LockBeast ransomware

До Mezo. у Рансомваре

Преведи на:

Рансомвер остаје једна од најопаснијих сајбер претњи за организације и кућне кориснике. Један успешан упад може закључати критичне пословне податке, зауставити операције и покренути скупе напоре за реаговање на инциденте и опоравак. Изградња слојевите одбране и спремности за реаговање пре епидемије је разлика између контролисаног догађаја и кризе.

РЕЗИМЕ ПРЕТЊИ

Када се LockBeast Ransomware покрене, он шифрује корисничке податке, мења имена датотека како би уградио идентификатор жртве и оставља поруку са захтевом за откуп под називом „README.TXT“. Оператори комбинују шифровање са крађом података како би извршили притисак на жртве да плате, претећи да ће цурити осетљиве информације ако се контакт не успостави у одређеном року.

РАДНИ ТОК ШИФРОВАНЈА И ПРЕИМЕНОВАЊА ДАТОТЕКА

Током шифровања, LockBeast додаје и ИД специфичан за жртву и екстензију „.lockbeast“ циљаним датотекама. На пример, „1.png“ постаје „1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast“, а „2.pdf“ постаје „2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast“. Овај образац омогућава нападачима да прате појединачне жртве и потврде плаћање пре него што обезбеде било какву могућност дешифровања. Рутина шифровања има за циљ да покрије широк спектар типова података, укључујући документе, базе података, архиве, медије и спремишта изворног кода.

ОТКУПНИНА И ТАКТИКА ДВОСТРУКЕ ИЗЦЕНЕ

У напомени „README.TXT“ се тврди да су све важне датотеке недоступне и наводи се да су осетљиви записи, као што су историја трансакција, лични подаци купаца, подаци о платним картицама и стање на рачунима, украдени у инфраструктуру нападача. Напомена пружа контакт податке путем програма за размену порука усмерених на приватност (Session и Tox), упозорава на преименовање датотека или коришћење дешифратора трећих страна и поставља рок од седам дана пре наводног објављивања података. Ово комбинује класично изнуђивање шифровањем датотека са претњама јавног цурења података како би се повећао притисак. Плаћање остаје ризично: не постоји гаранција да ће дешифровање функционисати, бити потпуно опорављено или да ће се избрисати украдене информације чак и ако се пошаље откупнина.

ПОЧЕТНИ ПРИСТУП И ВЕКТОР ДИСТРИБУЦИЈЕ

Уочене и вероватне методе испоруке подударају се са уобичајеним операцијама ransomware-а. Претње шире инфекције путем злонамерних прилога или линкова е-поште, тројанизованог или пиратског софтвера и keygen-ова, превара „подршке“ друштвеним инжењерингом и искоришћавања незакрпљених рањивости. Додатне путање укључују преусмеравања путем drive-by или malvertising-а, преузимаче трећих страна, компромитоване или сличне веб странице, заражене преносиве медије и peer-to-peer дељење датотека. Извршавање често почиње када корисник отвори заражену извршну датотеку, архиву, Office или PDF документ или скрипту.

СМЕРНИЦЕ ЗА СУЗБИЈАЊЕ И ИСКОРЕЊИВАЊЕ

Ако се сумња да је LockBeast заразио систем, одмах реагујте. Изолујте погођене машине од мреже (жичне и бежичне) како бисте спречили даље шифровање и латерално ширење. Онемогућите дељене дискове и опозовите сумњиве приступне токене или сесије. Сачувајте нестабилне артефакте и логове за форензику, а затим уклоните злонамерни софтвер користећи поуздано, потпуно ажурирано безбедносно решење или познато добро окружење за реаговање на инциденте. Враћајте податке само из чистих, офлајн резервних копија након што се потврди да је претња искорењена; у супротном, поновна инфекција може поново шифровати враћене податке.

ОПОРАВАК И УТИЦАЈ НА ПОСЛОВАЊЕ

Дешифровање без алата нападача обично није изводљиво уколико не постоје резервне копије. Дајте приоритет обнављању најкритичнијих услуга са непроменљивих или офлајн снимака. Сваку тврдњу о крађи података третирајте као веродостојну док се не докаже супротно: процените који су подаци могли бити изложени, припремите обавештења ако је то потребно законом или уговором и пратите злоупотребу (нпр. превару против купаца).

ОДЛУКЕ О ПЛАЋАЊУ

Иако сваки инцидент има јединствене оперативне и правне аспекте, плаћање откупнине финансира криминалне активности и не нуди гаранцију потпуног опоравка података или њиховог неоткривања. Прво размотрите алтернативе: обнављање из резервних копија, делимичну реконструкцију података и мере заштите купаца.

СУШТИНА

ЛокБист комбинује агресивно шифровање са претњама цурења података како би присилио жртве. Брза изолација, дисциплиновано искорењивање и поуздане офлајн резервне копије су кључне за опоравак. Дугорочно гледано, организације које улажу у закрпљивање, најмање привилегије, робусне контроле е-поште и веба и реалистичну спремност за инциденте драматично смањују и вероватноћу и утицај ransomware догађаја.

Поруке

Пронађене су следеће поруке повезане са LockBeast ransomware:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.