Попуст за више лиценци
Тхреат Датабасе Рансомваре Ior Ransomware

Ior Ransomware

До Mezo. у Рансомваре
Преведи на:
Српски

Како напади на рансомваре постају све софистициранији и деструктивнији, заштита ваших уређаја од штетних претњи никада није била важнија. Ови напади могу шифровати ваше податке, пореметити пословне операције и изнудити новац од жртава, често без гаранције за опоравак података. Недавно откриће Иор Рансомваре-а наглашава сталну претњу коју представљају модерне породице рансомвера. Разумевање начина на који Иор Рансомваре функционише и извођење јаких безбедносних радњи може значајно да смањи ризик да постанете жртва таквих напада.

Иор Рансомваре: Нова претња у породици Дарма

Иор Рансомваре припада озлоглашеној породици Дхарма Рансомваре , која има репутацију да циља на предузећа и појединце. Једном када Иор зарази систем, он брзо шифрује датотеке и преименује их користећи формат филенаме.ид-[ИД СТРИНГ].[е-маил нападача].иор. На пример, „доцумент.пдф“ би био преименован у „доцумент.пдф.ид-9ЕЦФА74Е.[јасаливан@420блазе.ит].иор“, чиме би се датотека закључала и учинила недоступном кориснику.

Иор рансомваре оставља за собом две врсте напомена о откупу:

  • Искачући прозор који одмах обавештава жртву о нападу.
  • Датотека под називом „мануал.ткт“, која пружа детаљна упутства о томе како да вратите шифроване податке.

Ове белешке о откупнини упућују жртву да контактира нападаче преко наведених имејл адреса—јасаливан@420блазе.ит или ја.саливан@кеемаил.ме—у року од 12 сати. Напомена такође нуди дешифровање до три датотеке (мање од 3 МБ) као доказ да је дешифровање могуће. Међутим, нападачи упозоравају да не покушавају да преименују шифроване датотеке или користе алате за дешифровање трећих страна, претећи трајним губитком података или већим трошковима за дешифровање ако се ове радње предузму.

Методе напада: Како Иор Рансомваре инфицира системе

Иор Рансомваре је веома опасан не само због својих могућности шифровања датотека, већ и због свог агресивног приступа онемогућавању безбедносних функција и обезбеђивању постојаности. Малвер:

  • Шифрује и локалне и мрежне датотеке, утичући не само на заражени рачунар већ и на све повезане уређаје или системе за складиштење података.
  • Онемогућава заштитни зид система, чинећи уређај рањивијим на даље нападе.
  • Брише Схадов Волуме Цопиес, што спречава кориснике да опорављају датотеке помоћу уграђених тачака враћања у Виндовс.
  • Копира се у директоријум %ЛОЦАЛАППДАТА% и региструје се помоћу Виндовс Рун тастера, омогућавајући му да се аутоматски поново покрене када се систем поново покрене.

Поред тога, Иор рансомваре је способан да прикупља податке о локацији и искључи одређене директоријуме из шифровања, што сугерише ниво прилагођавања заснован на стратегији нападача.

Вектори инфекције: Како се испоручује Иор Рансомваре

Као и многи сојеви рансомвера у породици Дхарма, Иор Рансомваре се често испоручује преко рањивих услуга протокола за удаљену радну површину (РДП). Сајбер криминалци искоришћавају слабе РДП конфигурације, користећи грубу силу или нападе помоћу речника за пробијање акредитива којима се лоше управља. Међутим, ово није једини начин на који Иор инфицира системе:

  • Оштећени прилози или везе е-поште : „Пецање“ е-порука са штетним прилозима или уграђеним везама је уобичајен начин испоруке за рансомваре.
  • Искоришћене рањивости софтвера : Незакрпљени системи су главне мете за рансомваре, пошто нападачи могу да искористе познате рањивости у застарелом софтверу или оперативним системима.
  • Пиратски софтвер : Незаконито преузети софтвер често скрива малвер, укључујући рансомваре, који корисници несвесно извршавају.
  • Компромитовани веб-сајтови : Корисници могу бити преварени да преузму малвер путем обмањујућих огласа, лажних преузимања или компромитованих веб локација.
  • Пеер-то-Пеер (П2П) мреже и преузимачи независних произвођача : Небезбедне датотеке се лако могу ширити преко торрент платформи или менаџера преузимања трећих страна којима недостају безбедносне контроле.

