : Obnovite iz zaupanja vrednih varnostnih kopij, ko je zlonamerna programska oprema odstranjena in so sistemi obnovljeni; ne obnavljajte varnostnih kopij, ki so bile morda povezane v času okužbe.

Ne plačajte, razen če ekipa za odzivanje na incidente oceni vse možnosti in posledice; plačilo ni zagotovljeno in lahko spodbudi prihodnje napade.

NAJBOLJŠE VARNOSTNE PRAKSE

Vzdržujte posodobljeno, večplastno obrambo, ki vključuje naslednje prakse v vsakodnevnem delovanju:

Upravljanje popravkov : pravočasno namestite varnostne posodobitve operacijskega sistema in aplikacij; številni sevi izsiljevalske programske opreme izkoriščajo znane in popravljene ranljivosti.

Najmanj privilegijev in higiene računov : zaženite uporabnike z neskrbniškimi računi, uveljavite močno večfaktorsko preverjanje pristnosti za oddaljeni dostop in privilegirane račune ter spremljajte nenavadno vedenje pri prijavi.

Strategija varnostnega kopiranja : Redno ustvarjajte varnostne kopije in jih hranite ločeno od omrežja. Navsezadnje so varnostne kopije najučinkovitejši način za zaščito pred napadi šifriranja.

Zaščita končnih točk in EDR : uvedite ugledne rešitve za zaznavanje in odzivanje na končne točke, ki lahko zaznajo anomalije pri izvajanju, blokirajo zlonamerne koristne obremenitve in omogočijo hitro zadrževanje. Podpisi in telemetrija naj bodo omogočeni.

Izobraževanje uporabnikov in odpornost proti lažnemu predstavljanju : usposobite uporabnike, da se izogibajo uporabi razbitin/generatorjev ključev, da preverjajo pošiljatelje in povezave e-pošte ter da z nezaupanjem obravnavajo nepričakovane priloge. Simulirano lažno predstavljanje in kampanje ozaveščanja zmanjšujejo človeški dejavnik tveganja.

Kontrolniki aplikacij in omejitve makrov : privzeto onemogočite makre sistema Office, blokirajte izvajanje na mestih, ki so pogosto zlorabljena (npr. %AppData%, začasne mape), in po možnosti uporabite seznam dovoljenih aplikacij.

ZAKLJUČNE OPOMBE

Solara ponazarja pogosta tveganja, povezana z javno dostopnimi graditelji izsiljevalske programske opreme: razvejane različice se širijo, napadalci pa nenehno prilagajajo metode distribucije, da bi ciljali na določene skupnosti (poročila izpostavljajo igralniške forume in kanale s piratsko programsko opremo kot verjetne vabe). Najboljša obramba je preprečevanje, močne varnostne kopije, hitro omejevanje in sodelovanje z usposobljenimi ekipami za odzivanje, ne pa plačevanje odkupnin. Če sumite na ogrožanje in potrebujete pomoč pri čiščenju korak za korakom, zberite vzorčne kazalnike (imena datotek, zgoščene vrednosti, besedilo obvestila o odkupnini) in se za navodila glede omejevanja in obnovitve posvetujte z zaupanja vrednim ponudnikom odzivanja na incidente ali s svojim ponudnikom varnostnih storitev.