МИРРОР Рансомваре
Након темељне анализе потенцијалних претњи од малвера, истраживачи су коначно идентификовали МИРРОР као варијанту рансомваре-а. Примарни циљ претње МИРРОР је шифровање датотека присутних на компромитованим уређајима. Поред тога, предузима преименовање датотека и издаје две белешке о откупу — једну у облику искачућег прозора, а другу као текстуалну датотеку под називом „инфо-МИРРОР.ткт“.
МИРРОР Рансомваре користи специфичну конвенцију именовања за датотеке које шифрује, додајући ИД жртве, адресу е-поште „тпирцедроррим@тута.ио“ и екстензију „.Мр“. На пример, он трансформише '1.пдф' у '1.пдф.ид-9ЕЦФА74Е.[тпирцедроррим@тута.ио].Мр,' и '2.пнг' постаје '2.пнг.ид-9ЕЦФА74Е.[тпирцедроррим@). тута.ио].Мр,' и тако даље. Ова посебна претња је категорисана као варијанта у оквиру породице Дхарма Рансомваре .
Преглед садржаја
МИРРОР Рансомваре превазилази шифровање датотека
Поред шифровања датотека, МИРРОР користи стратешке мере да додатно угрози безбедност циљаног система. Једна таква тактика укључује онемогућавање заштитног зида, чиме се повећава рањивост система на злонамерне активности које оркестрира рансомваре. Поред тога, МИРРОР предузима намерне радње да избрише копије сенки, ефикасно елиминишући потенцијалне тачке враћања и ометајући напоре за опоравак.
МИРРОР користи рањивости у услугама протокола за удаљену радну површину (РДП) као примарни вектор за инфекцију. Ово обично укључује искоришћавање слабих акредитива налога путем метода као што су груба сила и напади из речника. Користећи ове технике, рансомваре добија неовлашћени приступ системима, посебно онима са неадекватно управљаном безбедношћу налога.
Штавише, МИРРОР показује способност издвајања података о локацији, омогућавајући му да разазна географски контекст заражених система. Посебно, поседује могућност да искључи унапред одређене локације из свог обима екстракције података. Поред тога, МИРРОР укључује механизме постојаности, осигуравајући да може задржати упориште у компромитованом систему током дужег периода.
Жртве МИРРОР Рансомваре-а су изнуђене за новац
Обавештење о откупнини МИРРОР Рансомваре-а служи као комуникација од нападача до жртве, експлицитно наводећи да су сви фајлови жртве подвргнути шифровању. Он оцртава потенцијални пут за обнављање фајлова, упућујући жртви да започне контакт преко одређене адресе е-поште (тпирцедроррим@тута.ио) и пружа јединствени идентификатор.
Као алтернативно средство комуникације, белешка такође даје другу адресу е-поште (миррорроррим@цоцк.ли). Приметно, напомена снажно обесхрабрује коришћење посредника за комуникацију, наводећи потенцијалне ризике као што су пренаплата, неоправдано задужење и одбијање трансакције. Нападачи потврђују своју способност да пруже услуге опоравка шифрованих података и нуде гаранције, укључујући демонстрацију опоравка која укључује до три датотеке како би потврдили своју стручност.
Штавише, порука о откупнини даје упозорење жртви, изричито саветујући да не преименује шифроване датотеке. Такође упозорава на покушаје дешифровања путем софтвера треће стране, наглашавајући потенцијалне последице трајног губитка података или подложности преварама. Намера је да се жртва упути на најсигурнији начин деловања како би се максимизирале шансе за успешан опоравак датотеке уз минимизирање потенцијалних ризика.
Предузмите мере да заштитите своје уређаје од инфекција рансомвером
Рансомваре представља значајну претњу по безбедност дигиталних уређаја, са могућим последицама у распону од губитка података до финансијске изнуде. Спровођење проактивних мера је кључно за јачање уређаја против таквих инфекција. Ево пет ефикасних корака које корисници могу да предузму:
- Редовно ажурирајте оперативне системе и софтвер : Одржавање оперативних система и софтвера ажурним је од виталног значаја, јер ажурирања често укључују безбедносне закрпе које се баве рањивостима. Редовно проверавајте и примењујте ажурирања да бисте смањили ризик да рансомвер искоришћава познате слабости.
- Инсталирајте и одржавајте безбедносни софтвер : Коришћење поузданог безбедносног софтвера даје додатни слој одбране од рансомваре-а. Уверите се да се анти-малвер програм редовно ажурира и спроведите планирана скенирања да бисте открили и елиминисали потенцијалне претње пре него што могу да угрозе ваш уређај.
- Будите опрезни са прилозима и везама е-поште : Рансомвер се често инфилтрира у системе путем пхисхинг порука е-поште које садрже злонамерне прилоге или везе. Будите веома опрезни када отварате мејлове непознатих пошиљалаца, покушајте да не кликнете на сумњиве везе и уздржите се од преузимања прилога осим ако се не потврди њихова легитимност.
- Редовно прављење резервних копија података : Прављење редовних резервних копија основних података је критична превентивна мера. У нападу рансомваре-а, недавне резервне копије омогућавају корисницима да врате своје датотеке без подлегања изнуђивању. Чувајте резервне копије на спољном уређају или безбедној услузи у облаку.
- Спроведите мере мрежне безбедности : Јачање безбедности мреже може да спречи нападе рансомваре-а. Користите заштитне зидове и системе за откривање/превенцију упада, користите јединствене и јаке лозинке за све уређаје и налоге и размислите о сегментирању мрежа како бисте ограничили потенцијални утицај инфекције на цео систем.
Усвајањем ових мера, корисници могу значајно да побољшају отпорност својих уређаја на рансомваре, штитећи своје вредне податке и одржавајући интегритет свог дигиталног окружења.
Пун текст главне поруке о откупнини коју је оставио МИРРОР Рансомваре је:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Текстуална датотека коју је МИРРОР Рансомваре испустио садржи следећу поруку:
'сви ваши подаци су нам закључани
Хоћеш да се вратиш?
напишите имејл тпирцедроррим@тута.ио или миррорроррим@цоцк.ли'