Најбоље безбедносне праксе за одбрану од Рансомваре-а

Да бисте се заштитили од Иор рансомваре-а и других сајбер претњи, неопходно је да се придржавате најбољих безбедносних пракси. Ако будете проактивни и предузмете праве мере предострожности, можете значајно да смањите ризик да постанете жртва ових напада. Ево кључних корака за јачање одбране од рансомвера:

  1. Редовно правите резервне копије података: Честе резервне копије су ваша најјача одбрана од рансомваре-а. Уверите се да су резервне копије свих основних датотека направљене на независном уређају за складиштење или сервису у облаку који је искључен са вашег главног система. На овај начин, ако су ваши подаци шифровани, можете их вратити без плаћања откупнине.
  2. Безбедан даљински приступ: Ако користите РДП или друге услуге даљинског приступа, уверите се да су безбедно конфигурисане:

Онемогућите РДП ако се не користи.

Користите јаке, јединствене лозинке за налоге са даљинским приступом.

Омогућите вишефакторску аутентификацију (МФА) за додатну сигурност.

Ограничите РДП приступ одређеним ИП адресама преко заштитног зида или ВПН-а.

  1. Одржавајте системе и софтвер ажурираним: Застарели софтвер је честа мета напада рансомвера. Уверите се да су ваш оперативни систем, апликације и софтвер за заштиту од малвера надограђени најновијим безбедносним закрпама. Аутоматизујте ажурирања где је то могуће да бисте смањили прозор рањивости.
  2. Примените решења против рансомвера: Инвестирајте у реномирани софтвер против малвера који укључује заштиту против рансомвера. Многи савремени безбедносни пакети могу да открију сумњиво понашање, као што је шифровање датотека или неовлашћене промене системских подешавања, и зауставе рансомваре пре него што изазове штету.
  3. Будите опрезни са е-поштом: е-поруке за „пецање“ остају један од најефикаснијих начина за нападаче да испоруче рансомваре. Избегавајте да кликнете на нежељене прилоге е-поште или везе. Проверите легитимност неочекиваних е-порука, чак и ако изгледа да долазе из поузданих извора.
  4. Користите јаке, јединствене лозинке: Слабе лозинке су главна рањивост у нападима рансомвера, посебно онима који укључују тактику грубе силе на РДП-у. Користите јаке, сложене лозинке и редовно их мењајте. Размислите о коришћењу менаџера лозинки за складиштење и стварање јединствених лозинки за различите налоге.
  5. Онемогућите макрое и ограничите извршавање скрипте: Многе инфекције рансомвером почињу преко злонамерних макроа у документима или коришћењем механизама за скриптовање као што је ПоверСхелл. Подразумевано онемогућите макрое и ограничите извршавање скрипте да бисте смањили ризик од инфекције.
  6. Користите заштитни зид и сегментацију мреже: заштитни зид може зауставити неовлашћени приступ вашем систему, а сегментација мреже може смањити ширење рансомваре-а унутар организације. Изолацијом критичних система и ограничавањем приступа мрежи, можете обуздати штету од напада.

Закључак: Будите информисани и спремни

Иор рансомваре, као и други чланови породице Дарма, представља озбиљну претњу како појединцима тако и организацијама. Његова способност да шифрује податке, онемогућава безбедносне функције и шири се кроз компромитоване мреже чини га страшним противником. Међутим, усвајањем горе наведених најбољих пракси—редовне резервне копије, ажурирања софтвера, робусне контроле даљинског приступа и јаке лозинке—можете ојачати своју одбрану и минимизирати утицај напада рансомвера. Кључ за очување безбедности је проактивна будност и посвећеност најбољим праксама сајбер безбедности.

Порука о откупнини коју Иор Рансомваре приказује као искачући прозор:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Порука од нападача испоручена као текстуална датотека:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'

У тренду

Самсунгова новчана превара е-поште

Пецање, Спам
Погодност комуникације на мрежи долази са значајним ризицима. Сајбер-криминалци стално смишљају софистициране шеме да преваре несуђене кориснике, због чега је од суштинског значаја да сви остану на опрезу док се крећу по свету на мрежи. Једна таква тактика која тренутно кружи је превара путем е-поште Самсунг Призе Монеи, вешто прикривени покушај пхисхинга који плени поверење и радозналост...

ПривАци

Потенцијално нежељени програми, Адваре, Отмичари претраживача
Потенцијално нежељени програми (ПУП) представљају значајне ризике за дигиталну безбедност и приватност корисника. Ове апликације често долазе у пакету са легитимним софтвером или се маскирају као...

Најгледанији

Превара е-поште 'Геек Скуад'

Пецање, Спам
37,738
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...

Искачући прозори „Ако имате 18 година, додирните...

Лажне поруке упозорења
29,470
Искачући прозори „Ако имате 18 година, тапните дозволи“ су врста искачућих огласа који се појављују на екрану корисника када прегледава интернет. Ови искачући прозори могу бити прилично алармантни за кориснике јер их позивају да кликну на дугме „Дозволи“ да би наставили да користе веб локацију на којој се тренутно налазе. Ови искачући прозори су повезани са таквим нежељеним програмима као што...
Учитавање...