Ior Ransomware
随着勒索软件攻击变得越来越复杂和具有破坏性,保护您的设备免受有害威胁从未如此重要。这些攻击可以加密您的数据,破坏业务运营,并向受害者勒索钱财,而且通常不保证数据恢复。最近发现的 Ior 勒索软件凸显了现代勒索软件家族构成的持续威胁。了解 Ior 勒索软件的工作原理并采取强有力的安全措施可以大大降低成为此类攻击受害者的风险。
目录
Ior 勒索软件:Dharma 家族的新威胁
Ior 勒索软件属于臭名昭著的Dharma 勒索软件家族,该家族以针对企业和个人而闻名。一旦 Ior 感染系统,它会迅速加密文件并使用 filename.id-[ID STRING].[攻击者的电子邮件].ior 格式重命名文件。例如,“document.pdf”将被重命名为“document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior”,锁定文件并使用户无法访问。
Ior 勒索软件会留下两种类型的勒索记录:
- 弹出窗口立即通知受害者攻击的情况。
- 一个名为“manual.txt”的文件,其中提供了有关如何恢复加密数据的详细说明。
这些勒索信要求受害者在 12 小时内通过提供的电子邮件地址(jasalivan@420blaze.it 或 ja.salivan@keemail.me)联系攻击者。该信还要求受害者解密最多三个文件(小于 3 MB),以证明可以解密。但是,攻击者警告受害者不要尝试重命名加密文件或使用第三方解密工具,并威胁称如果采取这些行动,将导致永久性数据丢失或更高的解密成本。
攻击方法:Ior 勒索软件如何感染系统
Ior 勒索软件极具威胁性,不仅因为它的文件加密功能,还因为它采取了禁用安全功能和确保持久性的激进方法。该恶意软件:
- 加密本地和网络共享文件,不仅影响受感染的计算机,还影响任何连接的存储设备或系统。
- 禁用系统防火墙,使设备更容易受到进一步的攻击。
- 删除卷影副本,以防止用户使用内置的 Windows 还原点恢复文件。
- 将自身复制到 %LOCALAPPDATA% 目录并注册 Windows 运行键,允许其在系统重启时自动重启。
此外,Ior 勒索软件能够收集位置数据并从加密中排除某些目录,这表明该软件可以根据攻击者的策略进行一定程度的定制。
感染媒介:Ior 勒索软件的传播方式
与 Dharma 家族中的许多勒索软件一样,Ior 勒索软件通常通过易受攻击的远程桌面协议 (RDP) 服务进行传播。网络犯罪分子利用脆弱的 RDP 配置,使用暴力破解或字典攻击来破解管理不善的凭证。然而,这并不是 Ior 感染系统的唯一方式:
- 损坏的电子邮件附件或链接:带有有害附件或嵌入链接的网络钓鱼电子邮件是勒索软件的常见传递方式。
- 利用软件漏洞:未修补的系统是勒索软件的主要目标,因为攻击者可以利用过时软件或操作系统中已知的漏洞。
- 盗版软件:非法下载的软件中通常隐藏恶意软件,包括勒索软件,而用户会在不知情的情况下执行这些恶意软件。
- 受感染的网站:用户可能会通过欺骗性广告、虚假下载或受感染的网站被诱骗下载恶意软件。
- 点对点 (P2P) 网络和第三方下载器:不安全的文件可以通过缺乏安全控制的种子平台或第三方下载管理器轻松传播。
防御勒索软件的最佳安全实践
为了保护自己免受 Ior 勒索软件和其他网络威胁的侵害,遵循最佳安全实践至关重要。通过积极主动并采取正确的预防措施,您可以大大降低成为这些攻击受害者的风险。以下是加强对勒索软件防御的关键步骤:
- 定期备份数据:频繁备份是抵御勒索软件的最强防御手段。确保所有基本文件都备份到与主系统断开连接的独立存储设备或云服务中。这样,如果您的数据被加密,您可以恢复它而无需支付赎金。
- 安全远程访问:如果您使用 RDP 或其他远程访问服务,请确保它们已安全配置:
如果不使用,请禁用 RDP。
对具有远程访问权限的帐户使用强大且独特的密码。
启用多因素身份验证 (MFA) 以增强安全性。
通过防火墙或 VPN 限制对特定 IP 地址的 RDP 访问。
- 保持系统和软件更新:过时的软件经常成为勒索软件攻击的目标。确保您的操作系统、应用程序和反恶意软件都已升级到最新的安全补丁。尽可能自动更新,以最大限度地减少漏洞窗口。
- 部署反勒索软件解决方案:投资具有反勒索软件保护功能的知名反恶意软件。许多现代安全套件可以检测可疑行为,例如文件加密或未经授权更改系统设置,并在勒索软件造成损害之前阻止它。
- 谨慎对待电子邮件:网络钓鱼电子邮件仍然是攻击者传播勒索软件的最有效方式之一。避免点击未经请求的电子邮件附件或链接。验证意外电子邮件的合法性,即使它们似乎来自可信来源。
- 使用强大而独特的密码:弱密码是勒索软件攻击的主要漏洞,尤其是那些涉及 RDP 暴力破解策略的攻击。使用强大而复杂的密码并定期更改。考虑使用密码管理器来存储和生成不同帐户的唯一密码。
- 禁用宏并限制脚本执行:许多勒索软件感染都是通过文档中的恶意宏或利用脚本引擎(如 PowerShell)开始的。默认情况下禁用宏并限制脚本执行以最大限度地降低感染风险。
- 使用防火墙和网络分段:防火墙可以阻止未经授权的系统访问,而网络分段可以减少勒索软件在组织内的传播。通过隔离关键系统并限制网络访问,您可以控制攻击造成的损害。
结论:保持知情并做好准备
Ior 勒索软件与 Dharma 家族的其他成员一样,对个人和组织都构成了严重威胁。它能够加密数据、禁用安全功能并通过受感染的网络传播,这使它成为一个强大的对手。但是,通过采用上述最佳实践(定期备份、软件更新、强大的远程访问控制和强密码),您可以增强防御能力并最大限度地减少勒索软件攻击的影响。保持安全的关键是主动警惕并致力于网络安全最佳实践。
Ior 勒索软件以弹出窗口的形式显示的赎金通知:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
攻击者以文本文件形式发送的消息:
'You want to return?
write email jasalivan@420blaze.it or ja.salivan@keemail.me'
