Ior Ransomware

Khi các cuộc tấn công ransomware ngày càng tinh vi và phá hoại hơn, việc bảo vệ thiết bị của bạn khỏi các mối đe dọa có hại chưa bao giờ trở nên quan trọng hơn thế. Các cuộc tấn công này có thể mã hóa dữ liệu của bạn, làm gián đoạn hoạt động kinh doanh và tống tiền nạn nhân, thường không có bảo đảm khôi phục dữ liệu. Phát hiện gần đây về Ior Ransomware làm nổi bật mối đe dọa dai dẳng mà các họ ransomware hiện đại gây ra. Hiểu cách thức hoạt động của Ior Ransomware và thực hiện các hành động bảo mật mạnh mẽ có thể giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công như vậy.

Ior Ransomware: Một mối đe dọa mới trong gia đình Dharma

Ior Ransomware thuộc họ Dharma Ransomware khét tiếng, nổi tiếng với việc nhắm mục tiêu vào cả doanh nghiệp và cá nhân. Khi Ior lây nhiễm vào hệ thống, nó sẽ nhanh chóng mã hóa các tệp và đổi tên chúng bằng định dạng filename.id-[ID STRING].[attacker's email].ior. Ví dụ, 'document.pdf' sẽ được đổi tên thành 'document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior', khóa tệp và khiến người dùng không thể truy cập được.

Phần mềm tống tiền Ior để lại hai loại ghi chú đòi tiền chuộc:

• Một cửa sổ bật lên thông báo ngay lập tức cho nạn nhân về cuộc tấn công.
• Một tệp có tên 'manual.txt' cung cấp hướng dẫn chi tiết về cách khôi phục dữ liệu đã mã hóa.

Những ghi chú đòi tiền chuộc này hướng dẫn nạn nhân liên hệ với những kẻ tấn công qua địa chỉ email được cung cấp—jasalivan@420blaze.it hoặc ja.salivan@keemail.me—trong vòng 12 giờ. Ghi chú cũng đề nghị giải mã tối đa ba tệp (nhỏ hơn 3 MB) làm bằng chứng cho thấy việc giải mã là có thể. Tuy nhiên, những kẻ tấn công cảnh báo không nên cố gắng đổi tên các tệp được mã hóa hoặc sử dụng các công cụ giải mã của bên thứ ba, đe dọa mất dữ liệu vĩnh viễn hoặc chi phí giải mã cao hơn nếu thực hiện các hành động này.

Phương pháp tấn công: Cách thức Ior Ransomware lây nhiễm vào hệ thống

Ior Ransomware có tính đe dọa cao không chỉ vì khả năng mã hóa tệp mà còn vì cách tiếp cận tích cực của nó trong việc vô hiệu hóa các tính năng bảo mật và đảm bảo tính bền bỉ. Phần mềm độc hại:

• Mã hóa cả các tập tin cục bộ và chia sẻ trên mạng, không chỉ ảnh hưởng đến máy tính bị nhiễm mà còn cả các thiết bị lưu trữ hoặc hệ thống được kết nối.
• Vô hiệu hóa tường lửa của hệ thống, khiến thiết bị dễ bị tấn công hơn.
• Xóa các bản sao Shadow Volume, ngăn người dùng khôi phục tệp bằng điểm khôi phục Windows tích hợp sẵn.
• Sao chép chính nó vào thư mục %LOCALAPPDATA% và đăng ký với phím Run của Windows, cho phép nó tự động khởi động lại khi hệ thống khởi động lại.

Ngoài ra, phần mềm tống tiền Ior còn có khả năng thu thập dữ liệu vị trí và loại trừ một số thư mục khỏi quá trình mã hóa, cho thấy mức độ tùy chỉnh dựa trên chiến lược của kẻ tấn công.

Các vectơ lây nhiễm: Cách thức phân phối Ior Ransomware

Giống như nhiều chủng ransomware khác trong họ Dharma, Ior Ransomware thường được phân phối thông qua các dịch vụ Remote Desktop Protocol (RDP) dễ bị tấn công. Tội phạm mạng khai thác các cấu hình RDP yếu, sử dụng các cuộc tấn công brute-force hoặc dictionary để bẻ khóa các thông tin đăng nhập được quản lý kém. Tuy nhiên, đây không phải là cách duy nhất mà Ior lây nhiễm vào hệ thống:

• Tệp đính kèm hoặc liên kết email bị hỏng : Email lừa đảo có tệp đính kèm hoặc liên kết nhúng có hại là phương thức phát tán ransomware phổ biến.
• Lỗ hổng phần mềm bị khai thác : Các hệ thống chưa được vá là mục tiêu chính của phần mềm tống tiền vì kẻ tấn công có thể khai thác các lỗ hổng đã biết trong phần mềm hoặc hệ điều hành lỗi thời.
• Phần mềm vi phạm bản quyền : Phần mềm được tải xuống bất hợp pháp thường ẩn chứa phần mềm độc hại, bao gồm cả phần mềm tống tiền, được người dùng vô tình thực hiện.
• Trang web bị xâm phạm : Người dùng có thể bị lừa tải xuống phần mềm độc hại thông qua quảng cáo lừa đảo, tải xuống giả mạo hoặc trang web bị xâm phạm.
• Mạng ngang hàng (P2P) và trình tải xuống của bên thứ ba : Các tệp không an toàn có thể dễ dàng lây lan qua các nền tảng torrent hoặc trình quản lý tải xuống của bên thứ ba thiếu các biện pháp kiểm soát bảo mật.

