Програма-вимагач DeadLock

Сучасні кампанії з використання програм-вимагачів спеціально розроблені для того, щоб перетворити ваші особисті або організаційні дані на важіль атаки. Після шифрування критично важливих файлів зловмисники тримають усі карти в руках, якщо ви не підготувалися заздалегідь. Надійна гігієна безпеки, багаторівневий захист та стійкі стратегії резервного копіювання значно знижують ймовірність того, що одне шкідливе вкладення, зламаний інсталятор або незаконне завантаження призведуть до збоїв у роботі або постійної втрати даних. Програма-вимагач DeadLock — гарний приклад того, чому ці фундаментальні принципи важливі.

Що відрізняє DeadLock

DeadLock — це сімейство програм-вимагачів, що шифрують файли та позначають кожну жертву унікальним ідентифікатором. Під час атаки вони шифрують дані користувача та перейменовують кожен зашифрований файл, додаючи ідентифікатор жертви та розширення «.dlock» до оригінального імені файлу. Наприклад: «1.png» стає «1.png.F8C6A8.dlock», а «2.pdf» стає «2.pdf.F8C6A8.dlock». Цей ідентифікатор використовується протягом усього процесу вимагання для відстеження жертви та прив’язки платежів до ключів розшифрування. DeadLock також надсилає повідомлення з вимогою викупу, ім’я файлу якого містить той самий ідентифікатор (наприклад, «READ ME.F8C6A8.txt»), та змінює шпалери робочого столу, щоб підкреслити, що систему було зламано.

Усередині записки про викуп

У записці викладено кілька ключових моментів, спрямованих на визначення подальших дій жертви. У ній стверджується, що зашифровані файли неможливо відновити без «унікального ключа розшифрування», який є лише у зловмисників. Жертвам пропонують встановити орієнтований на конфіденційність месенджер Session та зв’язатися з ними, використовуючи наданий ідентифікатор сеансу (знову ж таки, що відповідає ідентифікатору кожної жертви, вбудованому в імена файлів). Зловмисники просять жертву надіслати один зашифрований файл плюс «персональний ключ» (їхній унікальний ідентифікатор) для перевірки. Це поширена тактика, спрямована на побудову довіри шляхом розшифрування нешкідливого зразка.

Тактика оплати та тиску

Оператори DeadLock вимагають криптовалюту, зокрема Bitcoin або Monero. Вони обіцяють, що після оплати нададуть робочий дешифратор. Як і у випадку з більшістю операцій програм-вимагачів, немає жодної гарантії, що має юридичну силу. У примітці також використовується страх, щоб перешкодити незалежним спробам відновлення: вона застерігає жертв не перейменовувати зашифровані файли та не використовувати сторонні інструменти дешифрування, стверджуючи, що такі дії можуть назавжди пошкодити дані або збільшити вартість відновлення. Ці попередження частково носять технічний характер (неправильне поводження справді може ускладнити відновлення), а частково є психологічним тиском.

Перевірка реальності розшифрування

Досвід роботи з програмами-вимагачами загалом та власні повідомлення операторів підтверджують гірку правду: у більшості випадків ви не можете розшифрувати файли, зашифровані DeadLock, без співпраці та інструментів зловмисників. Це залишає два реальних шляхи відновлення: (1) робочі резервні копії, які були офлайн, поза межами сайту, з версіями або іншим чином недоступні для шкідливого програмного забезпечення під час атаки; або (2) сплата викупу та сподівання, що злочинці виконають угоду. Плата ризикована: зловмисники можуть зникнути, доставити зламаний дешифратор або використати оплату як сигнал про те, що ви є легкою мішенню для майбутнього вимагання. По можливості покладайтеся на неушкоджені резервні копії, замість того, щоб сплачувати викуп.

Чому повне видалення має значення

Навіть після завершення шифрування залишати програму-вимагача в системі небезпечно. Залишкові компоненти можуть повторно шифрувати щойно створені файли, видобувати облікові дані, відкривати бекдори або намагатися переміщатися по локальній мережі. Видалення вірусу, підкріплене скануванням кінцевих точок, перевіркою пам'яті та переглядом запланованих завдань, записів автозавантаження та контролерів домену, має вирішальне значення для запобігання повторному пошкодженню.

