REVRAC (Makop) рансомвер
Опасност коју представља ransomware је већа него икад. Са кршењем података и нападима злонамерног софтвера који редовно доспевају у насловне стране, кључно је да корисници остану опрезни и усвоје јаке праксе сајбер безбедности. Међу најновијим претњама које круже је новоидентификована варијанта REVRAC ransomware-а, софистицираног и веома штетног соја који припада породици Makop ransomware-а. Ова анализа се бави деловањем ове претње, њеним методама инфекције и најефикаснијим начинима одбране од ње.
Преглед садржаја
Познато име са опасним обртом
Иако је рансомвер са ознаком REVRAC виђен и у прошлости, тренутна варијанта представља потпуно нову и опасну еволуцију. Ова верзија је несумњиво повезана са породицом рансомвера Makop, познатом по свом агресивном шифровању и деструктивним способностима. Једном покренут на циљном систему, REVRAC одмах почиње да шифрује корисничке датотеке, укључујући документе, слике, базе података и друге вредне податке.
Заражене датотеке се преименују пратећи посебан образац: оригинално име датотеке се мења тако да укључује јединствени ИД жртве, адресу е-поште нападача и екстензију „.REVRAC“. На пример, датотека као што је „1.png“ се преименује у „1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC.“
Поред закључавања датотека, рансомвер мења позадину радне површине система и креира поруку о откупу под називом „+README-WARNING+.txt“. Ова порука описује захтеве нападача и упозорава да се не користе алати трећих страна или преименује датотеке, претећи трајном штетом или повећаним захтевима за откуп.
Откупнина: Изнуда по наруџби
Порука о откупу коју је оставио REVRAC има за циљ да примора жртве на послушност кроз страх и хитну потребу. Она обавештава кориснике да се њихове датотеке не могу вратити без јединственог кључа за дешифровање који поседују само нападачи. Жртвама се налаже да контактирају „onlybuy@cyberfear.com“, наводећи свој лични идентификациони број како је приказан у именима датотека. У поруци се наглашава да сваки неовлашћени покушај дешифровања или модификовања шифрованих података може довести до неповратног губитка података.
Упркос овим тврдњама, стручњаци за сајбер безбедност снажно саветују да се не плаћа откупнина. Не постоји гаранција да ће плаћање резултирати опоравком датотека, а то само подстиче даље криминалне активности.
Како REVRAC инфицира системе
REVRAC ransomware се шири кроз разне обмањујуће и злонамерне тактике. Уобичајени вектори инфекције укључују:
Лажни инсталатери софтвера : Злонамерни софтвер прикривен као крековани програми, генератори кључева или неовлашћени алати за активацију.
Фишинг имејлови : Поруке које варају кориснике да преузму злонамерне прилоге или кликну на опасне линкове.
Компромитовани веб-сајтови и огласи : Веб-сајтови или огласи који изгледају легитимно и тајно инсталирају злонамерни софтвер.
Ширење преко преносивих медија и мреже : Инфекције које се шире преко УСБ дискова или латерално преко повезаних система.
Искоришћавање рањивости софтвера : Коришћење неисправљених грешака у легитимном софтверу за добијање приступа и извршавање ransomware програма.
Злонамерни софтвер је често уграђен у датотеке формата као што су извршне датотеке (.exe), документе (.docx, .xls), скрипте (.js, .vbs) или архивске датотеке (.zip, .rar).
Најбоље праксе за спречавање инфекција ransomware-ом
Да би се одбранили од претњи попут REVRAC-а, корисници морају да усвоје слојевит и проактиван приступ сајбер безбедности. Неке од најефикаснијих безбедносних пракси укључују:
- Држите све оперативне системе, апликације и безбедносне алате потпуно ажурираним.
- Користите реномирано антивирусно или анти-малвер решење са заштитом у реалном времену.
- Онемогућите макрое у Microsoft Office датотекама из непознатих извора.
Закључак: Будите опрезни, останите заштићени
Ренсомвер REVRAC је снажан пример како се ренсомвер наставља развијати, постајући све циљанији и штетнији. Његова повезаност са породицом Макоп истиче његов потенцијал за озбиљну штету. Међутим, уз одговарајуће мере предострожности, од хигијене софтвера до едукације корисника и рутина прављења резервних копија, појединци и организације могу заштитити своје податке и системе од пада у руке сајбер криминалаца. Превенција остаје најмоћније средство против ренсомвера.
Поруке
Пронађене су следеће поруке повезане са REVRAC (Makop) рансомвер:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
