Пријатељи рансомвера
Заштита уређаја од злонамерног софтвера је важнија него икад, јер модерне сајбер претње могу да шифрују вредне податке, поремете пословне операције и открију осетљиве информације. Рансомвер, посебно, остаје један од најштетнијих облика злонамерног софтвера јер комбинује шифровање података са тактикама изнуде осмишљеним да присиле жртве да плате велике суме новца. Један значајан пример је Фриендс Рансомвер, софистицирана претња која циља широк спектар типова датотека, а истовремено користи крађу података како би повећала вероватноћу плаћања.
Преглед садржаја
Пријатељи рансомвера: Двострука сајбер претња изнуде
Фриендс Рансомвер је злонамерни програм који су открили истраживачи сајбер безбедности, а који шифрује датотеке на компромитованим системима и захтева откупнину у замену за кључ за дешифровање. Поред шифровања датотека, оператери који стоје иза ове претње тврде да краду поверљиве информације од жртава пре него што закључају њихове податке. Ова тактика, позната као двострука изнуда, омогућава нападачима да прете и губитком података и јавним излагањем осетљивих информација.
Једном покренут на систему, Friends Ransomware скенира бројне типове датотека и шифрује их. Током овог процеса, додаје екстензију „.friends124“ погођеним датотекама. На пример, датотека под називом „1.png“ се трансформише у „1.png.friends124“, док „2.pdf“ постаје „2.pdf.friends124“. Ова екстензија служи као јасан показатељ да је злонамерни софтвер обрадио датотеке и да им више није могуће приступити на уобичајен начин.
Процес шифровања и захтеви за откуп
Након завршетка рутине шифровања, рансомвер креира датотеку под називом „RANSOM_NOTE.html“ која садржи упутства за жртву. Порука обавештава кориснике да су њихове датотеке шифроване и пружа контакт информације за покретање преговора о откупнини. Жртвама се налаже да комуницирају са нападачима путем имејл адреса „recovery1@salamati.vip“ и „recovery1@amniyat.xyz“. Такође се помиње и алтернативни метод контакта преко Тор мреже.
У поруци са захтевом за откуп тврди се да су поверљиви и лични подаци прикупљени и сачувани на приватном серверу којим управљају нападачи. Према поруци, ове информације ће бити објављене или продате трећим лицима ако жртва одбије да се повинује захтевима за откуп. Да би убедили жртве да је опоравак датотека могућ, криминалци нуде да бесплатно дешифрују две или три небитне датотеке. У поруци се даље упозорава да ће се износ откупа повећати ако се контакт не успостави у року од 72 сата и саветује се жртвама да креирају ProtonMail налог пре комуникације.
Зашто је плаћање откупнине ризична одлука
Жртве често разматрају плаћање откупнине када критичне датотеке постану недоступне. Међутим, плаћање сајбер криминалцима не гарантује успешан опоравак. Бројне операције рансомвера су наплаћивале уплате без пружања функционалних алата за дешифровање или су испоручивале алате који нису успели да врате све погођене податке.
Чак и када нападачи обезбеде алат за дешифровање, плаћање подржава криминалне активности и подстиче будуће нападе на друге појединце и организације. Из тих разлога, стручњаци за сајбер безбедност снажно обесхрабрују плаћање захтева за откуп. У већини инцидената, шифроване датотеке се не могу вратити без кључа за дешифровање нападача, осим ако ransomware не садржи значајне недостатке у имплементацији које истраживачи могу искористити да развију бесплатан дешифратор.
Опоравак и реаговање на инциденте
Непосредни приоритет након инфекције је уклањање вируса Friends Ransomware са погођеног система. Уклањање злонамерног софтвера помаже у спречавању шифровања додатних датотека и смањује ризик од даљих злонамерних активности. Међутим, само уклањање злонамерног софтвера не враћа већ шифроване податке.
Најпоузданији метод опоравка укључује враћање датотека из резервних копија креираних пре него што се инфекција догодила. Резервне копије треба чувати одвојено од примарног система како би остале нетакнуте током напада. Ако су резервне копије повезане на исту мрежу или су стално доступне, ransomware може покушати да их и шифрује, остављајући жртве без опције опоравка.
