Програма-вимагач Solara

Solara — це нещодавно виявлений штам програми-вимагача, який, за словами дослідників, побудований на публічно поширеному коді сімейства шкідливих програм Chaos. Програма-вимагач, така як Solara, шифрує файли користувачів, вимагає оплати та може назавжди порушити доступ до важливих даних, тому захист пристроїв та резервних копій є надзвичайно важливим.

ЩО РОБИТЬ СОЛАРА

Під час аналізу було помічено, що Solara шифрує файли та додає текстовий рядок «.solara» до імен файлів (наприклад, «1.png» → «1.png.solara»). Шкідливе програмне забезпечення також залишає повідомлення з вимогою викупу під назвою «read_it.txt», в якому стверджується, що жертва активувала «анти-кряк»-захист, та наказує жертвам отримати інструмент розшифрування від онлайн-злочинця. Кілька статей та аналізів зразків пов’язують Solara із сімейством програм-вимагачів Chaos та описують подібну поведінку (шифрування, підміна розширення та повідомлення з вимогою викупу у відкритому тексті).

ВИМОГИ ПРО ВИКУП ТА СПЛАТУ

У повідомленні з вимогою викупу, яке дослідили аналітики, стверджується, що відновлення файлів «майже неможливе» без інструменту розшифровки зловмисника. У повідомленні жертвам пропонується зв’язатися з користувачем Discord (xenqxd) та запропоновані варіанти оплати, такі як Paysafecard (у Польщі) або невелика сума в біткойнах. Примітно, що в деяких зразках відсутні змістовні канали зв’язку, що може свідчити про незрілу або розіграшну кампанію, або про операторів, які просто не очікують переговорів. Ставтеся до всіх таких вимог з надзвичайною підозрою.

МОЖНА ВІДНОВИТИ ФАЙЛИ БЕЗ ОПЛАТИ?

Загалом, файли, зашифровані загрозами сімейства Chaos, неможливо відновити без належного ключа розшифрування. Якщо у вас є чисті резервні копії з автономного режиму до зараження, їх відновлення є найбезпечнішим рекомендованим шляхом. Платити не рекомендується, злочинці часто не надають придатні для використання дешифратори, а оплата коштів сприяє подальшій злочинній діяльності.

ЗАГАЛЬНІ ПЕРЕНОСИ ІНФЕКЦІЇ

• Піратське програмне забезпечення, кейгени та «зламані» утиліти, замасковані під шкідливе програмне забезпечення.
• Шкідливі вкладення та посилання електронної пошти (макроси, скрипти, EXE-файли Office).
• Заражена реклама, скомпрометовані або неофіційні сайти завантаження, P2P/торрент-мережі, USB-накопичувачі та сторонні завантажувачі.

НЕГАЙНІ ДІЇ ПРИ ПІДОЗРІ НА ІНФЕКЦІЮ

Негайно ізолюйте машину : відключіться від мереж (дротових/Wi-Fi) та відмонтуйте всі спільні/мережеві диски, щоб запобігти поширенню вірусу.

Збереження доказів : не вимикайте та не вимикайте комп’ютер, якщо збираєте пам’ять або артефакти судово-медичної експертизи, натомість захоплюйте образи пам’яті та дисків, якщо маєте таку можливість, або звертайтеся до служби реагування на інциденти.

Використовуйте резервні копії : відновлюйте з перевірених резервних копій після видалення шкідливого програмного забезпечення та перебудови систем; не відновлюйте резервні копії, які могли бути підключені на момент зараження.

Не платіть, доки команда реагування на інциденти не оцінила всі варіанти та наслідки; ефективність оплати не гарантована, і вона може спровокувати майбутні атаки.

НАЙКРАЩІ ПРАКТИКИ БЕЗПЕКИ

Підтримуйте актуальний, багаторівневий захист, який включає такі практики у щоденних операціях:

Керування виправленнями : своєчасно встановлюйте оновлення безпеки ОС та програм; багато штамів програм-вимагачів використовують відомі та виправлені вразливості.

Найменший рівень привілеїв та гігієни облікових записів : запуск користувачів з обліковими записами, що не є адміністраторами, забезпечення надійної багатофакторної автентифікації для віддаленого доступу та привілейованих облікових записів, а також моніторинг незвичайної поведінки під час входу.

Стратегія резервного копіювання : регулярно створюйте резервні копії та зберігайте їх окремо від мережі. Зрештою, резервні копії є найефективнішим засобом захисту від атак шифрування.

Захист кінцевих точок та EDR : розгортайте надійні рішення для виявлення та реагування на кінцеві точки, які можуть виявляти аномалії виконання, блокувати шкідливі корисні навантаження та забезпечувати швидке стримування. Забезпечте ввімкнення сигнатур та телеметрії.

Навчання користувачів та захист від фішингу : навчіть користувачів уникати використання креків/кейгенів, перевіряти відправників електронних листів та посилання, а також ставитися до неочікуваних вкладень з підозрою. Імітація фішингу та інформаційні кампанії знижують людський фактор ризику.

Елементи керування програмами та обмеження макросів : вимкніть макроси Office за замовчуванням, блокуйте виконання з поширених місць зловживання (наприклад, %AppData%, тимчасові папки) та використовуйте список дозволених програм, де це можливо.

ЗАКЛЮЧНІ НОТАТКИ

Solara ілюструє поширені ризики, пов'язані з публічно доступними конструкторами програм-вимагачів: форки та варіанти поширюються, а зловмисники постійно адаптують методи розповсюдження, щоб націлитися на конкретні спільноти (у звітах ігрові форуми та канали піратського програмного забезпечення виділяються як ймовірні приманки). Найкращими засобами захисту є запобігання, надійні резервні копії, швидке стримування та робота з навченими групами реагування, а не виплата викупу. Якщо ви підозрюєте компрометацію та потребуєте покрокової допомоги з очищення, зберіть зразки індикаторів (імена файлів, хеші, текст повідомлення про викуп) та зверніться до надійного постачальника послуг реагування на інциденти або вашого постачальника послуг безпеки для отримання інструкцій щодо стримування та відновлення.