Phần mềm tống tiền Solara

Solara là một loại ransomware mới được phát hiện gần đây mà các nhà nghiên cứu cho biết được xây dựng dựa trên mã độc Chaos được lưu hành công khai. Ransomware như Solara mã hóa tệp người dùng, yêu cầu thanh toán và có thể làm gián đoạn vĩnh viễn quyền truy cập vào dữ liệu quan trọng, vì vậy việc bảo vệ thiết bị và bản sao lưu là điều cần thiết.

SOLARA LÀM GÌ

Trong quá trình phân tích, Solara được phát hiện mã hóa các tệp và thêm chuỗi văn bản '.solara' vào tên tệp (ví dụ: '1.png' → '1.png.solara'). Phần mềm độc hại này cũng thả một ghi chú đòi tiền chuộc có tên 'read_it.txt', tuyên bố rằng nạn nhân đã kích hoạt chế độ bảo vệ 'chống bẻ khóa' và hướng dẫn nạn nhân tìm công cụ giải mã từ một tác nhân trực tuyến. Một số bài viết và phân tích mẫu đã liên kết Solara với họ ransomware Chaos và mô tả các hành vi tương tự (mã hóa, thay thế phần mở rộng và ghi chú đòi tiền chuộc dạng văn bản thuần túy).

LƯU Ý TIỀN CHUỘC & YÊU CẦU THANH TOÁN

Tin nhắn đòi tiền chuộc được các nhà phân tích kiểm tra khẳng định rằng việc khôi phục tập tin là "gần như không thể" nếu không có công cụ giải mã của kẻ tấn công. Tin nhắn hướng dẫn nạn nhân liên hệ với người dùng Discord (xenqxd) và đề xuất các phương thức thanh toán như Paysafecard (ở Ba Lan) hoặc một khoản tiền Bitcoin nhỏ. Đáng chú ý, một số mẫu tin nhắn bỏ qua các kênh liên lạc có ý nghĩa, điều này có thể cho thấy một chiến dịch chưa trưởng thành hoặc mang tính chất trò đùa, hoặc những kẻ tấn công đơn giản là không muốn đàm phán. Hãy hết sức cảnh giác với tất cả những yêu cầu như vậy.

BẠN CÓ THỂ KHÔI PHỤC TẬP TIN MÀ KHÔNG PHẢI TRẢ TIỀN KHÔNG?

Nhìn chung, các tệp bị mã hóa bởi các mối đe dọa thuộc họ Chaos không thể khôi phục nếu không có khóa giải mã phù hợp. Nếu bạn có bản sao lưu ngoại tuyến, sạch từ trước khi bị nhiễm, việc khôi phục chúng là giải pháp an toàn nhất được khuyến nghị. Việc trả tiền không được khuyến khích, vì tội phạm thường không cung cấp các công cụ giải mã khả dụng, và việc trả tiền sẽ chỉ làm tăng thêm hoạt động phạm tội.

CÁC VECTƠ NHIỄM TRÙNG PHỔ BIẾN

• Phần mềm lậu, keygen và tiện ích 'bẻ khóa' được ngụy trang bằng phần mềm độc hại.
• Tệp đính kèm và liên kết email độc hại (macro Office, tập lệnh, tệp EXE).
• Quảng cáo bị nhiễm, trang web tải xuống bị xâm phạm hoặc không chính thức, mạng P2P/torrent, ổ USB và trình tải xuống của bên thứ ba.

HÀNH ĐỘNG NGAY LẬP TỨC NẾU BẠN NGHI NGỜ BỊ NHIỄM TRÙNG

Ngắt kết nối máy ngay lập tức : ngắt kết nối khỏi mạng (có dây/wifi) và ngắt kết nối bất kỳ ổ đĩa chia sẻ/mạng nào để ngăn chặn sự lây lan ngang.

Bảo quản bằng chứng : không tắt/mở nguồn khi bạn đang thu thập bộ nhớ hoặc hiện vật pháp y, thay vào đó hãy chụp ảnh bộ nhớ và đĩa nếu có thể hoặc gọi phản hồi sự cố.

Sử dụng bản sao lưu : Khôi phục từ bản sao lưu đáng tin cậy sau khi phần mềm độc hại đã được loại bỏ và hệ thống được xây dựng lại; không khôi phục các bản sao lưu có thể đã được kết nối tại thời điểm bị nhiễm.

Không trả tiền trừ khi nhóm ứng phó sự cố đã đánh giá tất cả các phương án và hậu quả; việc trả tiền không đảm bảo sẽ hiệu quả và có thể khuyến khích các cuộc tấn công trong tương lai.

THỰC HÀNH AN NINH TỐT NHẤT

Duy trì hệ thống phòng thủ nhiều lớp, cập nhật bao gồm các hoạt động sau trong hoạt động hàng ngày:

Quản lý bản vá : áp dụng các bản cập nhật bảo mật ứng dụng và hệ điều hành kịp thời; nhiều loại ransomware khai thác các lỗ hổng đã biết và đã vá.

Quyền hạn tối thiểu và vệ sinh tài khoản : chạy người dùng bằng tài khoản không phải quản trị viên, thực thi xác thực đa yếu tố mạnh mẽ cho quyền truy cập từ xa và tài khoản có đặc quyền, đồng thời theo dõi hành vi đăng nhập bất thường.

Chiến lược sao lưu : Tạo bản sao lưu thường xuyên và tách biệt khỏi mạng. Xét cho cùng, sao lưu là biện pháp kiểm soát phục hồi hiệu quả nhất chống lại các cuộc tấn công mã hóa.

Bảo vệ điểm cuối và EDR : triển khai các giải pháp phát hiện và phản hồi điểm cuối uy tín, có khả năng phát hiện các bất thường trong quá trình thực thi, chặn các payload độc hại và cho phép ngăn chặn nhanh chóng. Luôn bật chữ ký và đo từ xa.

Giáo dục người dùng và chống lừa đảo : hướng dẫn người dùng tránh chạy crack/keygen, xác minh người gửi email và liên kết, và xử lý các tệp đính kèm bất ngờ một cách thận trọng. Các chiến dịch nâng cao nhận thức và lừa đảo mô phỏng giúp giảm thiểu yếu tố rủi ro do con người gây ra.

Kiểm soát ứng dụng và hạn chế macro : tắt macro Office theo mặc định, chặn thực thi khỏi các vị trí lạm dụng phổ biến (ví dụ: %AppData%, thư mục tạm thời) và sử dụng danh sách cho phép ứng dụng khi có thể.

GHI CHÚ KẾT THÚC

Solara minh họa những rủi ro phổ biến liên quan đến các trình tạo ransomware công khai: các nhánh và biến thể lây lan nhanh chóng, và kẻ tấn công liên tục điều chỉnh phương thức phân phối để nhắm mục tiêu vào các cộng đồng cụ thể (các báo cáo nêu bật các diễn đàn game và kênh phần mềm lậu là những mồi nhử tiềm năng). Các biện pháp phòng thủ tốt nhất là phòng ngừa, sao lưu mạnh mẽ, ngăn chặn nhanh chóng và hợp tác với các đội ứng phó được đào tạo bài bản, không trả tiền chuộc. Nếu bạn nghi ngờ bị xâm phạm và cần hỗ trợ dọn dẹp từng bước, hãy thu thập các chỉ báo mẫu (tên tệp, hàm băm, văn bản ghi chú đòi tiền chuộc) và tham khảo ý kiến nhà cung cấp dịch vụ ứng phó sự cố đáng tin cậy hoặc nhà cung cấp bảo mật của bạn để được hướng dẫn ngăn chặn và phục hồi.