Rabattoffert för flera licenser
Hotdatabas Ransomware RDAT-ransomware

RDAT-ransomware

Med Mezo år Ransomware
Översätt till:

Ransomware är fortfarande ett av de mest störande hoten mot hemanvändare och organisationer. Ett enda intrång kan förvränga dokument, foton och affärsdata på några minuter och sedan pressa offren för åtkomst. RDAT Ransomware, en avknoppning av den produktiva Dharma-familjen, illustrerar varför försvar på flera lager och disciplinerad återställningsplanering är avgörande.

Hotprofil: RDAT i korthet

Infosec-forskare identifierade RDAT under en bred granskning av framväxande skadlig kod. Det är en Dharma-variant som är specialbyggd för datautpressning: den krypterar filer och pressar offren att betala för dekryptering. RDAT riktar sig mot både lokala hårddiskar och nätverksdelningar och undviker medvetet kritiska systemfiler så att enheten förblir startbar och offret kan läsa lösensumman.

Vad offren ser

När RDAT körs krypteras en mängd olika filtyper. Filnamn ändras för att inkludera ett unikt offer-ID, angriparens e-postadress och filändelsen '.RDAT', till exempel:
1.png blir 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Två lösensummor följer: ett popup-fönster som anger att filerna är krypterade och en textfil med namnet "DAT_INFO.txt" med kontaktinstruktioner. Operatörerna erbjuder sig att dekryptera upp till tre filer (med förbehåll för storleks-/formatbegränsningar) som bevis, samtidigt som de varnar för att användning av tredjepartsverktyg eller modifiering av krypterad data kan orsaka permanent förlust. Dessa taktiker är utformade för att bygga trovärdighet och brådska, inte för att hjälpa dig.

Hur RDAT stannar kvar och sprider sig

RDAT ärver Dharmas persistens- och anti-återställningsstrategi. Skadlig programvara kopierar sig själv till %LOCALAPPDATA%, registrerar autostart-poster via specifika környcklar och startar om efter omstart. För att blockera snabba återställningar tar den bort volymskuggkopior. Innan kryptering avslutar den processer som kan hålla filer öppna (databaser, dokumentläsare och liknande), vilket säkerställer maximal täckning. Den försöker också undvika att "dubbelkryptera" data som redan drabbats av annan ransomware genom att kontrollera mot en känd lista, en ofullständig säkerhetskontroll.

Målval och geofencing

Skadlig programvara samlar in geolokaliseringsdata för att bedöma om ett offer sannolikt kommer att betala. Om regionen verkar ogynnsam, ekonomiskt eller av geopolitiska skäl, kan den hoppa över kryptering helt och hållet. Detta beteende handlar enbart om att maximera lösenutbytet.

Varför det är en förlust att betala

Dekryptering efter en ransomware-attack är vanligtvis omöjlig utan angriparnas nycklar, såvida inte stammen är allvarligt bristfällig. Även då är det riskabelt att betala: många offer får aldrig fungerande dekrypterare. Betalning finansierar också fler attacker. Den ansvarsfulla vägen är att utrota skadlig kod, återuppbygga från pålitliga säkerhetskopior och stärka systemen för att förhindra en upprepning.

Bekräftade leveranskanaler

Intrång i Dharma-familjen börjar ofta med exponerade eller svagt skyddade Remote Desktop Protocol (RDP). Angripare förlitar sig på brute-force- och dictionary-attacker och kan, när de väl är inne, inaktivera värdbrandväggar. Utöver RDP utnyttjar ekosystemet nätfiske och social ingenjörskonst, skadlig annonsering, opålitliga programvarukällor, spambilagor och loader-/bakdörrstrojaner. Skadliga nyttolaster skickas vanligtvis som arkiv (RAR/ZIP), körbara filer, skript (inklusive JavaScript) och dokument (PDF, Office, OneNote). Vissa familjer sprids också via lokala nätverk och flyttbara medier.

Inneslutning och återhämtning

Eliminera ransomware för att stoppa ytterligare kryptering, men kom ihåg att borttagning inte återställer låsta filer. Återställning kräver rena, versionsbaserade säkerhetskopior. Guldstandarden är att ha kopior på flera platser och medietyper, inklusive offline-lagring som skadlig kod inte kan vidröra.

Vanliga åtkomst- och spridningsvektorer för ransomware-hot inkluderar:

  • Exponerade/svaga RDP-tjänster, inloggningsuppgifter och brute-force-inloggningar
  • Nätfiskemejl, social engineering-lockbete, spambilagor och -länkar, skadlig annonsering, trojanska nedladdningar, drive-by-nedladdningar, piratkopierad programvara och "crack", falska uppdateringsprogram och loader-/bakdörrsinfektioner; lateral spridning via LAN och flyttbara USB-/lagringsenheter

Slutsats

RDAT Ransomware är en disciplinerad, vinstdriven Dharma-variant: den kvarstår även efter omstarter, tar bort återställningspunkter, riktar in sig på både lokal och delad data och använder påtryckningstaktik som vapen för att utkräva betalning. Den mest pålitliga vägen till motståndskraft är proaktiv härdning plus robusta, offline-kompatibla säkerhetskopior och väl inövad återställning. Betala inte; utrota, återställ och skärp försvaret för att förhindra nästa försök.

Meddelanden

Följande meddelanden associerade med RDAT-ransomware hittades:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

Trendigt

Mest sedda

Läser in...