DeadLock ransomware

Модерне кампање против ransomware-а су намењене да претворе ваше личне или организационе податке у предност. Када се критичне датотеке шифрују, нападачи држе све карте у рукама, осим ако се нисте унапред припремили. Јака безбедносна хигијена, слојевита одбрана и отпорне стратегије прављења резервних копија драматично смањују вероватноћу да ће један злонамерни прилог, крековани инсталатер или лажно преузимање довести до поремећаја пословања или трајног губитка података. DeadLock Ransomware је добар пример зашто су ови фундаментални принципи важни.

Шта издваја DeadLock

ДедЛок је породица ransomware-а за шифровање датотека која означава сваку жртву јединственим идентификатором. Током напада, он шифрује корисничке податке и преименује сваку шифровану датотеку додавањем ИД-а жртве и екстензије „.dlock“ оригиналном називу датотеке. На пример: „1.png“ постаје „1.png.F8C6A8.dlock“ и „2.pdf“ постаје „2.pdf.F8C6A8.dlock“. Овај ИД се користи током целог процеса изнуде како би се пратила жртва и повезивала плаћања са кључевима за дешифровање. ДедЛок такође оставља поруку са захтевом за откуп чије име датотеке садржи исти идентификатор (нпр. „READ ME.F8C6A8.txt“) и мења позадину радне површине како би се нагласило да је систем угрожен.

Унутар поруке о откупнини

У поруци се наводи неколико кључних тачака осмишљених да усмере следеће потезе жртве. Тврди се да се шифроване датотеке не могу вратити без „јединственог кључа за дешифровање“ који поседују само нападачи. Жртвама се каже да инсталирају програм за размену порука усмерен на приватност и да их контактирају користећи достављени ИД сесије (поново мапирајући назад на идентификатор по жртви уграђен у имена датотека). Нападачи траже од жртве да пошаље једну шифровану датотеку плус „лични кључ“ (њихов јединствени ИД) ради верификације. Ово је уобичајена тактика која има за циљ изградњу поверења дешифровањем безопасног узорка.

Тактике плаћања и притиска

Оператори DeadLock-а захтевају криптовалуту, тачније Bitcoin или Monero. Обећавају да ће, након плаћања, испоручити функционалан дешифратор. Као и код већине операција ransomware-а, не постоји обавезна гаранција. У поруци се такође користи страх како би се обесхрабрили покушаји независног опоравка: упозорава се да жртве не преименују шифроване датотеке и да не покушавају алате за дешифровање трећих страна, тврдећи да такве радње могу трајно оштетити податке или повећати цену опоравка. Ова упозорења су делимично техничке природе (неправилно руковање заиста може да искомпликује опоравак), а делимично врше психолошки притисак.

Провера стварности дешифровања

Искуство са ransomware-ом уопште, као и поруке самих оператера, подржавају горку истину: у већини случајева, не можете дешифровати датотеке заражене DeadLock-ом без сарадње и алата нападача. То оставља два реална пута опоравка: (1) радне резервне копије које су биле офлајн, ван локације, верзионисане или на други начин нису биле доступне малверу у време напада; или (2) плаћање откупнине и нада да ће криминалци поштовати договор. Плаћање је ризично: нападачи могу нестати, испоручити покварени дешифратор или користити плаћање као сигнал да сте лака мета за будућу изнуду. Кад год је то могуће, ослањајте се на нетакнуте резервне копије уместо да плаћате откупнину.

Зашто је потпуно уклањање важно

Чак и након што се шифровање заврши, остављање ransomware-а на систему је опасно. Преостале компоненте могу поново шифровати новокреиране датотеке, прикупљати акредитиве, отварати задња врата или покушавати да се крећу латерално преко локалне мреже. Искорењивање, поткрепљено скенирањем крајњих тачака, инспекцијом меморије и прегледом заказаних задатака, покретачких уноса и контролера домена, кључно је за спречавање поновне штете.

