Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware DeadLock Ransomware

DeadLock Ransomware

Nga MezoRansomware
Përkthe në:

Fushatat moderne të ransomware-it janë ndërtuar qëllimisht për t'i kthyer të dhënat tuaja personale ose të organizatës në levë për t'u përdorur. Pasi skedarët kritikë të jenë të enkriptuar, sulmuesit kanë të gjitha kartat në dorë, përveç nëse jeni përgatitur paraprakisht. Higjiena e fortë e sigurisë, mbrojtjet e shtresuara dhe strategjitë elastike të rezervimit i zvogëlojnë ndjeshëm shanset që një bashkëngjitje e vetme keqdashëse, një instalues i thyer ose një shkarkim mashtrues të çojë në ndërprerje të biznesit ose humbje të përhershme të të dhënave. DeadLock Ransomware është një shembull i mirë pse këto baza kanë rëndësi.

Çfarë e dallon Deadlock-un

DeadLock është një familje programesh ransomware që enkriptojnë skedarë dhe që etiketon çdo viktimë me një identifikues unik. Gjatë një sulmi, ai përzien të dhënat e përdoruesit dhe riemërton çdo skedar të enkriptuar duke shtuar ID-në e viktimës dhe prapashtesën '.dlock' në emrin origjinal të skedarit. Për shembull: '1.png' bëhet '1.png.F8C6A8.dlock' dhe '2.pdf' bëhet '2.pdf.F8C6A8.dlock'. Ky ID përdoret gjatë gjithë procesit të zhvatjes për të gjurmuar viktimën dhe për të lidhur pagesat me çelësat e deshifrimit. DeadLock gjithashtu lëshon një shënim shpërblimi, emri i skedarit të të cilit përmban të njëjtin identifikues (p.sh., "READ ME.F8C6A8.txt") dhe ndryshon sfondin e desktopit për të përforcuar që sistemi është kompromentuar.

Brenda Shënimit të Shpërblesës

Shënimi përmban disa pika kyçe të hartuara për të drejtuar lëvizjet e mëtejshme të viktimës. Ai pohon se skedarët e koduar nuk mund të rikthehen pa një 'çelës unik deshifrimi' që e posedojnë vetëm sulmuesit. Viktimave u thuhet të instalojnë mesazherin e Sesionit të fokusuar në privatësi dhe të kontaktojnë duke përdorur një ID Sesioni të dhënë (përsëri që lidhet me identifikuesin për viktimën të ngulitur në emrat e skedarëve). Sulmuesit i kërkojnë viktimës të dërgojë një skedar të koduar plus 'çelësin personal' (ID-në e tyre unike) për verifikim. Kjo është një taktikë e zakonshme që synon të ndërtojë besim duke deshifruar një mostër të padëmshme.

Taktikat e Pagesës dhe Presionit

Operatorët e DeadLock kërkojnë kriptomonedha, konkretisht Bitcoin ose Monero. Ata premtojnë se, pas pagesës, do të ofrojnë një dekriptues funksional. Ashtu si me shumicën e operacioneve të ransomware, nuk ka asnjë garanci të zbatueshme. Shënimi gjithashtu përdor frikën për të dekurajuar përpjekjet e pavarura të rikuperimit: i paralajmëron viktimat të mos riemërtojnë skedarët e koduar dhe të mos provojnë mjete dekriptimi të palëve të treta, duke pretenduar se veprime të tilla mund të dëmtojnë të dhënat përgjithmonë ose të rrisin çmimin e rikuperimit. Këto paralajmërime janë pjesërisht teknike (trajtimi i papërshtatshëm mund ta ndërlikojë rikuperimin) dhe pjesërisht presion psikologjik.

Kontrolli i Realitetit të Deshifrimit

Përvoja me ransomware-in në përgjithësi dhe mesazhet e vetë operatorëve mbështesin një të vërtetë të vështirë: në shumicën e rasteve, nuk mund të deshifroni skedarët e ngatërruar të DeadLock pa bashkëpunimin dhe mjetet e sulmuesve. Kjo lë dy rrugë realiste rikuperimi: (1) kopje rezervë funksionale që ishin jashtë linje, jashtë faqes, me versione ose ndryshe të paarritshme për malware-in në kohën e sulmit; ose (2) pagesa e shpërblimit dhe shpresa që kriminelët ta respektojnë marrëveshjen. Pagesa është e rrezikshme: sulmuesit mund të zhduken, të dorëzojnë një deshifrues të prishur ose ta përdorin pagesën si sinjal se jeni një objektiv i lehtë për zhvatje në të ardhmen. Sa herë që është e mundur, mbështetuni në kopje rezervë të paprekura në vend që të bëni një pagesë shpërblimi.

Pse ka rëndësi heqja e plotë

Edhe pasi të përfundojë enkriptimi, lënia e ransomware-it në sistem është e rrezikshme. Komponentët e mbetur mund të rienkriptojnë skedarët e sapokriptuar, të mbledhin kredencialet, të hapin dyer të pasme ose të përpiqen të lëvizin anash nëpër rrjetin lokal. Zhdukja, e mbështetur nga skanimi i pikave fundore, inspektimi i memories dhe një rishikim i detyrave të planifikuara, hyrjeve të fillimit dhe kontrolluesve të domenit, është thelbësore për të parandaluar dëmtimet e përsëritura.

