Izsiljevalska programska oprema Zeo

Zaščita osebnih in poslovnih sistemov pred uničujočo zlonamerno programsko opremo je bistvenega pomena, saj lahko že ena sama ogrožitev povzroči dolgotrajne posledice. Izsiljevalska programska oprema ostaja ena najbolj motečih groženj v obtoku, izsiljevalska programska oprema Zeo pa je odličen primer prefinjenosti, ki so jo dosegle sodobne izsiljevalske operacije.

Nova različica z znanimi koreninami

Virus Zeo se je pojavil med rutinskim spremljanjem groženj in je bil hitro povezan z dolgoletno družino izsiljevalskih programov Dharma. Ko vdre v sistem, šifrira podatke in spremeni imena datotek tako, da doda ID žrtve, e-poštni naslov napadalca in končnico ».zeo«. Tipičen primer je preoblikovana datoteka, kot je ».1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo«.

Po fazi šifriranja Zeo dostavi dve sporočili z zahtevo za odkupnino: pojavno okno z razširjenimi navodili in datoteko z navadnim besedilom z imenom »info.txt«. Obe poudarjata, da je edini način za obnovitev dostopa stik z napadalci in plačilo odkupnine v bitcoinih. Pojavno sporočilo poskuša vzpostaviti zaupanje s ponudbo omejenega brezplačnega testa dešifriranja, hkrati pa grozi z nepopravljivo škodo, če žrtve spremenijo datoteke ali poskusijo samostojno obnoviti podatke.

Kako Zeo deluje pod pokrovom motorja

Tako kot druge različice Dharme se tudi Zeo osredotoča na šifriranje podatkov, shranjenih tako lokalno kot na lokacijah v skupni rabi v omrežju. Stabilnost sistema je ohranjena, saj se Zeo izogiba poseganju v kritične komponente operacijskega sistema. Da bi preprečil napake med šifriranjem, prekine procese, povezane z datotekami, ki so trenutno odprte, kot so mehanizmi baz podatkov in pregledovalniki dokumentov.

Izsiljevalska programska oprema vključuje več vedenjskih zaščitnih ukrepov. Preverja zbrane geolokacijske podatke, da ugotovi, ali naj nadaljuje z napadi, pri čemer se lahko izogne regijam, ki so lahko nedonosne ali politično občutljive. Vključuje tudi mehanizem, namenjen preprečevanju dvojnega šifriranja, čeprav je logika izključevanja nepopolna in ne upošteva vseh družin izsiljevalske programske opreme.

Vztrajnost se doseže z dvema glavnima metodama: kopiranjem v imenik %LOCALAPPDATA% in registracijo vnosov za samodejni zagon pod določenimi ključi Run. Zeo dodatno izbriše senčne kopije nosilca podatkov, da odstrani vgrajene možnosti obnovitve, na katere bi se uporabniki sicer lahko zanašali.

Prenašalci okužb in taktike širjenja

Grožnje, ki temeljijo na Dharmi, pogosto prodrejo v sisteme prek izpostavljenih ali slabo zavarovanih storitev protokola za oddaljeno namizje (Remote Desktop Protocol). Napadalci se za dostop zanašajo na napade z grobo silo in slovarjem, požarni zidovi ogroženih sistemov pa so lahko kmalu po vdoru oslabljeni ali onemogočeni.

Druge poti distribucije ostajajo razširjene. Grožnje se pogosto zanašajo na zavajajoča e-poštna sporočila, zlonamerne priloge, ogrožene prenose, goljufive posodobitve, razpoke in piratsko vsebino. Nevarni koristni tokovi se pojavljajo v številnih oblikah, vključno z arhivi, izvedljivimi datotekami, dokumenti, datotekami JavaScript in drugimi. V nekaterih primerih se zlonamerna programska oprema širi lateralno na druge naprave v istem omrežju ali prek prenosnega pomnilnika.

Zakaj plačilo odkupnine ni varna rešitev

Žrtve le redko imajo tehnična sredstva za dešifriranje datotek, ki jih je prizadela sodobna izsiljevalska programska oprema. Razen če zlonamerna programska oprema vsebuje kritično napako, imajo le operaterji potrebne ključe. Vendar plačilo odkupnine ne zagotavlja, da bodo napadalci dostavili delujoč dešifrirator, žrtve pa pogosto izgubijo tako denar kot podatke. Financiranje takšnih operacij prav tako podpira nadaljnje kriminalne dejavnosti.

Odstranitev izsiljevalske programske opreme je potrebna za preprečevanje nadaljnje škode, vendar odstranitev programa Zeo ne obnovi šifriranih datotek. Obnovitev je mogoča le s čistimi varnostnimi kopijami, shranjenimi na ločenih lokacijah, kot so naprave brez povezave ali varni oddaljeni strežniki.

Krepitev varnosti naprav

Večplasten pristop drastično zmanjša tveganje za ogroženost z izsiljevalsko programsko opremo. Naslednji postopki pomagajo okrepiti dolgoročno odpornost:

Osnovni preventivni ukrepi

Ohranite strog nadzor nad dostopom do protokola oddaljenega namizja (Remote Desktop Protocol) z uporabo močnih, enoličnih poverilnic, onemogočanjem zunanjega dostopa, kadar ni potreben, in uveljavljanjem omejevanja hitrosti ali večfaktorske avtentikacije.

Pravočasno namestite varnostne posodobitve v operacijski sistem, nameščeno programsko opremo in komponente, izpostavljene omrežju.

Dodatna priporočila za najboljše prakse

Zanesljive varnostne kopije z različicami hranite na več izoliranih lokacijah, vključno z brez povezave ali nespremenljivim shranjevanjem.

• Za spremljanje sumljivih dejavnosti in blokiranje zlonamerne programske opreme pred izvajanjem uporabite ugledna varnostna orodja.
• Neželenih e-poštnih sporočil, prilog in ponudb za prenos jemljite s skepticizmom, zlasti tistih, ki se izdajajo za legitimne organizacije ali ponujajo brezplačno programsko opremo.
• Izogibajte se piratski programski opremi, nezanesljivim portalom za prenos in dvomljivim oglasom v brskalniku.
• Kadar koli je mogoče, omejite skrbniške pravice in zagotovite, da se vsakodnevna opravila izvajajo z uporabo računov, ki niso skrbniški.

Z združevanjem disciplinirane sistemske higiene z robustnimi kontrolami dostopa in dobro vzdrževanimi varnostnimi kopijami uporabniki znatno zmanjšajo svojo izpostavljenost grožnjam, kot je Zeo Ransomware, in so bolje pripravljeni na hitro okrevanje v primeru napada.