Solara Ransomware

Solara është një lloj ransomware-i i vëzhguar së fundmi për të cilin studiuesit thonë se është ndërtuar mbi kodin familjar Chaos të qarkulluar publikisht. Ransomware si Solara enkripton skedarët e përdoruesve, kërkon pagesë dhe mund të ndërpresë përgjithmonë aksesin në të dhëna të rëndësishme, kështu që mbrojtja e pajisjeve dhe kopjeve rezervë është thelbësore.

ÇFARË BËN SOLARA

Gjatë analizës, Solara u vu re duke enkriptuar skedarë dhe duke shtuar vargun e tekstit '.solara' në emrat e skedarëve (për shembull, '1.png' → '1.png.solara'). Malware gjithashtu lëshon një shënim shpërblimi të quajtur 'read_it.txt' që pretendon se viktima ka aktivizuar një mbrojtje 'anti-crack' dhe i udhëzon viktimat të marrin një mjet dekriptimi nga një aktor online. Disa shkrime dhe analiza shembullore e lidhin Solarën me familjen e ransomware-it Chaos dhe përshkruajnë sjellje të ngjashme (enkriptim, zëvendësim i zgjerimit dhe një shënim shpërblimi me tekst të thjeshtë).

SHPËRBLIMI DHE KËRKESAT PËR PAGESË

Mesazhi i shpërblimit i shqyrtuar nga analistët pohon se rikuperimi i skedarëve është 'pothuajse i pamundur' pa mjetin e deshifrimit të sulmuesit. Shënimi udhëzon viktimat të kontaktojnë një përdorues të Discord (xenqxd) dhe sugjeron mundësi pagese si Paysafecard (në Poloni) ose një sasi të vogël Bitcoin. Veçanërisht, disa mostra nuk përfshijnë kanale kontakti kuptimplote, të cilat mund të tregojnë një fushatë të papjekur ose të ngjashme me shaka, ose operatorë që thjesht nuk presin të negociojnë. Trajtojini të gjitha kërkesat e tilla me dyshim ekstrem.

A MUND TË RIKUPERONI SKEDARËT PA PAGUAR?

Në përgjithësi, skedarët e enkriptuar nga kërcënimet Chaos-family nuk mund të rikuperohen pa çelësin e duhur të deshifrimit. Nëse keni kopje rezervë të pastra dhe jashtë linje që nga para infeksionit, rikthimi i tyre është rruga më e sigurt e rekomanduar. Pagesa nuk rekomandohet, kriminelët shpesh nuk ofrojnë deshifrues të përdorshëm dhe pagesa financon aktivitete të mëtejshme kriminale.

VEKTORËT E ZAKONSHËM TË INFEKSIONIT

• Softuer pirat, gjenerues çelësash dhe programe të “krisura” të maskuara me programe keqdashëse.
• Bashkëngjitje dhe lidhje keqdashëse të email-eve (makro të Office, skripte, skedarë EXE).
• Reklama të infektuara, faqe shkarkimi të kompromentuara ose jozyrtare, rrjete P2P/torrent, disqe USB dhe shkarkues të palëve të treta.

VEPRIMET E MENJËHERSHME NËSE DYSHONI PËR INFEKSION

Izoloni menjëherë makinën : shkëputeni nga rrjetet (me tel/wifi) dhe çmontoni çdo disk të përbashkët/rrjeti për të ndaluar përhapjen anësore.

Ruani provat : mos e aktivizoni përsëri funksionin nëse po mbledhni memorie ose objekte mjeko-ligjore, por kapni imazhe të memories dhe diskut nëse keni mundësi, ose telefononi reagimin ndaj incidentit.

Përdorni kopje rezervë : Riktheni nga kopje rezervë të besueshme pasi të jetë hequr programi keqdashës dhe sistemet të jenë rindërtuar; mos rivendosni kopje rezervë që mund të kenë qenë të lidhura në kohën e infeksionit.

Mos paguani nëse një ekip reagimi ndaj incidenteve nuk ka vlerësuar të gjitha opsionet dhe pasojat; pagesa nuk garantohet të funksionojë dhe mund të inkurajojë sulme të ardhshme.

PRAKTIKAT MË TË MIRA TË SIGURISË

Mbani një mbrojtje të përditësuar dhe të shtresuar që përfshin praktikat e mëposhtme në operacionet e përditshme:

Menaxhimi i patch-eve : aplikoni menjëherë përditësimet e sigurisë së sistemit operativ dhe aplikacioneve; shumë lloje ransomware shfrytëzojnë dobësitë e njohura dhe të patch-uara.

Privilegje dhe higjienë llogarie minimale : drejtoni përdoruesit me llogari jo-administratori, zbatoni autentifikim të fortë shumëfaktorësh për qasje në distancë dhe llogari të privilegjuara, dhe monitoroni për sjellje të pazakontë hyrjeje.

Strategjia e kopjimit rezervë : Krijoni kopje rezervë rregullisht dhe mbajini ato të ndara nga rrjeti. Në fund të fundit, kopjet rezervë janë kontrolli më efektiv i rikuperimit kundër sulmeve të enkriptimit.

Mbrojtja e pikave fundore dhe EDR : vendosni zgjidhje të besueshme për zbulimin dhe reagimin e pikave fundore që mund të zbulojnë anomalitë e ekzekutimit, të bllokojnë ngarkesat keqdashëse dhe të mundësojnë përmbajtjen e shpejtë. Mbani të aktivizuara nënshkrimet dhe telemetrinë.

Edukimi i përdoruesve dhe rezistenca ndaj phishing-ut : trajnoni përdoruesit që të shmangin ekzekutimin e crack-eve/keygen-ave, të verifikojnë dërguesit e email-eve dhe lidhjet, dhe të trajtojnë bashkëngjitjet e papritura me dyshim. Fushatat e simuluara të phishing-ut dhe ndërgjegjësimit zvogëlojnë faktorin e rrezikut njerëzor.

Kontrollet e aplikacioneve dhe kufizimet e makrove : çaktivizoni makrot e Office si parazgjedhje, bllokoni ekzekutimin nga vendet e zakonshme të abuzimit (p.sh., %AppData%, dosjet e përkohshme) dhe përdorni listën e lejuar të aplikacioneve aty ku është e mundur.

SHËNIME PËRFUNDIMTARE

Solara ilustron rreziqet e zakonshme të lidhura me ndërtuesit e programeve ransomware të disponueshme publikisht: degët dhe variantet shumohen, dhe sulmuesit vazhdimisht përshtatin metodat e shpërndarjes për të synuar komunitete specifike (raportet nxjerrin në pah forumet e lojërave dhe kanalet e programeve të piratuara si karrem të mundshëm). Mbrojtjet më të mira janë parandalimi, kopjet rezervë të forta, përmbajtja e shpejtë dhe puna me ekipe reagimi të trajnuara, jo pagesa e shpërblimeve. Nëse dyshoni për kompromentim dhe keni nevojë për ndihmë hap pas hapi për pastrim, mblidhni tregues shembull (emra skedarësh, hashe, tekst shënimi për shpërblime) dhe konsultohuni me një ofrues të besuar të reagimit ndaj incidenteve ose shitësin tuaj të sigurisë për udhëzime për përmbajtjen dhe rikuperimin.