Phần mềm tống tiền RestoreMyData
Các chiến dịch phần mềm độc hại liên tục phát triển, và ransomware vẫn là một trong những mối đe dọa gây thiệt hại nặng nề nhất cho người dùng và tổ chức ở mọi quy mô. Chỉ một cuộc xâm nhập thành công cũng có thể làm gián đoạn hoạt động, làm hỏng bản sao lưu, kích hoạt tống tiền rò rỉ dữ liệu và gây ra quá trình khôi phục kéo dài, tốn kém. Phòng thủ chủ động và phản ứng kỷ luật đóng vai trò quyết định trong việc hạn chế phạm vi ảnh hưởng khi xảy ra tấn công, chứ không phải nếu xảy ra.
Mục lục
RestoreMyData Ransomware là gì?
RestoreMyData khóa dữ liệu của nạn nhân và tống tiền họ. Loại ransomware này đã được phát hiện trong quá trình điều tra truy tìm mối đe dọa đang diễn ra. Giống như các loại ransomware hiện đại khác, nó mã hóa các tệp và yêu cầu thanh toán cho một tiện ích giải mã, đồng thời tuyên bố sẽ đánh cắp dữ liệu kinh doanh nhạy cảm để gây áp lực cho nạn nhân bằng cách tiết lộ thông tin ra công chúng.
Cuộc tấn công diễn ra như thế nào
Sau khi chiếm được chỗ đứng, thường thông qua kỹ thuật xã hội, tải xuống mã độc hoặc phần mềm độc hại thứ cấp, ransomware sẽ thực hiện quy trình mã hóa. Mỗi tên tệp bị ảnh hưởng sẽ được sửa đổi bằng cách thêm '.restoremydata.pw'. Ví dụ: '1.png' trở thành '1.png.restoremydata.pw' và '2.pdf' trở thành '2.pdf.restoremydata.pw'. Khi mã hóa hoàn tất, phần mềm độc hại sẽ thả một ghi chú đòi tiền chuộc có tên 'HOW_TO_RECOVERY_FILES.txt'. Ghi chú này rõ ràng nhắm vào các doanh nghiệp chứ không phải người dùng cá nhân, cảnh báo rằng hoạt động đang gặp rủi ro, các tệp không thể truy cập được nếu không có sự trợ giúp của kẻ tấn công và dữ liệu doanh nghiệp bị đánh cắp sẽ bị công bố nếu các yêu cầu bị phớt lờ.
Ghi chú về tiền chuộc: Chiến thuật và áp lực
Tin nhắn khẳng định rằng chỉ có kẻ tấn công mới nắm giữ khóa giải mã duy nhất và các công cụ giải mã được sử dụng cho các nạn nhân khác sẽ không hoạt động. Tin nhắn cảnh báo không nên sửa đổi các tệp đã mã hóa để tránh thiệt hại không thể khắc phục. Để "bằng chứng giải mã", kẻ tấn công đề nghị khôi phục một tệp thử nghiệm duy nhất, thường lên đến 2 MB, chứ không phải một tài sản quan trọng như cơ sở dữ liệu, bản sao lưu hoặc bảng tính lớn. Đây là một kỹ thuật tấn công phi kỹ thuật phổ biến được thiết kế để xây dựng uy tín và thúc đẩy nạn nhân trả tiền.
Trả tiền chuộc: Rủi ro và thực tế
Trong hầu hết các trường hợp, việc giải mã các tệp bị mã độc tống tiền hiện đại khóa là không khả thi nếu không có khóa của kẻ tấn công. Tuy nhiên, việc trả tiền không đảm bảo việc khôi phục dữ liệu; nạn nhân thường báo cáo rằng họ không nhận được thông tin hữu ích nào sau khi chuyển tiền. Việc trả tiền cũng thúc đẩy hệ sinh thái tội phạm. Giải pháp khả thi là tránh trả tiền, tập trung vào việc xóa bỏ mã độc và khôi phục từ các bản sao lưu sạch.
Sự kiên trì, chuyển động ngang và lan rộng
Ngoài sự xâm phạm ban đầu, một số mối đe dọa còn tìm cách lây lan qua mạng cục bộ, lạm dụng các công cụ quản trị, thu thập thông tin đăng nhập và lây lan qua phương tiện lưu động (ổ USB, ổ đĩa ngoài). RestoreMyData được cho là có khả năng tận dụng các kỹ thuật tương tự như trong hệ sinh thái, nghĩa là tốc độ ngăn chặn là rất quan trọng khi phát hiện ra các chỉ số.
Kênh truy cập và phân phối ban đầu
Kẻ điều hành ransomware dựa vào những con đường lây lan quen thuộc: email và tin nhắn lừa đảo có đính kèm tệp đính kèm hoặc liên kết bẫy, trojan và trình tải dữ liệu tự động tải xuống sau, tải xuống tự động từ các trang web bị xâm nhập, cổng phần mềm miễn phí và mạng ngang hàng (P2P) với trình cài đặt được đóng gói lại, quảng cáo độc hại, cập nhật giả mạo và công cụ "bẻ khóa". Nội dung độc hại thường được ngụy trang dưới dạng tệp lưu trữ (ZIP/RAR), tệp thực thi, PDF, tài liệu Office hoặc OneNote, JavaScript, v.v.; quá trình thực thi bắt đầu ngay khi người dùng mở hoặc chạy tệp.
Chiến lược diệt trừ và phục hồi
Ngay lập tức cô lập các hệ thống bị ảnh hưởng khỏi mạng để ngăn chặn mã hóa lan truyền và rò rỉ dữ liệu. Thực hiện xóa toàn diện bằng các công cụ bảo mật uy tín và được cập nhật đầy đủ. Cần hiểu rằng việc xóa chỉ ngăn chặn thiệt hại thêm nhưng không giải mã được dữ liệu đã bị khóa. Việc khôi phục nên được thực hiện từ các bản sao lưu chưa bị ảnh hưởng.
Kết luận
RestoreMyData Ransomware là ví dụ điển hình cho chiến thuật tống tiền kép ngày nay: mã hóa nhanh, khóa nạn nhân duy nhất, yêu cầu tiền chuộc áp lực cao và các mối đe dọa rò rỉ dữ liệu bị đánh cắp. Hãy tránh trả tiền bất cứ khi nào có thể, loại bỏ phần mềm độc hại một cách dứt khoát và dựa vào các bản sao lưu được kiểm tra thường xuyên và chắc chắn để phục hồi. Các tổ chức kết hợp phòng ngừa nhiều lớp, kiểm soát đặc quyền nghiêm ngặt, sao lưu mạnh mẽ và ứng phó sự cố được thực hiện bài bản sẽ cải thiện đáng kể khả năng chống chịu loại tấn công này.
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền RestoreMyData đã được tìm thấy:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
