Solara Ransomware

Ang Solara ay isang kamakailang naobserbahang strain ng ransomware na sinasabi ng mga mananaliksik na binuo sa pampublikong code ng pamilya ng Chaos. Ang Ransomware tulad ng Solara ay nag-encrypt ng mga file ng user, humihingi ng bayad, at maaaring permanenteng makagambala sa pag-access sa mahalagang data, kaya mahalaga ang pagprotekta sa mga device at pag-backup.

ANONG GINAGAWA NI SOLARA

Sa panahon ng pagsusuri, napagmasdan si Solara na nag-e-encrypt ng mga file at nagdaragdag ng text string na '.solara' sa mga filename (halimbawa, '1.png' → '1.png.solara'). Nag-drop din ang malware ng ransom note na pinangalanang 'read_it.txt' na nagsasabing nag-trigger ang biktima ng proteksyon na 'anti-crack' at nagtuturo sa mga biktima na kumuha ng tool sa pag-decryption mula sa isang online na aktor. Ang ilang mga write-up at sample na pagsusuri ay nag-uugnay sa Solara sa pamilya ng Chaos ransomware at naglalarawan ng katulad na gawi (encryption, pagpapalit ng extension, at isang plaintext ransom note).

RANSOM NOTE & PAYMENT CAIMS

Iginiit ng mensahe ng ransom na sinuri ng mga analyst na ang pagbawi ng file ay 'halos imposible' nang walang tool sa pag-decryption ng umaatake. Ang tala ay nagtuturo sa mga biktima na makipag-ugnayan sa isang gumagamit ng Discord (xenqxd) at nagmumungkahi ng mga opsyon sa pagbabayad gaya ng Paysafecard (sa Poland) o isang maliit na halaga ng Bitcoin. Kapansin-pansin, ang ilang mga sample ay nag-aalis ng makabuluhang mga channel sa pakikipag-ugnayan, na maaaring magpahiwatig ng isang hindi pa gulang o tulad ng kalokohan na kampanya, o mga operator na hindi inaasahan na makipag-ayos. Tratuhin ang lahat ng mga naturang kahilingan nang may matinding hinala.

MABABAWI MO BA ANG MGA FILES NA HINDI NAGBABAYAD?

Sa pangkalahatan, ang mga file na naka-encrypt ng mga banta ng Chaos-family ay hindi mababawi nang walang wastong decryption key. Kung mayroon kang malinis, offline na pag-backup bago ang impeksyon, ang pagpapanumbalik sa kanila ay ang pinakaligtas na inirerekomendang ruta. Ang pagbabayad ay hindi hinihikayat, ang mga kriminal ay madalas na hindi naghahatid ng mga magagamit na decryptor, at nagbabayad ng mga pondo ng karagdagang kriminal na aktibidad.

KARANIWANG IMPEKSIYON NA MGA VECTOR

• Pirated software, keygens, at 'crack' utility na nakatago sa malware.
• Mga nakakahamak na email attachment at link (Mga macro ng opisina, script, EXE).
• Mga nahawaang ad, nakompromiso o hindi opisyal na mga site sa pag-download, P2P/torrent network, USB drive, at mga third-party na downloader.

AGAD NA PAGKILOS KUNG HINALA MO INFECTION

Ihiwalay kaagad ang makina : idiskonekta sa mga network (wired/wifi) at i-unmount ang anumang shared/network drive para ihinto ang lateral spread.

Panatilihin ang ebidensya : huwag mag-power-cycle kung nangongolekta ka ng memory o forensic artifact, sa halip ay kumuha ng memory at mga imahe ng disk kung mayroon kang kakayahan, o tumawag sa pagtugon sa insidente.

Gumamit ng mga backup : I-restore mula sa mga pinagkakatiwalaang backup sa sandaling maalis ang malware at muling itayo ang mga system; huwag ibalik ang mga backup na maaaring konektado sa oras ng impeksyon.

Huwag magbayad maliban kung ang isang pangkat ng pagtugon sa insidente ay tinasa ang lahat ng mga opsyon at kahihinatnan; ang pagbabayad ay hindi garantisadong gagana at maaaring humimok ng mga pag-atake sa hinaharap.

PINAKAMAHUSAY NA KASANAYAN SA SEGURIDAD

Panatilihin ang up-to-date, layered defense na kinabibilangan ng mga sumusunod na kasanayan sa pang-araw-araw na operasyon:

Pamamahala ng patch : ilapat kaagad ang mga update sa seguridad ng OS at application; maraming ransomware strains ang nagsasamantala sa mga kilala at na-patch na kahinaan.

Pinakamababang pribilehiyo at kalinisan ng account : patakbuhin ang mga user gamit ang mga hindi admin na account, ipatupad ang malakas na multifactor authentication para sa malayuang pag-access at mga privileged na account, at subaybayan ang hindi pangkaraniwang gawi sa pag-login.

Diskarte sa pag-backup : Gumawa ng mga backup nang regular at panatilihing hiwalay ang mga ito sa network. Pagkatapos ng lahat, ang mga backup ay ang nag-iisang pinaka-epektibong kontrol sa pagbawi laban sa mga pag-atake sa pag-encrypt.

Proteksyon ng endpoint at EDR : mag-deploy ng mga mapagkakatiwalaang endpoint detection at mga solusyon sa pagtugon na maaaring makakita ng mga anomalya sa pagpapatupad, harangan ang mga nakakahamak na payload, at paganahin ang mabilis na pagpigil. Panatilihing naka-enable ang mga lagda at telemetry.

Edukasyon ng user at paglaban sa phishing : sanayin ang mga user na maiwasan ang mga crack/keygen, i-verify ang mga nagpapadala at link ng email, at tratuhin ang mga hindi inaasahang attachment nang may hinala. Binabawasan ng mga simulate na phishing at mga campaign ng kamalayan ang kadahilanan ng panganib ng tao.

Mga kontrol sa application at mga paghihigpit sa macro : i-disable ang mga Office macro bilang default, i-block ang pagpapatupad mula sa mga karaniwang lokasyon ng pang-aabuso (hal., %AppData%, mga temp folder), at gamitin ang application allow-listing kung saan posible.

MGA TALA NG PAGSASARA

Inilalarawan ng Solara ang mga karaniwang panganib na nauugnay sa mga tagabuo ng ransomware na available sa publiko: dumarami ang mga tinidor at variant, at patuloy na inaangkop ng mga umaatake ang mga paraan ng pamamahagi upang i-target ang mga partikular na komunidad (na-highlight ng mga ulat ang mga forum sa paglalaro at mga pirated-software na channel bilang malamang na nakakaakit). Ang pinakamahuhusay na depensa ay ang pag-iwas, malakas na pag-backup, mabilis na pagpigil, at pakikipagtulungan sa mga sinanay na pangkat ng pagtugon, hindi nagbabayad ng mga ransom. Kung pinaghihinalaan mo ang kompromiso at kailangan ng hakbang-hakbang na tulong sa paglilinis, mangolekta ng mga sample na indicator (mga pangalan ng file, hash, ransom note text) at kumunsulta sa isang pinagkakatiwalaang provider ng pagtugon sa insidente o sa iyong security vendor para sa paggabay sa pagpigil at pagbawi.