Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Traders Ransomware

Traders Ransomware

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Ransomware vẫn là một trong những mối đe dọa lan truyền nhanh nhất và gây gián đoạn nhất mà cá nhân và tổ chức phải đối mặt. Chỉ một cuộc xâm nhập thành công có thể mã hóa nhiều năm công sức, làm lộ dữ liệu riêng tư và gây ra thời gian ngừng hoạt động tốn kém. Việc cập nhật thông tin về các loại mã độc đang hoạt động và áp dụng các biện pháp phòng thủ nhiều lớp sẽ giảm đáng kể cả khả năng xảy ra và tác động của một cuộc tấn công.

Hồ sơ mối đe dọa — 'Nhà giao dịch' là gì?

Traders là một loại ransomware mã hóa tập tin được các nhà phân tích bảo mật phát hiện trong quá trình săn tìm mối đe dọa và điều tra phần mềm độc hại. Khi đã xâm nhập được vào hệ thống, nó sẽ mã hóa dữ liệu người dùng và thay đổi tên tập tin để đánh dấu các tập tin con tin. Sau đó, kẻ tấn công yêu cầu thanh toán để đổi lấy khóa giải mã, đồng thời gây áp lực thông qua các mối đe dọa rò rỉ dữ liệu.

Đánh dấu tệp riêng biệt — Cách đổi tên dữ liệu của bạn

Sau khi mã hóa, Traders sẽ thêm một mã định danh dành riêng cho nạn nhân và phần mở rộng '.traders' vào mỗi tệp bị ảnh hưởng. Mẫu này bao gồm mã định danh của nạn nhân trong dấu ngoặc nhọn, giúp việc xâm nhập dễ dàng phát hiện trên nhiều thư mục. Ví dụ:

  • 1.png trở thành 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
  • 2.pdf trở thành 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders

Ghi chú về tiền chuộc — Yêu cầu và khiếu nại của kẻ tấn công

Traders thả một ghi chú có tên 'README.TXT'. Nội dung ghi chú nêu rõ tài liệu, ảnh, cơ sở dữ liệu và các tệp tin quan trọng khác đã bị mã hóa và khẳng định rằng việc khôi phục yêu cầu một khóa riêng duy nhất do kẻ tấn công nắm giữ. Ghi chú thường ngăn cản các nỗ lực tự giải mã bằng cách cảnh báo rằng các công cụ không phù hợp có thể làm hỏng dữ liệu không thể phục hồi. Ghi chú cung cấp các điểm liên hệ, địa chỉ email ('traders@mailum.com') và ID người nhắn tin phiên, qua đó nạn nhân được hướng dẫn đàm phán.

Tống tiền kép — Trộm cắp dữ liệu làm đòn bẩy

Ngoài việc mã hóa, ghi chú còn đe dọa rằng dữ liệu bị đánh cắp sẽ bị bán hoặc công khai nếu không được thanh toán. Chiến thuật "tống tiền kép" này nhằm mục đích ép buộc các nạn nhân phụ thuộc vào bản sao lưu bằng cách thêm vào các rủi ro về danh tiếng, pháp lý và quyền riêng tư.

Thực tế phục hồi — Điều gì thực sự hữu ích

Các tệp bị khóa bởi ransomware hiện đại thường không thể khôi phục nếu không có công cụ giải mã của kẻ tấn công. Các phương pháp khôi phục thực tế chỉ giới hạn ở các bản sao lưu ngoại tuyến, sạch sẽ, không thể truy cập được trong sự cố. Việc trả tiền chuộc bị khuyến cáo không nên thực hiện: không có gì đảm bảo bạn sẽ nhận được các công cụ giải mã hoạt động, và việc trả tiền chuộc sẽ tiếp tay cho tội phạm.

Ngăn chặn và diệt trừ — Hành động ngay lập tức

Nếu phát hiện Traders, hãy ngay lập tức cách ly các máy bị ảnh hưởng khỏi mạng để ngăn chặn mã hóa và lây lan sang các máy khác. Lưu giữ các hiện vật pháp y, bao gồm ghi chú đòi tiền chuộc, mẫu tệp đã mã hóa và nhật ký liên quan. Sử dụng giải pháp chống phần mềm độc hại/EDR uy tín để loại bỏ mã độc và bất kỳ cơ chế lưu trữ nào. Sau khi xóa, hãy xây dựng lại hoặc tạo lại ảnh hệ thống bị xâm nhập, luân chuyển thông tin đăng nhập và kiểm tra khóa truy cập và mã thông báo. Chỉ sau đó, bạn mới nên bắt đầu khôi phục dữ liệu từ các bản sao lưu đã được xác minh, đồng thời theo dõi cẩn thận khả năng tái nhiễm.

Truy cập và phân phối ban đầu — Cách Traders tiếp cận hệ thống

Giống như nhiều họ ransomware khác, Traders được phân phối qua nhiều kênh. Các điểm xâm nhập phổ biến bao gồm tệp đính kèm hoặc liên kết email độc hại, phần mềm trojan hoặc vi phạm bản quyền (bao gồm keygen và crack), mồi nhử hỗ trợ kỹ thuật giả mạo và khai thác các lỗ hổng chưa được vá. Kẻ tấn công cũng lợi dụng quảng cáo độc hại, các trang web bị xâm phạm hoặc giả mạo, phương tiện lưu trữ di động bị nhiễm, mạng ngang hàng (P2P), cổng tải xuống của bên thứ ba và các loại tệp tin bẫy như trình cài đặt thực thi, tài liệu Office hoặc PDF có nhúng macro hoặc tập lệnh, và các tệp nén (ZIP/RAR) để giải nén dropper.

Tăng cường phòng thủ của bạn — Các biện pháp bảo mật thiết yếu

  • Duy trì sao lưu ngoại tuyến.
  • Vá lỗi kịp thời. Ưu tiên các dịch vụ kết nối internet và cập nhật tự động khi có thể.
  • Triển khai phần mềm bảo mật uy tín với khả năng bảo vệ theo thời gian thực, chặn hành vi và kiểm soát quyền truy cập thư mục.
  • Tăng cường RDP và truy cập từ xa. Vô hiệu hóa nếu không cần thiết, hạn chế bằng danh sách cho phép/VPN, yêu cầu xác thực đa yếu tố (MFA) và giám sát các hoạt động đăng nhập bất thường hoặc tấn công brute-force.
  • Vô hiệu hóa các macro và tập lệnh nguy hiểm. Chặn macro Office khỏi internet, hạn chế PowerShell ở Chế độ Ngôn ngữ Hạn chế đối với người dùng không phải quản trị viên và kiểm tra việc thực thi tập lệnh.
  • Trình duyệt và tải xuống an toàn. Chỉ sử dụng các dịch vụ uy tín, chặn các tên miền độc hại đã biết và tránh các trình tải xuống của bên thứ ba và các nguồn P2P.

Suy nghĩ cuối cùng

Mã độc tống tiền Traders kết hợp mã hóa mạnh mẽ với áp lực tống tiền, khiến việc chuẩn bị trở thành biện pháp phòng thủ tốt nhất. Hãy vá hệ thống, thực thi quyền truy cập đặc quyền thấp nhất, triển khai bảo vệ điểm cuối hiệu quả, phân đoạn mạng và quan trọng nhất là duy trì các bản sao lưu ngoại tuyến đã được kiểm tra. Nếu bạn đã bị ảnh hưởng, hãy tập trung vào việc ngăn chặn và khắc phục sự cố chuyên nghiệp thay vì trả tiền.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
36,059
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...