Поширені вектори зараження DeadLock

Зловмисникам потрібна початкова точка опори. Кампанії з розповсюдження програм-вимагачів пов’язані з кількома каналами розповсюдження, які використовують довіру користувачів, їхню цікавість та скорочення витрат:

• Піратське або «зламане» комерційне програмне забезпечення, включаючи генератори ключів у комплекті та інструменти обходу ліцензій, які таємно встановлюють шкідливе програмне забезпечення.
• Крякнуті версії програмного забезпечення, кейгени та неофіційні активатори, взяті з варез- або торрент-сайтів.
• Шкідливі вкладення електронної пошти: замасковані документи Word (часто з підтримкою макросів), PDF-файли, ZIP-архіви, файли скриптів або виконувані корисні дані, замасковані під рахунки-фактури, повідомлення про відправлення або термінові форми відділу кадрів.
• Шкідлива реклама (шкідлива реклама), яка перенаправляє користувачів на експлойт-кіти або сторінки шахрайського завантаження.
• Платформи обміну файлами між користувачами та сторонні центри завантаження, які перепаковують інсталятори з прихованими корисними навантаженнями.
• Знімні носії (наприклад, заражені USB-накопичувачі), які автоматично запускаються або спонукають користувачів запускати заражені файли.
• Фальшиві портали технічної підтримки, які змушують користувачів завантажувати «виправлення» або «оновлення», що насправді містять завантажувач програм-вимагачів.
• Скомпрометовані легітимні вебсайти, на які було встановлено завантаження з аварійного режиму або впроваджені скрипти для доставки корисного навантаження.

Найкращі практики безпеки для посилення вашого захисту

Багаторівневий захист різко зменшує радіус вибуху програми-вимагача. Нижче наведено пріоритетні захисні кроки, які допомагають запобігти успіху DeadLock та подібних загроз:

• Зберігайте надійні резервні копії критично важливих даних у автономному режимі.
• Негайно оновлюйте операційні системи, програми та прошивки, особливо це стосується вразливих служб та пакетів підвищення продуктивності, схильних до зловживання макросами або експлойтами.
• Використовуйте надійний захист кінцевих точок/EDR із виявленням програм-вимагачів на основі поведінки та автоматичною ізоляцією.
• Забезпечте використання облікових записів користувачів з найменшими правами; вимкніть локальний доступ адміністратора, де це не потрібно; відокремте облікові дані адміністратора від тих, що використовуються щодня.
• Обмежте виконання макросів, інтерпретаторів скриптів та непідписаних двійкових файлів за допомогою групової політики, списку дозволених програм та контрольованого доступу до папок.
• Розгорніть фільтрацію безпеки електронної пошти: вкладення в ізольованому середовищі, перевірте посилання та позначте підозрілі типи файлів або підроблені домени відправників.
• Вимкніть автозапуск на знімних носіях та проскануйте USB-пристрої перед монтуванням.
• Вимагати багатофакторної автентифікації (MFA) для віддаленого доступу, консолей адміністратора та інтерфейсів керування резервним копіюванням.

Довгострокові уроки

DeadLock підкреслює повторювану тему, що зустрічається в усіх сімействах програм-вимагачів: зловмисникам не потрібні передові експлойти, якщо кінцеві користувачі регулярно завантажують зламані інструменти, відкривають неперевірені вкладення або переглядають ненадійні рекламні мережі. Базові методи безпеки, дисципліна встановлення патчів, контроль доступу, контрольовані резервні копії та обізнаність користувачів перетворюють потенційну кризу на подію, яку можна відновити. Інвестуйте в ці засоби захисту зараз; вартість набагато нижча, ніж викуп, сплачений під тиском.

Заключні думки

Стійкість до програм-вимагачів формується задовго до того, як атака потрапляє на ваш екран. Розуміючи, як працює DeadLock, та впроваджуючи багаторівневі превентивні та відновлювальні засоби контролю, ви можете протистояти цій та подібним загрозам. Скептично ставтеся до всього, що ви навмисно не шукали чи не перевіряли. Ваша пильність – це перша, і часто найкраща, лінія захисту.