Баш 2.0 рансомвер
Рансомвер остаје једна од најопаснијих претњи са којима се суочавају појединци и организације. Један успешан упад може да помеша ваше датотеке, заустави пословне операције и стави осетљиве податке на милост и немилост изнуђивача. Проактивна заштита, слојевите безбедносне контроле, будност корисника и поуздане резервне копије увек ће коштати мање од плаћања криминалаца (а да и даље не добијете своје податке назад). Баш 2.0 Рансомвер, такође праћен као Баш Ред, је благовремени подсетник да породице у настајању настављају да понављају проверени код за напад док усавршавају своје тактике притиска на жртве.
Преглед садржаја
УПОЗНАЈТЕ BASH 2.0 (BASH RED)
Истраживачи су идентификовали Bash 2.0 током истраживања активности новог малвера. Претња је заснована на кодној бази Chaos ransomware-а, оквиру који је поново коришћен у вишеструким спин-офовима. Коришћење Chaos-а даје нападачима предност: шифровање језгра, руковање датотекама и рутине за поруке о откупу су већ присутне и могу се прилагодити за нове кампање. Bash 2.0 користи ове наслеђене могућности за закључавање података и изнуду плаћања.
ШТА СЕ ДЕШАВА СА ВАШИМ ДАТОТЕКАМА
Када се Bash 2.0 покрене на систему, покушава да шифрује доступне податке. Свака погођена датотека добија додатну екстензију састављену од четири насумична знака, претварајући нешто попут „1.png“ у „1.png.2rf9“ (насумични суфикс варира у зависности од инфекције). Ова конвенција преименовања помаже нападачима (и аутоматизованим алатима) да прате шта је закључано, док истовремено сигнализирају жртвама да њихови подаци више нису употребљиви. Ransomware такође мења позадину радне површине како би визуелно појачао поруку о изнуди.
ПОРУКА О ОТКУПНИНИ: BASHRED-README.TXT
Након завршетка шифровања, Bash 2.0 шаље текстуалну поруку под називом „bashred-reAdmE.txt“. Порука обавештава жртву да су датотеке шифроване и тврди да је једини одрживи пут опоравка добијање јединственог кључа за дешифровање и софтвера од нападача. Жртвама се налаже да успоставе контакт и плате; порука упозорава да би преименовање, модификовање или покушај независног дешифровања закључаних података могао трајно да их оштети. Промена позадине обично одјекује истим темама, повећавајући хитност.
КОЛИКО ЈЕ РЕАЛАН ПОПОРАВАК ПОДАТАКА?
У већини инцидената са ransomware-ом, дешифровање без сарадње нападача је технички неизводљиво јер је енкрипција дизајнирана да буде криптографски јака. Само у ретким случајевима, обично када аутори малвера направе озбиљне грешке у имплементацији, дешифровање је могуће без њиховог учешћа. Чак ни плаћање није гаранција: жртве редовно пријављују да никада нису добиле исправне алате, да су добиле делимичне дешифраторе или да су наишле на оштећене кључеве. Плаћање такође финансира даље криминалне операције, што вас потенцијално чини сталном метом. Из ових разлога, стручњаци за безбедност снажно не обесхрабрују испуњавање захтева за откуп.
ЗАУСТАВИТИ КРВАРЕЊЕ: УКЛАЊАЊЕ И ЗАУСТАВЉАЊЕ
Елиминисање Bash 2.0 из зараженог окружења је неопходно како би се спречило шифровање додатних датотека и спречило ширење претње на повезане системе. Међутим, чишћење злонамерног софтвера не дешифрује већ закључане податке. Права рестаурација зависи од безбедних, офлајн и неугрожених резервних копија. Пре опоравка, изолујте погођене машине од мреже, извршите потпуно скенирање злонамерног софтвера помоћу ажурираних алата и поново изградите систем или направите нову слику система тамо где поверење није сигурно. Враћене системе поново повежите тек након што проверите да су чисти.
КАКО СЕ BASH 2.0 ШИРИ У ДИВЉИНИ
Нападачи бацају широку мрежу. Уобичајени вектори дистрибуције повезани са кампањама ransomware-а, а релевантни за Bash 2.0, укључују:
- Злонамерни прилози или линкови достављени путем спама, фишинга или платформи за друштвене поруке.
- Инсталатери у пакету или заражени тројанцима који се представљају као легитиман софтвер, игре, медијски кодеци или алати за продуктивност.
- Автоматична преузимања покренута преко компромитованих или злонамерних сајтова, често доступних путем злонамерног оглашавања.
- Канали за преузимање трећих страна, бесплатни софтвер и peer-to-peer канали са слабом контролом интегритета.
- Илегални софтверски „крекови“, кејгенови и фалсификовани услужни програми за активацију који тихо испоручују корисне податке.
- Лажни захтеви за ажурирање (прегледача, додатка, оперативног система или апликације) који инсталирају злонамерни софтвер уместо закрпа.
Неке верзије претњи способне су за бочно кретање или самопроширење, покушавајући да пређу преко локалних мрежа или да се копирају на преносиве медије као што су УСБ флеш дискови и екстерни дискови.
НАЈБОЉЕ БЕЗБЕДНОСНЕ ПРАКСЕ ЗА ЈАЧАЊЕ ВАШЕ ОДБРАНЕ
- Одржавајте верзионе, офлајн и редовно тестиране резервне копије. Чувајте барем један скуп резервних копија ван мреже (пожељно је непроменљиво складиште или медијум за једнократно писање).
- Редовно ажурирајте оперативне системе, апликације, безбедносне пакете и фирмвер. Омогућите аутоматска ажурирања где год је то практично.
- Примените реномирана решења за заштиту од злонамерног софтвера/EDR са могућностима откривања бихејвиоралног ransomware-а и враћања унапред.
- Користите филтрирање имејлова, „sandbox“ анализу прилога и системе за скенирање линкова како бисте смањили ризик од фишинга; обучите кориснике да препознају лажне пошиљаоце и неочекиване прилоге.
- Онемогућите или ограничите макрое и активни садржај у форматима докумената; отворите непожељне документе у заштићеном приказу.
- Радите са корисничким налозима са најмањим привилегијама; резервишите администраторске акредитиве за наменске, безбедне сесије.
- Сегментирајте мреже и спроведите контроле приступа тако да једна угрожена крајња тачка не може да допре до свих критичних дељених ресурса.
- Захтевајте вишефакторску аутентификацију за удаљени приступ, привилеговане радње и резервне конзоле за администрацију.
- Онемогућите аутоматско покретање/аутоматску репродукцију на преносивим медијима; скенирајте екстерне дискове пре монтирања на производне системе.
ЗАВРШНЕ МИСЛИ
Bash 2.0 Ransomware илуструје колико брзо актери претњи могу да пренамене постојеће базе кодова у нове алате за изнуду. Браниоци који се ослањају искључиво на детекцију засновану на потписима или реакцију у последњем тренутку остаће у неповољном положају. Комбиновањем дисциплинованих стратегија прављења резервних копија, јаке хигијене закрпа, слојевите одбране крајњих тачака и имејлова, дизајна са најмањим привилегијама и увежбаних сценарија за реаговање, драматично смањујете и вероватноћу и утицај ransomware догађаја.
Поруке
Пронађене су следеће поруке повезане са Баш 2.0 рансомвер:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
