DeadLock勒索软件
现代勒索软件活动旨在将您的个人或组织数据转化为筹码。一旦关键文件被加密,除非您事先做好准备,否则攻击者就掌握了主动权。强大的安全措施、分层防御和弹性备份策略可以显著降低单个恶意附件、破解的安装程序或恶意下载导致业务中断或永久性数据丢失的可能性。DeadLock 勒索软件就是一个很好的例子,说明了这些基本原则的重要性。
目录
DeadLock 的独特之处
DeadLock 是一个文件加密勒索软件家族,它会为每个受害者添加一个唯一的标识符。在攻击过程中,它会扰乱用户数据,并通过在原始文件名后附加受害者的 ID 和“.dlock”扩展名来重命名每个加密文件。例如:“1.png”会变成“1.png.F8C6A8.dlock”,“2.pdf”会变成“2.pdf.F8C6A8.dlock”。在整个勒索过程中,该 ID 会用于追踪受害者,并将赎金与解密密钥绑定。DeadLock 还会留下一个文件名中包含相同标识符的勒索信(例如“READ ME.F8C6A8.txt”),并更改桌面壁纸以强调系统已被入侵。
赎金纸条内幕
该通知提出了几个关键点,旨在引导受害者的下一步行动。它声称,如果没有只有攻击者拥有的“唯一解密密钥”,加密文件就无法恢复。受害者被告知安装注重隐私的会话通讯程序,并使用提供的会话ID(再次映射回嵌入在文件名中的每个受害者的标识符)进行联系。攻击者要求受害者发送一个加密文件以及“个人密钥”(他们的唯一ID)进行验证。这是一种常见的策略,旨在通过解密无害样本来建立信任。
付款和施压策略
DeadLock 运营者要求加密货币,特别是比特币或门罗币。他们承诺付款后会提供可用的解密器。与大多数勒索软件操作一样,他们没有提供任何可执行的保证。该通知还利用恐惧来阻止受害者进行独立的恢复尝试:警告受害者不要重命名加密文件,也不要尝试第三方解密工具,声称此类操作可能会永久损坏数据或推高恢复成本。这些警告部分是技术性的(操作不当确实会使恢复过程更加复杂),部分是心理压力。
解密现实检验
勒索软件的总体使用经验以及勒索软件运营者自身的信息传递都印证了一个残酷的事实:在大多数情况下,如果没有攻击者的合作和工具,你根本无法解密被 DeadLock 加密的文件。因此,现实的恢复途径只有两条:(1) 使用离线、异地、版本控制或恶意软件在攻击时无法访问的有效备份;或 (2) 支付赎金,并希望犯罪分子履行协议。支付赎金存在风险:攻击者可能会消失,提供损坏的解密器,或者将支付赎金作为未来勒索的隐患。尽可能使用未受影响的备份,而不是支付赎金。
为什么全面移除很重要
即使加密完成后,将勒索软件留在系统上仍然很危险。残留组件可能会重新加密新创建的文件、窃取凭据、打开后门或尝试在本地网络中横向移动。通过终端扫描、内存检查以及对计划任务、启动项和域控制器的审查,彻底清除勒索软件对于防止重复破坏至关重要。
常见的 DeadLock 感染媒介
攻击者需要一个初步的立足点。勒索软件活动与多种分发渠道相关,这些渠道利用用户的信任、好奇心和削减成本的捷径:
- 盗版或“破解”的商业软件,包括捆绑的密钥生成器和秘密安装恶意软件的许可证绕过工具。
- 从 warez 或 torrent 网站获取的软件破解程序、密钥生成器和非官方激活器。
- 恶意电子邮件附件:带有陷阱的 Word 文档(通常启用宏)、PDF、ZIP 存档、脚本文件或伪装成发票、装运通知或紧急人力资源表格的可执行有效负载。
- 恶意广告将用户重定向到漏洞利用工具包或恶意下载页面。
- 点对点共享平台和第三方下载中心,使用隐藏的有效载荷重新打包安装程序。
- 可移动媒体(例如,受感染的 USB 驱动器)会自动运行或诱使用户启动受污染的文件。
- 虚假的技术支持门户迫使用户下载实际上包含勒索软件加载程序的“修复”或“更新”。
- 被入侵的合法网站已被植入驱动下载或注入脚本来传送有效载荷。
增强防御的最佳安全实践
分层安全措施可大幅降低勒索软件事件的波及范围。以下是一些优先防御措施,有助于防止 DeadLock 和类似威胁得逞:
- 维护关键数据的可靠离线备份。
- 及时修补操作系统、应用程序和固件,特别是容易受到宏或漏洞滥用的暴露服务和生产力套件。
- 使用信誉良好的端点保护/EDR,具有基于行为的勒索软件检测和自动隔离功能。
- 强制使用最低权限用户帐户;在不需要时禁用本地管理员;将管理员凭据与日常使用分开。
- 通过组策略、应用程序允许列表和受控文件夹访问来限制宏执行、脚本解释器和未签名的二进制文件。
- 部署电子邮件安全过滤:沙盒附件、检查链接并标记可疑文件类型或欺骗的发件人域。
- 禁用可移动媒体上的自动运行并在安装前扫描 USB 设备。
- 要求对远程访问、管理控制台和备份管理界面进行多因素身份验证 (MFA)。
长期经验教训
DeadLock 事件再次印证了勒索软件家族中一个反复出现的主题:如果最终用户经常下载破解工具、打开未经验证的附件或浏览不受信任的广告网络,攻击者就不需要尖端漏洞利用技术。基本的安全技术、补丁规程、访问控制、监控备份以及用户安全意识,能够将潜在的危机转化为可恢复的事件。现在就投资这些防御措施吧;其成本远低于在压力下支付的赎金。
结束语
勒索软件的抵御能力早在攻击袭击您的屏幕之前就已建立。通过了解 DeadLock 的运作方式并实施分层的预防和恢复控制,您可以抵御此类威胁以及其他类似威胁。对任何您未刻意寻找或验证的威胁保持怀疑态度。您的警惕是第一道防线,通常也是最好的防线。
留言
找到以下与DeadLock勒索软件相关的消息:
|
# All your important files are encrypted! # Your important files have been encrypted by DeadLock using military-grade encryption. This includes all documents, photos, videos, databases, and other critical data. You cannot access them without our decryption key. # There is only one way to get your files back: 1. Download Session to contact us https://getsession.org/ 2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78) 3. Send us 1 any encrypted your file and your personal key 4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files 5. Pay 6. We send for you decryptor software # We accept Bitcoin/Monero Attention! Do not rename encrypted files. Do not try to decrypt using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78 # Your personal id: READ ME.F8C6A8.txt |
