AntiHacker Ransomware

Mbrojtja e të dhënave personale dhe të biznesit nga kërcënimet moderne të programeve keqdashëse nuk është më opsionale, por një domosdoshmëri operacionale. Operatorët e programeve ransomware vazhdojnë të përsosin taktikat, mjetet dhe skemat e tyre të inxhinierisë sociale për të maksimizuar ndërprerjet dhe për të shantazhuar pagesat. Edhe organizatat më të vogla dhe përdoruesit shtëpiakë janë rregullisht në shënjestër, dhe rikuperimi mund të jetë i vështirë ose i pamundur pa përgatitje. AntiHacker Ransomware, një anëtar i familjes Xorist, është pikërisht një kërcënim i tillë.

PAMJE E PËRGJITHSHME E KËRCËNIMIT DHE ORËGJENCA

AntiHacker është një program keqdashës i zbuluar nga studiuesit e sigurisë së informacionit dhe i kategorizuar brenda familjes së ransomware-ve Xorist. Kërcënimet e bazuara në Xorist zakonisht ndërtohen nga një strukturë kompletesh që sulmuesit mund ta personalizojnë, duke ndryshuar mesazhin e shfaqur të ransomware-it, zgjatimin e skedarit, elementët gjuhësorë dhe parametra të tjerë. AntiHacker ndjek manualin e njohur të Xorist: ai enkripton të dhënat e viktimës dhe më pas kërkon pagesë në këmbim të një çelësi të supozuar dekriptimi.

SJELLJA DHE SHËNIMI I KRIPIMIT TË SKEDARËVE

Pasi AntiHacker kompromenton një sistem, ai kërkon të dhëna të arritshme nga përdoruesi nëpër disqet lokale dhe gjithashtu vende të rrjetit potencialisht të hartuara. Një gamë e gjerë llojesh skedarësh janë në shënjestër, dokumente, imazhe, arkiva, skedarë multimedialë dhe dyqane të tjera të vlefshme të dhënash. Çdo artikull i enkriptuar riemërtohet duke shtuar vargun '.antihacker2017' në fund të emrit origjinal të skedarit. Për shembull, një skedar i quajtur fillimisht '1.png' bëhet '1.png.antihacker2017'; '2.pdf' bëhet '2.pdf.antihacker2017'; dhe ky model përsëritet në të gjithë skedarët e përpunuar. Shtesa e shtuar shërben për dy qëllime: ajo sinjalizon vizualisht kompromentimin tek viktima dhe ndihmon ransomware-in të identifikojë se cilat artikuj ka trajtuar tashmë.

SHËNIME PËR SHPËRBLIMIN, DEKLARATA KOPJEJE DHE MESAZHE ME SFOND

Pas përfundimit të rutinës së enkriptimit, AntiHacker modifikon sfondin e desktopit të viktimës dhe shfaq një shënim për shpërblim në dy formate paralele: një dritare pop-up dhe një skedar teksti të quajtur 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (Rusisht për 'SI TË DEKRIFORONI SKEDARËT'). Përmbajtja e mesazhit të paraqitur në dritaren pop-up dhe në skedarin e tekstit është e njëjtë. Megjithatë, varianti i sfondit përfshin gjuhë shtesë të inxhinierisë sociale, një justifikim të supozuar se sulmi ndodhi sepse përdoruesi vizitoi faqe interneti specifike të orientuara drejt të rriturve ose të paligjshme. Ky kënd turpërimi është projektuar për t'i bërë presion viktimave që të paguajnë shpejt dhe në heshtje.

Çuditshmëria e kodimit të personazheve

Në sistemet që nuk përdorin një grup karakteresh cirilike, teksti i shpërblimit që shfaqet në dritaren që shfaqet mund të duket si një pallavra e palexueshme. Prandaj, viktimat mund të shohin një dritare mesazhi të dëmtuar, por prapë të gjejnë udhëzimet e lexueshme brenda skedarit të tekstit të lëshuar. Sulmuesit shpesh i anashkalojnë detajet e lokalizimit; mbrojtësit mund të përdorin artefakte të tilla për të ndihmuar në grupimin e incidenteve të lidhura.

MEKANIKAT E SHTYRJES: KUFIZIMET KRYESORE TË HYRJES DHE KËRKESAT PËR KËRCËNIM

Udhëzimet për shpërblimin e ransomware-it përcaktojnë se viktimat duhet të kontaktojnë sulmuesit për të marrë një çelës deshifrimi. Ato gjithashtu vendosin një kufizim me stres të lartë: lejohen vetëm 50 përpjekje për të futur çelësin, pas të cilave mesazhi pohon se të dhënat e enkriptuara do të humbasin përgjithmonë. Paralajmërime shtesë pohojnë se përdorimi i mjeteve të sigurisë, rinisja ose mbyllja e makinës do t'i bëjë skedarët të padeshifrueshëm. Këto taktika frikësimi janë të zakonshme në manualet e programeve kundër ransomware-it dhe synojnë të dekurajojnë përdoruesit nga kërkimi i ndihmës profesionale ose nga përpjekja e procedurave të sigurta të korrigjimit.

PSE PAGESA E SHPËRBLESËS ËSHTË E RREZIKSHME

Nuk ka asnjë garanci se kriminelët kibernetikë që qëndrojnë pas AntiHacker (ose ndonjë programi tjetër ransomware) do të ofrojnë një zgjidhje funksionale deshifrimi pas pagesës. Viktimat që paguajnë shpesh nuk marrin asgjë, marrin një çelës të prishur ose bëhen objektiva për zhvatje të përsëritura. Pagesa gjithashtu financon operacione kriminale të vazhdueshme dhe nxit sulme të mëtejshme. Qëndrimi i kujdesshëm është të shmangni pagesën sa herë që të jetë e mundur dhe të përqendroheni në rrugët e rikuperimit që janë nën kontrollin tuaj.

