NeZha ransomware

Рансомвер остаје једна од најопаснијих претњи са којима се суочавају појединци и организације. Један успешан упад може зауставити операције, оштетити или украсти осетљиве податке и покренути скупе напоре за опоравак. Изградња јаке, слојевите одбране пре инцидента је једини поуздан начин да се минимизира утицај када, а не ако, нападачи окушају срећу.

Преглед претњи

Истраживачи су идентификовали софистицирани сој назван NeZha ransomware. Као и код других породица у овој категорији, главни циљ NeZha-а је једноставан: шифровати што више датотека, а затим присилити на плаћање кључа за дешифровање. Његови оператери се позиционирају као једини пут до опоравка и појачавају притисак временским ограничењима и претњама од цурења података.

Понашање на систему и промене датотека

Када се NeZha учврсти, почиње да шифрује корисничке и пословне податке на уобичајеним локацијама. Током шифровања такође преименује ставке додавањем идентификатора специфичног за жртву и екстензије „.NeZha“. У примећеним случајевима, имена датотека добијају ИД сличан GUID-у; на пример, бенигна датотека као што је „1.png“ је трансформисана у име слично „1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha“. Након што заврши свој пролаз, NeZha оставља поруку са захтевом за откуп под називом „README.TXT“ у погођене директоријуме.

Порука за откуп и тактике притиска

У поруци се тврди да су базе података, документи, фотографије и друге датотеке шифроване и да је куповина кључа за дешифровање од нападача једино решење. Да би изградили кредибилитет, криминалци често нуде да бесплатно дешифрују једну некритичну датотеку. Упозоравају да се не мењају закључане датотеке, не користе дешифратори трећих страна или не тражи спољна помоћ, тврдећи да ће то повећати губитке. За почетни контакт је утврђен рок од 24 сата; ако се пропусти, оператери прете да ће цурити или продавати осетљиве податке компаније за које тврде да су их украли, што је пример „двоструке изнуде“.

Реалност опоравка и дилема плаћања

Технички гледано, већина модерних ransomware програма не може се дешифровати без приватних кључева нападача, осим ако злонамерни софтвер није озбиљно оштећен, што је неуобичајен сценарио. Међутим, плаћање је ризично и не препоручује се: многе жртве никада не добију функционалне дешифраторе чак ни након трансфера средстава, а плаћање одржава криминалне активности. Безбеднији пут је ослањање на чисте, офлајн резервне копије и формални одговор на инцидент.

Задржавање и уклањање

Уклањање NeZha-е зауставља даље шифровање, али не откључава већ погођене датотеке. Приоритети би требало да буду изоловање заражених система од мреже, очување доказа за форензику, искорењивање злонамерног софтвера коришћењем реномираних алата или чисте реконструкције, а затим враћање података из познатих резервних копија. Ако сумњате на крађу података, активирајте свој план реаговања на кршење и размотрите законске, регулаторне и обавезе обавештавања купаца.

Како се NeZha обично шири

НеЖа прати принцип многих кампања ransomware-а, користећи методе испоруке које воде и корисници и напади. Нападачи могу да прикрију кориснички садржај као легитиман или да га прокријумчаре у софтверске пакете, а затим покрену извршавање када се датотека отвори или покрене скрипта. Неке варијанте се такође могу ширити латерално у локалним мрежама или копирати на преносиве медије.

Уобичајени вектори испоруке

• Фишинг и друштвени инжењеринг који доводе до отварања заражених прилога (Office/OneNote/PDF), скрипти (JavaScript), архива (ZIP/RAR) или извршних датотека (.exe/.run).
• Тројанизовани инсталатери, учитавачи и задња врата који увлаче ransomware као другу фазу.
• Преузимања са угрожених или злонамерних сајтова, као и обмањујућа преузимања.
• Непоуздани извори за преузимање (бесплатни портали, огледала трећих страна, P2P мреже).
• Спам кампање, онлајн преваре и злонамерно оглашавање које преусмерава на корисне садржаје.
• Илегални алати за активацију („крекови“), пиратски софтвер/медији и лажни захтеви за ажурирање.
• Самостално се шири преко локалних мрежа и преносивих уређаја за складиштење (УСБ дискови, екстерни ХДД-ови).

Завршне мисли

NeZha се уклапа у модерни калуп ransomware-а: брза енкрипција, јака принуда и веродостојне претње од излагања података. Најбољу предност стичете пре инцидента, кроз ригорозну хигијену, слојевите контроле, тестиране резервне копије и увежбани одговор. Комбинујте техничке мере заштите са едукацијом корисника и дисциплинованим операцијама како бисте смањили и вероватноћу и радијус експлозије NeZha напада.