Програма-вимагач Zeo

Захист особистих та бізнес-систем від руйнівного шкідливого програмного забезпечення є надзвичайно важливим, оскільки навіть одна компрометація може призвести до довготривалих наслідків. Програми-вимагачі залишаються однією з найбільш руйнівних загроз, що поширюються, а Zeo Ransomware є яскравим прикладом витонченості, якої досягли сучасні операції з вимагання.

Новий варіант зі знайомим корінням

Zeo з'явився під час планового моніторингу загроз і був швидко пов'язаний з сімейством програм-вимагачів Dharma, що давно працювали. Після проникнення в систему він шифрує дані та змінює імена файлів, додаючи ідентифікатор жертви, адресу електронної пошти зловмисників та розширення «.zeo». Типовим прикладом є перетворений файл, такий як «1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo».

Після фази шифрування Zeo надсилає два повідомлення з вимогою викупу: спливаюче вікно з розширеними інструкціями та текстовий файл під назвою «info.txt». В обох випадках наголошується, що єдиний спосіб відновити доступ — це зв’язатися зі зловмисниками та сплатити викуп у біткойнах. Спливаюче повідомлення намагається побудувати довіру, пропонуючи обмежений безкоштовний тест на розшифрування, а також погрожуючи незворотною шкодою, якщо жертви змінять файли або спробують самостійно відновити дані.

Як Zeo працює “під капотом”

Як і інші варіанти Dharma, Zeo зосереджується на шифруванні даних, що зберігаються як локально, так і в спільних мережевих сховищах. Стабільність системи зберігається, оскільки Zeo уникає втручання в критично важливі компоненти операційної системи. Щоб запобігти помилкам під час шифрування, він завершує процеси, пов'язані з файлами, які наразі відкриті, такі як механізми баз даних та програми перегляду документів.

Програма-вимагач містить кілька поведінкових запобіжних заходів. Вона перевіряє зібрані дані геолокації, щоб визначити, чи слід продовжувати атаки, потенційно уникаючи регіонів, які можуть бути невигідними або політично чутливими. Вона також включає механізм, призначений для запобігання подвійному шифруванню, хоча логіка виключення є неповною та не враховує кожну родину програм-вимагачів.

Збереження даних досягається двома основними методами: копіюванням себе в каталог %LOCALAPPDATA% та реєстрацією записів автозапуску під певними ключами запуску. Zeo також видаляє тіньові копії томів, щоб видалити вбудовані параметри відновлення, на які користувачі можуть покладатися.

Переносники інфекції та тактика поширення

Загрози на основі Дхарми часто проникають у системи через відкриті або погано захищені служби протоколу віддаленого робочого столу. Зловмисники покладаються на атаки методом перебору та словника для отримання доступу, а брандмауери скомпрометованих систем можуть бути ослаблені або вимкнені невдовзі після вторгнення.

Інші шляхи розповсюдження залишаються поширеними. Зловмисники часто покладаються на оманливі електронні листи, шкідливі вкладення, скомпрометовані завантаження, шахрайські оновлення, злами та піратський контент. Небезпечні корисні навантаження з'являються в численних форматах, включаючи архіви, виконувані файли, документи, файли JavaScript тощо. У деяких випадках шкідливе програмне забезпечення поширюється латерально на інші пристрої в тій самій мережі або через портативні сховища.

Чому сплата викупу не є безпечним рішенням

Жертви рідко мають технічні засоби для розшифрування файлів, уражених сучасними програмами-вимагачами. Якщо шкідливе програмне забезпечення не містить критичної вразливості, лише оператори мають необхідні ключі. Однак сплата викупу не гарантує, що зловмисники нададуть функціонуючий дешифратор, і жертви часто втрачають як свої гроші, так і дані. Фінансування таких операцій також підтримує подальшу злочинну діяльність.

Видалення програм-вимагачів необхідне для запобігання подальшим пошкодженням, але видалення Zeo не відновлює зашифровані файли. Відновлення можливе лише за допомогою чистих резервних копій, що зберігаються в окремих місцях, таких як автономні пристрої або захищені віддалені сервери.

Посилення безпеки пристроїв

Багаторівневий підхід значно знижує ризик компрометації програмами-вимагачами. Наступні методи допомагають зміцнити довгострокову стійкість:

Основні профілактичні заходи

Підтримуйте суворий контроль над доступом до протоколу віддаленого робочого столу, використовуючи надійні, унікальні облікові дані, вимикаючи зовнішній доступ, коли він не потрібен, та забезпечуючи обмеження швидкості або багатофакторну автентифікацію.

Негайно встановлюйте оновлення безпеки для всієї операційної системи, встановленого програмного забезпечення та компонентів, що піддаються впливу мережі.

Додаткові рекомендації щодо найкращих практик

Зберігайте надійні резервні копії з версіями в кількох ізольованих місцях, включаючи офлайн-сховища або незмінні сховища.

• Використовуйте надійні засоби безпеки для моніторингу підозрілої активності та блокування шкідливого програмного забезпечення перед його виконанням.
• Скептично ставтеся до небажаних електронних листів, вкладень та пропозицій завантаження, особливо до тих, що видають себе за легітимні організації або пропонують безкоштовне програмне забезпечення.
• Уникайте піратського програмного забезпечення, ненадійних порталів для завантаження та сумнівної реклами в браузері.
• Обмежуйте адміністративні права, коли це можливо, та забезпечте виконання щоденних завдань з використанням облікових записів, які не є адміністраторами.

Поєднуючи дисципліновану гігієну системи з надійним контролем доступу та належним резервним копіюванням, користувачі значно зменшують свій вплив на такі загрози, як Zeo Ransomware, і краще підготовлені до швидкого відновлення у разі атаки.