Како се шири рансомвер Friends
Као и многе породице ransomware-а, Friends Ransomware се ослања на вишеструке дистрибутивне канале како би дошао до потенцијалних жртава. Фишинг имејлови остају међу најефикаснијим методама испоруке. Ове поруке често садрже злонамерне прилоге или линкове који покрећу преузимања злонамерног софтвера када се отворе. Нападачи обично користе документе који садрже злонамерне макрое, компресоване архиве, извршне датотеке, PDF-ове и корисне садржаје засноване на JavaScript-у.
Додатни вектори инфекције укључују тројанце који неприметно инсталирају ransomware, лажне механизме ажурирања софтвера, злонамерне огласе, компромитоване веб странице и преузимања добијена из непоузданих извора. Портали за бесплатни софтвер, peer-to-peer мреже за дељење датотека и друге незваничне платформе за дистрибуцију често хостују злонамерне датотеке прерушене у легитиман софтвер. Заражени USB дискови такође могу олакшати ширење ransomware-а између система.
Посебно чест сценарио инфекције укључује крекове у софтверу и пиратске алате за активацију. Сајбер криминалци често маскирају злонамерни софтвер као бесплатне алтернативе плаћеном софтверу, искоришћавајући кориснике који су спремни да заобиђу званичне канале дистрибуције. Једном покренути, ови наизглед безопасни програми могу инсталирати ransomware без упозорења.
Јачање одбране од ransomware-а
Ефикасна заштита од ransomware-а захтева слојевиту безбедносну стратегију која комбинује техничке мере заштите са безбедним понашањем корисника. Организације и појединци треба да одржавају поуздан безбедносни софтвер, да обезбеде да оперативни системи и апликације добијају редовна ажурирања и да онемогуће непотребне функције које би нападачи могли да злоупотребе. Прилоге е-поште и линкове из непознатих или неочекиваних извора увек треба третирати са опрезом, чак и када делују легитимно.
Редовне резервне копије података су међу најважнијим одбрамбеним мерама. Чување више резервних копија на одвојеним локацијама, као што су офлајн екстерни дискови и безбедна решења за удаљено складиштење, значајно побољшава изгледе за опоравак након напада. Тестирање резервних копија такође треба периодично обављати како би се потврдило да се подаци могу успешно вратити када је то потребно.
Кључне безбедносне праксе укључују:
- Редовно ажурирајте оперативне системе, прегледаче и апликације најновијим безбедносним закрпама.
- Користите реномирани софтвер за заштиту крајњих тачака са могућностима откривања претњи у реалном времену.
- Одржавајте више резервних копија, укључујући барем једну офлајн или на други начин изоловану копију.
- Избегавајте отварање непожељних прилога у имејл порукама или кликтање на сумњиве линкове.
- Преузмите софтвер само из званичних и поузданих извора.
- Уздржите се од коришћења пиратског софтвера, крекова или неовлашћених алата за активацију.
- Ограничите администраторска права кад год је то могуће.
- Едукујте кориснике о тактикама фишинга и нападима друштвеног инжењеринга.
Завршна процена
Рансомвер „Пријатељи“ представља озбиљну претњу по сајбер безбедност која комбинује шифровање датотека са крађом података и изнудом. Додавањем екстензије „.friends124“ датотекама, остављањем поруке са захтевом за откуп под називом „RANSOM_NOTE.html“ и претњом откривањем украдених информација, његови оператери покушавају да максимизирају притисак на жртве. Иако су опције опоравка често ограничене без поузданих резервних копија, јаке праксе сајбер безбедности, редовне резервне копије, благовремена ажурирања софтвера и опрезно понашање на мрежи могу значајно смањити вероватноћу успешног напада рансомвера и минимизирати утицај у случају инфекције.
System Messages
The following system messages may be associated with Пријатељи рансомвера:
Your files have been encrypted. |