Програма-вимагач Duralock

Програма-вимагач Duralock, виявлена дослідниками інформаційної безпеки (infosec) під час аналізу потенційних загроз зловмисного програмного забезпечення, становить значний ризик. Після проникнення на цільовий пристрій Duralock шифрує файли своїх жертв, роблячи їх недоступними та непридатними для використання. Загроза додає розширення «.duralock05» до оригінальних імен файлів у рамках процесу модифікації. Отже, файл із початковою назвою «1.png» буде перетворено на «1.png.duralock05», а «2.pdf» — на «2.pdf.duralock05», причому конкретне число в розширенні змінюватиметься залежно від варіанту програми-вимагача.

Крім того, Duralock пов’язаний із сімейством програм-вимагачів MedusaLocker , як виявив подальший аналіз. Щоб попередити жертв, програмне забезпечення-вимагач створює повідомлення про викуп під назвою «HOW_TO_BACK_FILES.html» із інструкціями щодо того, як заплатити викуп зловмисникам. Це підкреслює важливість збереження пильності щодо нових загроз програм-вимагачів і впровадження надійних заходів кібербезпеки для пом’якшення потенційних ризиків.

Програма-вимагач Duralock може блокувати широкий діапазон типів файлів

Duralock's націлений переважно на компанії, а не на окремих домашніх користувачів, як зазначено в повідомленні про викуп для жертв. У цьому повідомленні чітко повідомляється про шифрування даних, а також про те, що конфіденційну та особисту інформацію було зібрано з скомпрометованої мережі компанії. Жертву чітко застерігають від зміни імен або вмісту зашифрованих файлів, а також від використання стороннього програмного забезпечення для відновлення, оскільки такі дії можуть поставити під загрозу процес дешифрування.

Програма-вимагач використовує підхід подвійного вимагання, вимагаючи оплати за ключ дешифрування. У разі відмови зловмисники попереджають, що отримані конфіденційні дані можуть бути витоку або продані зацікавленим третім особам. Щоб оцінити легітимність процесу дешифрування, жертвам дозволяється перевірити його, надіславши до трьох несуттєвих файлів перед здійсненням платежу. Крім того, кіберзлочинці встановлюють часові обмеження, при цьому сума викупу збільшується, якщо жертва не зв’яжеться з ними протягом 72 годин.

Хоча розшифровка після атаки програм-вимагачів часто вимагає участі зловмисників, існує значний ризик того, що жертви, навіть задовольнивши вимоги щодо викупу, можуть не отримати обіцяні інструменти розшифровки. Відсутність гарантій у поєднанні з етичними міркуваннями підтримки злочинної діяльності спонукає експертів з кібербезпеки рішуче відмовляти від сплати викупу. Важливо розуміти, що видалення програми-вимагача з операційної системи запобігає подальшому шифруванню даних, але не відновлює автоматично доступ до раніше заблокованих файлів. Отже, комплексний підхід, включаючи профілактичні заходи та методи безпечного резервного копіювання, є життєво важливим для пом’якшення впливу атак програм-вимагачів.

Як забезпечити безпеку своїх пристроїв і даних від атак програм-вимагачів?

Забезпечення безпеки пристроїв і даних від загроз програм-вимагачів вимагає проактивного та багатогранного підходу. Ось кілька важливих заходів, які користувачі можуть вжити для підвищення своєї кібербезпеки.

• Встановіть та оновіть програмне забезпечення безпеки : використовуйте надійне програмне забезпечення для захисту від шкідливих програм, щоб забезпечити першу лінію захисту від програм-вимагачів. Регулярно оновлюйте програмне забезпечення безпеки, щоб воно могло ефективно виявляти та пом’якшувати нові загрози.
• Оновлюйте операційні системи та програмне забезпечення : регулярно оновлюйте операційну систему та будь-яке встановлене програмне забезпечення, щоб усунути вразливості, якими може скористатися програмне забезпечення-вимагач. Налаштуйте автоматичні оновлення, коли це можливо, щоб залишатися захищеним від останніх вразливостей безпеки.
• Будьте обережні з вкладеннями електронної пошти та посиланнями : уникайте доступу до вкладених файлів електронної пошти та не натискайте посилання з неочікуваних або підозрілих джерел. Перевіряйте легітимність електронних листів, особливо тих, що містять конфіденційну інформацію або містять неочікувані вкладення.
• Регулярне резервне копіювання даних : виконуйте регулярне резервне копіювання важливих даних на окремий пристрій або безпечну хмарну службу. Переконайтеся, що резервні копії зберігаються в режимі офлайн або з обмеженим доступом, щоб запобігти шифруванню файлів резервних копій програмами-вимагачами.
• Використовуйте надійні унікальні паролі : використовуйте надійні та унікальні паролі для всіх облікових записів і регулярно їх оновлюйте. Розгляньте можливість використання менеджера паролів для створення та безпечного зберігання складних паролів.
• Навчайте та навчайте користувачів : розкажіть користувачам про ризики фішингових атак і запропонуйте навчання розпізнаванню тактик соціальної інженерії, які використовують кіберзлочинці.
• Обмежте права користувачів : обмежте дозволи користувачів до рівня, необхідного для їхніх ролей, мінімізуючи вплив потенційного зараження програмами-вимагачами.
• Заходи мережевої безпеки : запровадьте брандмауери та методи виявлення/запобігання вторгненням для моніторингу та фільтрації вхідного та вихідного мережевого трафіку. Регулярно проводите перевірки безпеки, щоб виявити й усунути потенційні вразливості в мережі.

Регулярно переглядайте та модернізуйте план, щоб відобразити зміни в технології та потенційні загрози.

Використовуючи ці профілактичні заходи та залишаючись пильними, користувачі можуть значно мінімізувати ризик стати жертвою програм-вимагачів і підвищити загальну безпеку своїх пристроїв і даних.

Повна записка про викуп, згенерована Duralock Ransomware, така:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.'