Traders Ransomware
Izsiljevalska programska oprema ostaja ena najhitreje rastočih in najbolj motečih groženj, s katerimi se soočajo posamezniki in organizacije. En sam uspešen vdor lahko šifrira leta dela, razkrije zasebne podatke in povzroči drage izpade. Obveščenost o aktivnih sevih in uporaba večplastne obrambe drastično zmanjšata tako verjetnost kot vpliv napada.
Kazalo
Profil grožnje – Kaj so »trgovci«?
Traders je izsiljevalska programska oprema za šifriranje datotek, ki so jo varnostni analitiki opazili med iskanjem groženj in preiskavami zlonamerne programske opreme. Ko se uveljavi v sistemu, šifrira uporabniške podatke in spremeni imena datotek, da označi datoteke kot talce. Operaterji nato zahtevajo plačilo v zameno za ključ za dešifriranje, hkrati pa izvajajo pritisk z grožnjami uhajanja podatkov.
Različne oznake datotek – kako se vaši podatki preimenujejo
Po šifriranju Traders vsaki prizadeti datoteki doda identifikator, specifičen za žrtev, in končnico '.traders'. Vzorec vključuje ID žrtve v oklepajih, zaradi česar je kompromitacijo enostavno opaziti v mapah. Na primer:
- 1.png postane 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
- 2.pdf postane 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
Odkupnino – Zahteve in trditve napadalcev
Trgovci objavijo sporočilo z naslovom »README.TXT«. V sporočilu je navedeno, da so bili dokumenti, fotografije, podatkovne baze in druge dragocene datoteke šifrirani, in zatrjujejo, da je za obnovitev potreben edinstven zasebni ključ, ki ga imajo napadalci. Sporočilo običajno odvrača od poskusov samostojnega dešifriranja z opozorilom, da lahko neprimerna orodja nepopravljivo poškodujejo podatke. Navaja kontaktne točke, e-poštni naslov (»traders@mailum.com«) in ID sejnega sporočanja, prek katerega žrtve dobijo navodila za pogajanja.
Dvojno izsiljevanje – kraja podatkov kot vzvod
Poleg šifriranja sporočilo grozi, da bodo ukradeni podatki prodani ali objavljeni, če plačilo ne bo izvedeno. Ta taktika »dvojnega izsiljevanja« želi prisiliti žrtve, ki se zanašajo na varnostne kopije, tako da k enačbi doda še tveganja za ugled, pravna tveganja in tveganja za zasebnost.
Resničnost okrevanja – kaj dejansko pomaga
Datoteke, ki jih zaklene sodobna izsiljevalska programska oprema, se običajno ne morejo obnoviti brez napadalčevega dešifratorja. Praktične poti obnovitve so omejene na čiste varnostne kopije brez povezave, ki med incidentom niso bile dosegljive. Plačilo odkupnine se močno odsvetuje: ni zagotovila, da boste prejeli delujoča orodja za dešifriranje, plačilo pa spodbuja nadaljnje kriminalne dejavnosti.
Zadrževanje in izkoreninjenje – takojšnji ukrepi
Če zaznate virus Traders, takoj izolirajte prizadete računalnike iz omrežja, da preprečite nadaljnje šifriranje in lateralno širjenje. Ohranite forenzične artefakte, vključno z zahtevo za odkupnino, vzorci šifriranih datotek in ustreznimi dnevniki. Za odstranitev koristnega tovora in vseh mehanizmov za ohranjanje virusa uporabite ugledno rešitev proti zlonamerni programski opremi/EDR. Po izkoreninjenju obnovite ali ponovno zgradite ogrožene sisteme, rotirajte poverilnice ter preverite dostopne ključe in žetone. Šele nato začnite obnavljati podatke iz preverjenih varnostnih kopij, hkrati pa skrbno spremljajte morebitno ponovno okužbo.
Začetni dostop in dostava – kako trgovci dosežejo sisteme
Kot mnoge družine izsiljevalske programske opreme se tudi Traders širi po več kanalih. Pogoste vstopne točke vključujejo zlonamerne priloge ali povezave do e-pošte, trojansko ali piratsko programsko opremo (vključno s keygeni in crack-i), lažne vabe za tehnično podporo in izkoriščanje nepopravljenih ranljivosti. Grožnje zlorabljajo tudi zlonamerno oglaševanje, ogrožena ali na videz podobna spletna mesta, okužene odstranljive medije, omrežja P2P, portale za prenos tretjih oseb in vrste datotek z zaskočenimi programi, kot so izvedljivi namestitveni programi, dokumenti Office ali PDF z vdelanimi makri ali skripti ter stisnjeni arhivi (ZIP/RAR), ki razpakirajo shranjevalne datoteke.
Okrepite svojo obrambo – bistveni varnostni postopki
- Vzdržujte varnostne kopije brez povezave.
- Pravočasno nameščajte popravke. Kjer je to izvedljivo, dajte prednost storitvam, ki so dostopne do interneta, in prenosnim samodejnim posodobitvam.
- Namestite ugledno varnostno programsko opremo z zaščito v realnem času, blokiranjem vedenja in nadzorovanim dostopom do map.
- Izboljšajte RDP in oddaljeni dostop. Onemogočite, če ni potreben, omejite s seznamom dovoljenih/VPN, zahtevajte MFA in spremljajte prijave z grobo silo ali nepravilne prijave.
- Onemogočite tvegane makre in skripte. Blokirajte makre sistema Office iz interneta, omejite PowerShell na način omejenega jezika za neskrbnike in nadzorujte izvajanje skriptov.
- Varni brskalniki in prenosi. Uporabljajte le ugledne storitve, blokirajte znane zlonamerne domene in se izogibajte prenosnikom tretjih oseb in virom P2P.
Zaključne misli
Izsiljevalska programska oprema Traders združuje močno šifriranje z izsiljevalskim pritiskom, zaradi česar je priprava najboljša obramba. Poskrbite za posodobitve sistemov, uveljavite dostop z najmanjšimi privilegiji, namestite zmogljivo zaščito končnih točk, segmentirajte omrežja in, kar je najpomembneje, vzdržujte preizkušene varnostne kopije brez povezave. Če ste že prizadeti, se osredotočite na zajezitev in profesionalno sanacijo, namesto na plačilo.