Vektorët e infeksionit të bllokimit të zakonshëm

Sulmuesit kanë nevojë për një pikëmbështetje fillestare. Fushatat e programeve ransomware janë shoqëruar me kanale të shumta shpërndarjeje që shfrytëzojnë besimin e përdoruesit, kuriozitetin dhe rrugët e shkurtra për uljen e kostove:

  • Softuer komercial i piratuar ose i 'krijuar', duke përfshirë gjeneratorë çelësash të paketuar dhe mjete anashkalimi të licencës që instalojnë fshehurazi programe keqdashëse.
  • Krisje softuerësh, gjenerues çelësash dhe aktivizues jozyrtarë të nxjerrë nga faqet e warez ose torrenteve.
  • Bashkëngjitje keqdashëse në email: dokumente Word të bllokuara (shpesh të aktivizuara për makro), PDF, arkiva ZIP, skedarë skriptesh ose ngarkesa të ekzekutueshme të maskuara si fatura, njoftime dërgesash ose formularë urgjentë të burimeve njerëzore.
  • Reklama keqdashëse (reklama keqdashëse) që i ridrejtojnë përdoruesit drejt kompleteve shfrytëzuese ose faqeve mashtruese të shkarkimit.
  • Platformat e ndarjes peer-to-peer dhe qendrat e shkarkimit të palëve të treta që ripaketojnë instaluesit me ngarkesa të fshehura.
  • Media të lëvizshme (p.sh., disqe USB të infektuara) që ekzekutohen automatikisht ose i tundojnë përdoruesit të hapin skedarë të kontaminuar.
  • Portale të rreme mbështetjeje teknike që u bëjnë presion përdoruesve të shkarkojnë 'rregullime' ose 'përditësime' që në të vërtetë përmbajnë ngarkuesin e ransomware-it.
  • Faqe interneti të ligjshme të kompromentuara të cilat janë infektuar me shkarkime automatike ose skripte të injektuara që shpërndajnë ngarkesën.

Praktikat më të Mira të Sigurisë për të Forcuar Mbrojtjen Tuaj

Siguria e shtresuar e zvogëlon ndjeshëm rrezen e shpërthimit të një ngjarjeje ransomware. Më poshtë janë hapat mbrojtës të përcaktuar me përparësi që ndihmojnë në parandalimin e suksesit të DeadLock dhe kërcënimeve të ngjashme:

  • Mbani kopje rezervë të besueshme dhe jashtë linje të të dhënave kritike.
  • Kryeni menjëherë përditësime në sistemet operative, aplikacionet dhe firmware-in, veçanërisht shërbimet dhe paketat e produktivitetit të ekspozuara ndaj abuzimit me makro ose shfrytëzimit.
  • Përdorni mbrojtje të besueshme të pikës së fundit/EDR me zbulim të ransomware-it bazuar në sjellje dhe izolim automatik.
  • Zbatoni llogaritë e përdoruesve me privilegjet më të pakta; çaktivizoni administratorin lokal aty ku nuk kërkohet; ndani kredencialet e administratorit nga përdorimi i përditshëm.
  • Kufizoni ekzekutimin e makrove, interpretuesit e skripteve dhe skedarët binare të pa nënshkruar nëpërmjet politikës së grupit, listës së lejimeve të aplikacioneve dhe aksesit të kontrolluar të dosjeve.
  • Vendosni filtrimin e sigurisë së email-it: bashkëngjitjet sandbox, inspektoni lidhjet dhe sinjalizoni llojet e dyshimta të skedarëve ose domenet e dërguesve të falsifikuar.
  • Çaktivizo autorun-in në mediat e lëvizshme dhe skano pajisjet USB para montimit.
  • Kërkon autentifikim shumëfaktorësh (MFA) për akses në distancë, konsola administratori dhe ndërfaqe të menaxhimit të kopjeve rezervë.

Mësime Afatgjata

DeadLock përforcon një temë të përsëritur në të gjitha familjet e ransomware-ave: sulmuesit nuk kanë nevojë për shfrytëzime të teknologjisë së fundit nëse përdoruesit fundorë shkarkojnë rregullisht mjete të hackuara, hapin bashkëngjitje të paverifikuara ose shfletojnë nëpër rrjete reklamash të pabesueshme. Teknikat bazë të sigurisë, disiplina e patch-eve, kontrollet e aksesit, kopjet rezervë të monitoruara dhe ndërgjegjësimi i përdoruesit, e shndërrojnë një krizë të mundshme në një ngjarje të rikuperueshme. Investoni në këto mbrojtje tani; kostoja është shumë më e ulët se një shpërblim i paguar nën presion.

Mendime Përfundimtare

Rezistenca ndaj ransomware-it ndërtohet shumë kohë përpara se një sulm të godasë ekranin tuaj. Duke kuptuar se si funksionon DeadLock dhe duke zbatuar kontrolle të shtresuara parandaluese dhe rikuperimi, ju pozicionoheni për t'i bërë ballë këtij kërcënimi dhe të tjerëve të ngjashëm. Qëndroni skeptikë ndaj çdo gjëje që nuk e keni kërkuar ose verifikuar qëllimisht. Vigjilenca juaj është linja e parë dhe shpesh më e mirë e mbrojtjes.

Mesazhet

Mesazhet e mëposhtme të lidhura me DeadLock Ransomware u gjetën:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Në trend

Më e shikuara

Po ngarkohet...