Các biện pháp bảo mật tốt nhất để phòng chống Ransomware

Để bảo vệ bản thân khỏi Ior ransomware và các mối đe dọa mạng khác, điều cần thiết là phải tuân theo các biện pháp bảo mật tốt nhất. Bằng cách chủ động và thực hiện các biện pháp phòng ngừa đúng đắn, bạn có thể thu hẹp đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công này. Sau đây là các bước chính để tăng cường khả năng phòng thủ của bạn trước ransomware:

1. Sao lưu dữ liệu thường xuyên: Sao lưu thường xuyên là biện pháp phòng thủ mạnh nhất của bạn chống lại ransomware. Đảm bảo rằng tất cả các tệp cơ bản được sao lưu vào thiết bị lưu trữ độc lập hoặc dịch vụ đám mây được ngắt kết nối khỏi hệ thống chính của bạn. Theo cách này, nếu dữ liệu của bạn bị mã hóa, bạn có thể khôi phục mà không phải trả tiền chuộc.
2. Truy cập từ xa an toàn: Nếu bạn sử dụng RDP hoặc các dịch vụ truy cập từ xa khác, hãy đảm bảo chúng được cấu hình an toàn:

Tắt RDP nếu không sử dụng.

Sử dụng mật khẩu mạnh và duy nhất cho các tài khoản có quyền truy cập từ xa.

Bật xác thực đa yếu tố (MFA) để tăng cường bảo mật.

Hạn chế quyền truy cập RDP vào các địa chỉ IP cụ thể thông qua tường lửa hoặc VPN.

1. Cập nhật hệ thống và phần mềm: Phần mềm lỗi thời là mục tiêu thường xuyên của các cuộc tấn công ransomware. Đảm bảo hệ điều hành, ứng dụng và phần mềm chống phần mềm độc hại của bạn được nâng cấp với các bản vá bảo mật mới nhất. Tự động cập nhật khi có thể để giảm thiểu thời gian dễ bị tấn công.
2. Triển khai các giải pháp chống phần mềm tống tiền: Đầu tư vào phần mềm chống phần mềm độc hại có uy tín bao gồm bảo vệ chống phần mềm tống tiền. Nhiều bộ bảo mật hiện đại có thể phát hiện hành vi đáng ngờ, chẳng hạn như mã hóa tệp hoặc thay đổi trái phép cài đặt hệ thống và ngăn chặn phần mềm tống tiền trước khi nó gây ra thiệt hại.
3. Thận trọng với email: Email lừa đảo vẫn là một trong những cách hiệu quả nhất để kẻ tấn công phân phối phần mềm tống tiền. Tránh nhấp vào tệp đính kèm hoặc liên kết email không được yêu cầu. Xác minh tính hợp pháp của email bất ngờ, ngay cả khi chúng có vẻ đến từ các nguồn đáng tin cậy.
4. Sử dụng mật khẩu mạnh, duy nhất: Mật khẩu yếu là lỗ hổng lớn trong các cuộc tấn công ransomware, đặc biệt là các cuộc tấn công liên quan đến chiến thuật brute-force trên RDP. Sử dụng mật khẩu mạnh, phức tạp và thay đổi chúng thường xuyên. Cân nhắc sử dụng trình quản lý mật khẩu để lưu trữ và tạo mật khẩu duy nhất cho các tài khoản khác nhau.
5. Vô hiệu hóa Macro và hạn chế thực thi tập lệnh: Nhiều nhiễm trùng ransomware bắt đầu thông qua các macro độc hại trong tài liệu hoặc bằng cách khai thác các công cụ tập lệnh như PowerShell. Vô hiệu hóa macro theo mặc định và hạn chế thực thi tập lệnh để giảm thiểu nguy cơ nhiễm trùng.
6. Sử dụng Tường lửa và Phân đoạn Mạng: Tường lửa có thể ngăn chặn truy cập trái phép vào hệ thống của bạn và phân đoạn mạng có thể làm giảm sự lây lan của phần mềm tống tiền trong một tổ chức. Bằng cách cô lập các hệ thống quan trọng và hạn chế quyền truy cập mạng, bạn có thể ngăn chặn thiệt hại do tấn công.

Kết luận: Hãy luôn cập nhật thông tin và chuẩn bị

Ior ransomware, giống như các thành viên khác trong gia đình Dharma, gây ra mối đe dọa nghiêm trọng đối với cá nhân và tổ chức. Khả năng mã hóa dữ liệu, vô hiệu hóa các tính năng bảo mật và lan truyền qua các mạng bị xâm phạm khiến nó trở thành một kẻ thù đáng gờm. Tuy nhiên, bằng cách áp dụng các biện pháp thực hành tốt nhất được nêu ở trên—sao lưu thường xuyên, cập nhật phần mềm, kiểm soát truy cập từ xa mạnh mẽ và mật khẩu mạnh—bạn có thể tăng cường khả năng phòng thủ và giảm thiểu tác động của một cuộc tấn công ransomware. Chìa khóa để giữ an toàn là cảnh giác chủ động và cam kết thực hiện các biện pháp thực hành tốt nhất về an ninh mạng.

Ghi chú tiền chuộc được Ior Ransomware hiển thị dưới dạng cửa sổ bật lên:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tin nhắn từ kẻ tấn công được gửi dưới dạng tệp văn bản:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'