Солара рансомвер

Солара је недавно примећена врста ransomware-а за коју истраживачи кажу да је заснована на јавно распрострањеном коду породице Chaos. Ransomware попут Соларе шифрује корисничке датотеке, захтева плаћање и може трајно да поремети приступ важним подацима, тако да је заштита уређаја и резервних копија неопходна.

ШТА СОЛАРА РАДИ

Током анализе, примећено је како Солара шифрује датотеке и додаје текстуални стринг „.solara“ називима датотека (на пример, „1.png“ → „1.png.solara“). Злонамерни софтвер такође оставља поруку са захтевом за откуп под називом „read_it.txt“ у којој се тврди да је жртва активирала „анти-крековање“ заштиту и налаже жртвама да добију алат за дешифровање од онлајн актера. Неколико чланака и анализа узорака повезује Солару са породицом рансомвера Chaos и описује слично понашање (шифровање, замена екстензија и порука са захтевом за откуп у отвореном тексту).

ОТКУПНИНА И ЗАХТЕВИ ЗА НАКНАДУ ПЛАЋАЊА

У поруци са захтевом за откуп коју су испитали аналитичари тврди се да је опоравак датотека „готово немогућ“ без алата за дешифровање нападача. У поруци се жртвама налаже да контактирају корисника Дискорда (xenqxd) и предлажу се опције плаћања као што су Пајсејфкард (у Пољској) или мали износ Биткоина. Приметно је да неки узорци изостављају значајне канале за контакт, што може указивати на незрелу или шаљиву кампању, или оператере који једноставно не очекују да преговарају. Све такве захтеве треба третирати са крајњом сумњом.

ДА ЛИ МОЖЕТЕ ПОНОВОРИТИ ДАТОТЕКЕ БЕЗ ПЛАЋАЊА?

Генерално, датотеке шифроване претњама породице Хаос не могу се повратити без одговарајућег кључа за дешифровање. Ако имате чисте, офлајн резервне копије од пре инфекције, њихово враћање је најбезбеднији препоручени пут. Плаћање се не препоручује, криминалци често не испоручују употребљиве дешифраторе, а плаћање средстава унапређује криминалне активности.

Уобичајени преносиоци инфекције

• Пиратски софтвер, кејгенови и „крековани“ услужни програми прикривени злонамерним софтвером.
• Злонамерни прилози и линкови е-поште (макрои, скрипте, EXE датотеке).
• Заражени огласи, компромитовани или незванични сајтови за преузимање, P2P/торент мреже, USB дискови и програми за преузимање трећих страна.

НЕПОСРЕДНЕ АКЦИЈЕ УКОЛИКО СУМЊАТЕ НА ИНФЕКЦИЈУ

Одмах изолујте машину : искључите се са мрежа (жичаних/Wi-Fi) и искључите све дељене/мрежне дискове да бисте зауставили латерално ширење.

Сачувајте доказе : немојте искључивати и ресетовати рачунар ако прикупљате меморију или форензичке артефакте, уместо тога снимите слике меморије и диска ако имате могућност или позовите службу за реаговање на инциденте.

Користите резервне копије : Вратите систем из поузданих резервних копија након што се злонамерни софтвер уклони и системи се поново инсталирају; не враћајте резервне копије које су можда биле повезане у време инфекције.

Не плаћајте осим ако тим за реаговање на инциденте није проценио све опције и последице; плаћање не гарантује успех и може подстаћи будуће нападе.

НАЈБОЉЕ БЕЗБЕДНОСНЕ ПРАКСЕ

Одржавајте ажурну, слојевиту одбрану која укључује следеће праксе у свакодневном пословању:

Управљање закрпама : благовремено примењујте безбедносна ажурирања ОС-а и апликација; многи сојеви ransomware-а искоришћавају познате и закрпљене рањивости.

Најмање привилегија и хигијена налога : покрените кориснике са налозима који нису администратори, спроведите јаку вишефакторску аутентификацију за удаљени приступ и привилеговане налоге и пратите необично понашање при пријављивању.

Стратегија прављења резервних копија : Редовно правите резервне копије и држите их одвојено од мреже. На крају крајева, резервне копије су најефикаснија контрола опоравка од напада шифровањем.

Заштита крајњих тачака и EDR : примените реномирана решења за детекцију и реаговање на крајње тачке која могу да открију аномалије у извршавању, блокирају злонамерне корисне оптерећења и омогуће брзо сузбијање. Омогућите потписе и телеметрију.

Едукација корисника и отпорност на фишинг : обучите кориснике да избегавају коришћење крекова/кејгенова, да проверавају пошиљаоце имејлова и линкове и да се према неочекиваним прилозима односе са сумњом. Симулиране кампање за фишинг и подизање свести смањују људски фактор ризика.

Контроле апликација и ограничења макроа : подразумевано онемогућите Office макрое, блокирајте извршавање са уобичајених локација за злоупотребу (нпр. %AppData%, привремене фасцикле) и користите листу дозвољених апликација где је то изводљиво.

ЗАВРШНЕ НАПОМЕНЕ

Солара илуструје уобичајене ризике повезане са јавно доступним креаторима ransomware-а: форкови и варијанте се шире, а нападачи континуирано прилагођавају методе дистрибуције како би циљали одређене заједнице (извештаји истичу форуме за игре и канале пиратског софтвера као вероватне мамце). Најбоље одбране су превенција, јаке резервне копије, брзо сузбијање и рад са обученим тимовима за реаговање, а не плаћање откупнине. Ако сумњате на компромитовање и потребна вам је помоћ корак по корак у чишћењу, прикупите примере индикатора (имена датотека, хешеве, текст поруке о откупнини) и консултујте се са поузданим добављачем за реаговање на инциденте или вашим добављачем безбедносних средстава за смернице о сузбијању и опоравку.