Зео рансомвер

Заштита личних и пословних система од деструктивног злонамерног софтвера је неопходна, јер и једнократно угрожавање може довести до дуготрајних последица. Ransomware остаје једна од најопаснијих претњи у оптицају, а Zeo Ransomware је одличан пример софистицираности коју су достигле модерне операције изнуде.

Нова варијанта са познатим коренима

Зео се појавио током рутинског праћења претњи и брзо је повезан са дугогодишњом породицом рансомвера Дхарма. Када продре у систем, шифрује податке и мења имена датотека додавањем ИД-а специфичног за жртву, имејл адресе нападача и екстензије „.zeo“. Типичан пример је трансформисана датотека као што је „1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo“.

Након фазе шифровања, Зео испоручује две поруке са захтевом за откуп: искачући прозор који садржи проширена упутства и обичан текстуални фајл под називом „info.txt“. Обе поруке наглашавају да је једини начин за враћање приступа контактирање нападача и плаћање откупнине у биткоинима. Искачућа порука покушава да изгради поверење нудећи ограничен бесплатни тест дешифровања, а истовремено прети неповратном штетом ако жртве измене датотеке или покушају самостално да се опораве.

Како Зео функционише „испод хаубе“

Као и друге варијанте Дхарме, Зео се фокусира на шифровање података који се чувају локално и на локацијама које се деле преко мреже. Стабилност система је очувана, јер Зео избегава неовлашћено мењање критичних компоненти оперативног система. Да би се спречиле грешке током шифровања, он прекида процесе везане за датотеке које су тренутно отворене, као што су механизми база података и прегледачи докумената.

Рансомвер укључује неколико мера заштите понашања. Проверава прикупљене податке о геолокацији како би утврдио да ли да настави са нападима, потенцијално избегавајући регионе који могу бити непрофитабилни или политички осетљиви. Такође укључује механизам намењен спречавању двоструког шифровања, иако је логика искључења непотпуна и не узима у обзир сваку породицу рансомвера.

Перзистентност се постиже кроз две основне методе: копирањем у директоријум %LOCALAPPDATA% и регистровањем уноса за аутоматско покретање под одређеним кључевима за покретање. Зео додатно брише копије сенке волумена како би уклонио уграђене опције опоравка на које би се корисници иначе ослањали.

Вектори инфекције и тактике ширења

Претње засноване на Дхарми често инфилтрирају системе путем изложених или лоше обезбеђених сервиса протокола за удаљену радну површину (Remote Desktop Protocol). Нападачи се ослањају на нападе грубом силом и нападе речником да би добили приступ, а компромитованим системима могу бити ослабљени или онемогућени заштитни зидови убрзо након упада.

Други путеви дистрибуције остају распрострањени. Претње се често ослањају на обмањујуће имејлове, злонамерне прилоге, компромитована преузимања, лажна ажурирања, крекове и пиратски садржај. Опасни корисни садржаји се појављују у бројним форматима, укључујући архиве, извршне датотеке, документе, JavaScript датотеке и још много тога. У неким случајевима, злонамерни софтвер се шири бочно на друге уређаје на истој мрежи или путем преносивог складишта.

Зашто плаћање откупнине није безбедно решење

Жртве ретко имају техничка средства за дешифровање датотека погођених модерним ransomware-ом. Осим ако злонамерни софтвер не садржи критичну грешку, само оператери поседују потребне кључеве. Међутим, плаћање откупнине не гарантује да ће нападачи испоручити функционалан дешифратор, а жртве често губе и новац и податке. Финансирање таквих операција такође подржава даље криминалне активности.

Уклањање ransomware-а је неопходно да би се спречила даља штета, али уклањање Zeo-а не враћа шифроване датотеке. Опоравак је могућ само путем чистих резервних копија сачуваних на одвојеним локацијама, као што су офлајн уређаји или безбедни удаљени сервери.

Јачање безбедности уређаја

Слојевити приступ драстично смањује ризик од угрожавања ransomware-ом. Следеће праксе помажу у јачању дугорочне отпорности:

Основне превентивне мере

Одржавајте строгу контролу над приступом протоколу за удаљену радну површину (Remote Desktop Protocol) коришћењем јаких, јединствених акредитива, онемогућавањем спољног приступа када није потребан и спровођењем ограничавања брзине или вишефакторске аутентификације.

Благовремено примените безбедносна ажурирања на оперативни систем, инсталирани софтвер и компоненте изложене мрежи.

Додатне препоруке за најбољу праксу

Чувајте поуздане, верзионисане резервне копије на више изолованих локација, укључујући офлајн или непроменљиво складиште.

• Користите реномиране безбедносне алате за праћење сумњивих активности и блокирање злонамерног софтвера пре извршавања.
• Приступајте непожељним имејловима, прилозима и понудама за преузимање са скептицизмом, посебно онима које се представљају као легитимне организације или нуде бесплатан софтвер.
• Избегавајте пиратски софтвер, непоуздане портале за преузимање и сумњиве огласе у прегледачу.
• Ограничите администраторска права кад год је то могуће и осигурајте да се свакодневни задаци обављају помоћу налога који нису администратори.

Комбиновањем дисциплиноване хигијене система са робусним контролама приступа и добро одржаваним резервним копијама, корисници значајно смањују изложеност претњама попут Zeo Ransomware-а и боље су припремљени за брз опоравак у случају напада.