Ior Ransomware
隨著勒索軟體攻擊變得更加複雜和更具破壞性,保護您的裝置免受有害威脅變得前所未有的重要。這些攻擊可以加密您的資料、擾亂業務運作並向受害者勒索金錢,而且通常沒有資料恢復保證。最近發現的 Ior 勒索軟體凸顯了現代勒索軟體系列所構成的持續威脅。了解 Ior 勒索軟體的工作原理並執行強有力的安全措施可以顯著降低成為此類攻擊受害者的風險。
目錄
Ior 勒索軟體:Dharma 家族的新威脅
Ior 勒索軟體屬於臭名昭著的Dharma 勒索軟體家族,該家族因針對企業和個人而聞名。一旦 Ior 感染系統,它會快速加密檔案並使用 filename.id-[ID STRING].[攻擊者的電子郵件].ior 格式重命名它們。例如,“document.pdf”將被重新命名為“document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior”,鎖定檔案並使使用者無法存取它。
Ior 勒索軟體留下兩種類型的勒索字條:
- 立即通知受害者攻擊的彈出視窗。
- 名為「manual.txt」的文件,提供有關如何恢復加密資料的詳細說明。
這些勒索字條指示受害者在 12 小時內透過提供的電子郵件地址(jasalivan@420blaze.it 或 ja.salivan@keemail.me)聯繫攻擊者。該說明還提供最多解密三個檔案(小於 3 MB)作為解密是可能的證據。但是,攻擊者警告不要嘗試重命名加密檔案或使用第三方解密工具,如果採取這些操作,可能會導致永久性資料遺失或更高的解密成本。
攻擊方法:Ior 勒索軟體如何感染系統
Ior 勒索軟體具有高度威脅性,不僅因為其檔案加密功能,還因為其禁用安全功能和確保持久性的激進方法。惡意軟體:
- 加密本地和網路共享文件,不僅影響受感染的計算機,還影響任何連接的儲存設備或系統。
- 停用系統防火牆,使設備更容易受到進一步的攻擊。
- 刪除卷影卷副本,這會阻止使用者使用內建 Windows 還原點來復原檔案。
- 將自身複製到 %LOCALAPPDATA% 目錄並使用 Windows 運行鍵註冊,使其能夠在系統重新啟動時自動重新啟動。
此外,Ior 勒索軟體能夠收集位置資料並從加密中排除某些目錄,這表明根據攻擊者的策略進行一定程度的客製化。
感染媒介:Ior 勒索軟體如何傳播
與 Dharma 系列中的許多勒索軟體一樣,Ior 勒索軟體通常透過易受攻擊的遠端桌面協定 (RDP) 服務進行傳播。網路犯罪分子利用薄弱的 RDP 配置,使用暴力或字典攻擊來破解管理不善的憑證。然而,這並不是 Ior 感染系統的唯一方式:
- 電子郵件附件或連結損壞:帶有有害附件或嵌入連結的網路釣魚電子郵件是勒索軟體的常見傳遞方式。
- 利用的軟體漏洞:未修補的系統是勒索軟體的主要目標,因為攻擊者可以利用過時軟體或作業系統中的已知漏洞。
- 盜版軟體:非法下載的軟體通常隱藏惡意軟體,包括勒索軟體,這些軟體會在使用者不知情的情況下執行。
- 受感染的網站:使用者可能會被欺騙透過欺騙性廣告、虛假下載或受感染的網站下載惡意軟體。
- 點對點 (P2P) 網路和第三方下載程式:不安全的檔案很容易透過缺乏安全控制的種子平台或第三方下載管理器傳播。
防禦勒索軟體的最佳安全實踐
為了保護自己免受 Ior 勒索軟體和其他網路威脅的侵害,必須遵循最佳安全實踐。透過積極主動並採取正確的預防措施,您可以顯著降低成為這些攻擊受害者的風險。以下是加強防禦勒索軟體的關鍵步驟:
- 定期備份您的資料:頻繁備份是抵禦勒索軟體的最強防禦措施。確保所有基本文件都備份到與主系統斷開連接的獨立儲存設備或雲端服務。這樣,如果您的資料被加密,您可以恢復它而無需支付贖金。
- 安全遠端存取:如果您使用 RDP 或其他遠端存取服務,請確保它們已安全設定:
如果不使用 RDP,請將其停用。
對具有遠端存取權限的帳戶使用強而獨特的密碼。
啟用多重身份驗證 (MFA) 以提高安全性。
透過防火牆或 VPN 限制對特定 IP 位址的 RDP 存取。
- 保持系統和軟體更新:過時的軟體是勒索軟體攻擊的常見目標。確保您的作業系統、應用程式和反惡意軟體軟體已使用最新的安全性修補程式進行升級。盡可能自動更新,以最大程度地減少漏洞視窗。
- 部署反勒索軟體解決方案:投資信譽良好的反惡意軟體軟體,其中包括反勒索軟體保護。許多現代安全套件可以檢測可疑行為,例如文件加密或未經授權的系統設定更改,並在勒索軟體造成損害之前將其阻止。
- 謹慎對待電子郵件:網路釣魚電子郵件仍然是攻擊者傳播勒索軟體的最有效方法之一。避免點擊未經請求的電子郵件附件或連結。驗證意外電子郵件的合法性,即使它們看起來來自可信來源。
- 使用強而獨特的密碼:弱密碼是勒索軟體攻擊的一個主要漏洞,特別是那些涉及 RDP 暴力破解策略的勒索軟體攻擊。使用強而複雜的密碼並定期更改。考慮使用密碼管理器來儲存和為不同帳戶產生唯一的密碼。
- 停用巨集並限制腳本執行:許多勒索軟體感染都是透過文件中的惡意巨集或利用 PowerShell 等腳本引擎啟動的。預設情況下停用巨集並限制腳本執行以最大限度地降低感染風險。
- 使用防火牆和網路分段:防火牆可以阻止對系統的未經授權的訪問,網路分段可以減少勒索軟體在組織內的傳播。透過隔離關鍵系統並限制網路訪問,您可以遏制攻擊造成的損害。
結論:隨時了解情況並做好準備
Ior 勒索軟體與 Dharma 家族的其他成員一樣,對個人和組織都構成嚴重威脅。它加密資料、禁用安全功能以及透過受損網路傳播的能力使其成為強大的對手。但是,透過採用上述最佳實踐(定期備份、軟體更新、強大的遠端存取控制和強密碼),您可以加強防禦並最大限度地減少勒索軟體攻擊的影響。保持安全的關鍵是主動保持警惕並致力於網路安全最佳實踐。
Ior 勒索軟體以彈出視窗形式顯示的勒索資訊:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
來自攻擊者的消息以文字檔案形式傳遞:
'You want to return?
write email jasalivan@420blaze.it or ja.salivan@keemail.me'