REALITETE TË RIHËMBIMIT

Heqja e AntiHacker nga një sistem i infektuar mund të ndalojë enkriptimin e mëtejshëm të skedarëve, por nuk dekripton të dhënat që janë bllokuar tashmë. Rruga më e besueshme për rikuperim është rivendosja e kopjeve të pastra të skedarëve të prekur nga kopjet rezervë që ishin të izoluara, jashtë linje ose jashtë mundësive të programit keqdashës. Nëse nuk ekzistojnë kopje rezervë të qëndrueshme, opsionet e rikuperimit të të dhënave bëhen shumë të kufizuara.

VEKTORËT E INFEKSIONIT PRIMARE

Autorët e programeve ransomware mbështeten në të njëjtin ekosistem të gjerë shpërndarjeje që ushqen kategoritë e tjera të programeve keqdashëse. AntiHacker nuk bën përjashtim. Sulmuesit shpesh i maskojnë ngarkesat e dobishme si softuer të ligjshëm ose i bashkojnë ato me programe, dokumente ose instalues të hackuar ose të piratuar. Vetëm hapja e një skedari të mbushur me programe shpërthyese mund të shkaktojë një zinxhir shkarkimi ose ekzekutimi.

• Karremat e phishing-ut dhe inxhinierisë sociale të dërguara me email, mesazhe private ose mesazhe direkte me bashkëngjitje keqdashëse ose lidhje të integruara.
• Shkarkime nga makina ose mashtruese të iniciuara nga faqe interneti të kompromentuara ose keqdashëse pa pëlqimin e qartë të përdoruesit.
• Ngarkues trojanë dhe dyer të pasme që tërheqin dhe lëshojnë në heshtje ransomware pasi të integrohen.
• Burime shkarkimi të pasigurta, të tilla si faqet me programe falas, faqet e pritjes së skedarëve të palëve të treta dhe rrjetet e ndarjes së skedarëve Peer-to-Peer (P2P).
• Mashtrimet online dhe fushatat e reklamave keqdashëse që i ridrejtojnë përdoruesit drejt kompleteve shfrytëzuese ose ngarkesave mashtruese.
• Mjete të paligjshme të aktivizimit të softuerëve ('plasaritje' / gjenerues çelësash) dhe përditësime të rreme të softuerëve që instalojnë programe keqdashëse në vend të patch-eve legjitime.
• Arkiva (ZIP, RAR, etj.), skedarë ekzekutues (EXE, RUN, etj.), skedarë skriptesh (p.sh., JavaScript) dhe formate dokumentesh (PDF, Microsoft Office, OneNote dhe të tjerë) të përdorur për të nisur zinxhirin e infeksionit.

PAMJE E PËRGJITHSHME E STRATEGJISË MBROJTËSE

Mbrojtja efektive nga ransomware-i shtreson njerëzit, proceset dhe teknologjinë. Nuk mund të mbështeteni në një kontroll të vetëm mbrojtës; supozoni se të paktën një shtresë do të dështojë. Kombinoni ndërgjegjësimin e përdoruesit, konfigurimet e përforcuara, patch-et rigoroze, praktikat e fuqishme të rezervimit dhe aftësitë e forta të zbulimit/përgjigjes për të zvogëluar si gjasat ashtu edhe ndikimin e një ndërhyrjeje në stilin AntiHacker.

• Mbani kopje rezervë të të dhënave të rëndësishme.
• Mbani sistemet operative, aplikacionet dhe mjetet e sigurisë të përditësuara plotësisht; aplikoni menjëherë patch-et, veçanërisht për shërbimet e aksesit në distancë dhe të ndarjes së skedarëve.
• Përdorni zgjidhje të besueshme kundër programeve keqdashëse / zbulimit dhe përgjigjes së pikave të fundit (EDR) me zbulim të ransomware-it si sjellje dhe aftësi për rikthim automatik aty ku mbështeten.
• Zbatoni të drejtat e përdoruesve me privilegjet më të pakta; kryeni detyra të përditshme nën llogari jo-administratori dhe kufizoni aksesin e shkrimit në dyqanet e përbashkëta të të dhënave.
• Segmentoni rrjetet dhe kufizoni lëvizjen anësore; izoloni depot e rezervimit dhe serverat kritikë në nivele të ndara aksesi.
• Kërko vërtetim shumëfaktorësh (MFA) për hyrjet në distancë, veprimet e privilegjuara dhe konsolat e menaxhimit të kopjeve rezervë.

PËRFUNDIM

AntiHacker Ransomware ilustron se si aktorët kërcënues përshtatin familjet e bazuara në kit si Xorist për të krijuar skema të fuqishme zhvatjeje të synuara në nivel rajonal. Enkriptimi i të dhënave, etiketimi i emrit të skedarëve, artefaktet shumëgjuhëshe të shënimeve të shpërblimit dhe mesazhet shtrënguese janë të gjitha të projektuara për të nxitur pagesat. Megjithatë, kundërmasa më e fortë mbetet përgatitja: kopje rezervë të izoluara, mbrojtje të shtresuara, përdorues të informuar dhe një plan reagimi i disiplinuar. Organizatat dhe individët që investojnë në këto mbrojtje mund ta shndërrojnë një ngjarje potencialisht katastrofike të ransomware në një incident të rikuperueshëm.