Уобичајени вектори инфекције Deadlock-ом

Нападачима је потребан почетни упориште. Кампање рансомвера повезане су са вишеструким дистрибутивним каналима који се ослањају на поверење корисника, радозналост и пречице за смањење трошкова:

• Пиратски или „крековани“ комерцијални софтвер, укључујући генераторе кључева и алате за заобилажење лиценци који тајно инсталирају злонамерни софтвер.
• Крекови за софтвер, кејгенови и незванични активатори преузети са варез или торент сајтова.
• Злонамерни прилози е-поште: заражени Word документи (често са омогућеним макроима), PDF-ови, ZIP архиве, скрипте или извршни корисни подаци прикривени као фактуре, обавештења о отпреми или хитни HR обрасци.
• Злонамерно оглашавање (злонамерни огласи) које преусмеравају кориснике на комплете за експлоатирање или лажне странице за преузимање.
• Платформе за дељење од стране корисника до корисника и центри за преузимање трећих страна који препакују инсталатере са скривеним корисним садржајем.
• Преносиви медији (нпр. заражени УСБ дискови) који се аутоматски покрећу или намамљују кориснике да покрену заражене датотеке.
• Лажни портали за техничку подршку који врше притисак на кориснике да преузму „поправке“ или „ажурирања“ која заправо садрже програм за учитавање ransomware-а.
• Компромитовани легитимни веб-сајтови који су засејани drive-by преузимањима или убризганим скриптама које испоручују корисни терет.

Најбоље безбедносне праксе за јачање ваше одбране

Слојевита безбедност значајно смањује радијус експлозије ransomware-а. У наставку су наведени приоритетни одбрамбени кораци који помажу у спречавању успеха DeadLock-а и сличних претњи:

• Одржавајте поуздане, офлајн резервне копије критичних података.
• Благовремено ажурирајте оперативне системе, апликације и фирмвер, посебно изложене сервисе и пакете за продуктивност склоне злоупотреби макроа или експлоатација.
• Користите реномирану заштиту крајњих тачака/EDR са детекцијом ransomware-а заснованом на понашању и аутоматском изолацијом.
• Примените корисничке налоге са најмањим привилегијама; онемогућите локалну администраторску функцију где није потребна; одвојите администраторске акредитиве од оних за свакодневну употребу.
• Ограничите извршавање макроа, интерпретаторе скрипти и непотписане бинарне датотеке путем групних смерница, листе дозвољених апликација и контролисаног приступа фасциклама.
• Примените филтрирање безбедности е-поште: прилоге у заштићеном окружењу, прегледајте линкове и означите сумњиве типове датотека или лажне домене пошиљалаца.
• Онемогућите аутоматско покретање на преносивим медијима и скенирајте УСБ уређаје пре монтирања.
• Захтевајте вишефакторску аутентификацију (MFA) за удаљени приступ, администраторске конзоле и интерфејсе за управљање резервним копијама.

Дугорочне лекције

ДедЛок појачава тему која се понавља у породицама ransomware-а: нападачима нису потребни најсавременији експлоати ако крајњи корисници рутински преузимају крековане алате, отварају непроверене прилоге или прегледају непоуздане огласне мреже. Основне безбедносне технике, дисциплина примене закрпа, контроле приступа, надгледане резервне копије и свест корисника претварају потенцијалну кризу у догађај који се може надокнадити. Инвестирајте у ове одбрамбене мере сада; цена је далеко нижа од откупнине плаћене под притиском.

Завршне мисли

Отпорност на ransomware се гради много пре него што напад погоди ваш екран. Разумевањем како DeadLock функционише и имплементацијом слојевитих превентивних и контрола опоравка, позиционирате се да се одупрете овој и другима сличним претњама. Будите скептични према свему што нисте намерно потражили или проверили. Ваша будност је прва, и често најбоља, линија одбране.