勒索軟體攻擊已成為最具破壞性的網路威脅之一,對個人和組織造成了重大的財務和營運損失。這些破壞性程式會加密文件,使其無法訪問,並要求付費才能解密。網路犯罪分子常常透過竊取敏感資料並利用其進行勒索來加劇威脅。鑑於天瑞等勒索軟體日益複雜化,採取主動措施保護您的裝置和資料至關重要。
天瑞勒索病毒:一種新型威脅性變種
Tianrui 勒索軟體是一種新發現的惡意軟體,與其他已知勒索軟體家族(如Hush 、 MoneyIsTime和Boramae)有相似之處。與其他惡意軟體一樣,天瑞惡意軟體旨在加密受害者的文件,然後要求支付贖金才能解密。
天瑞的營運方式
一旦感染設備,Tianrui 就會將唯一的 ID 和「.tianrui」副檔名附加到加密檔案中。例如,名為“1.png”的檔案將被重新命名為類似名稱:
'1.png.{9D2E69B0-DE01-B101-914B-5F2CBAAA094E}.天瑞'
加密後,勒索軟體會在名為「README.TXT」的文字檔案中產生勒索信。該文件包含受害者如何重新獲得其資料存取權的說明——通常是透過支付贖金。
勒索信和敲詐手段
贖金通知警告受害者他們的文件已被鎖定,並威脅說如果不支付贖金,資料就會洩露。受害者被要求在 12 小時內聯繫攻擊者,以獲得 50% 的贖金折扣。然而,專家警告不要付款,因為不能保證攻擊者會提供可用的解密金鑰。
此外,天瑞的營運商警告不要進行第三方恢復嘗試,聲稱外部幹擾可能導致解密無法進行。這種恐嚇策略旨在迫使受害者滿足他們的要求。
為什麼支付贖金是個壞主意
- 無法保證檔案恢復:即使支付了贖金,也無法確定受害者是否會收到可以正常運作的解密工具。許多勒索軟體團體在收錢款時卻不提供解密金鑰。
- 鼓勵犯罪活動:支付贖金資助犯罪活動,使網路犯罪者能夠繼續攻擊。這也表明未來的受害者可能願意付費,從而導致更有針對性的勒索軟體活動。
- 雙重勒索的可能性:許多勒索軟體業者進行雙重勒索,要求支付解密費用並威脅洩漏被盜資料。即使付款後,受害者仍可能遭受資料外洩或再次遭受勒索。
天瑞如何傳播
網路犯罪分子使用各種策略來傳播勒索軟體,包括:
- 網路釣魚電子郵件:詐騙電子郵件附件或連結誘騙使用者下載勒索軟體。
- 特洛伊木馬軟體:假冒或破解的軟體可能包含隱藏的惡意軟體。
- 驅動程式下載:造訪受感染的網站可能會觸發隱密的勒索軟體下載。
- 可移動儲存裝置: USB 隨身碟和外接硬碟可在系統之間傳播惡意軟體。
- 虛假更新和詐騙網站:詐騙瀏覽器彈出視窗和更新提示以安全修復的名義安裝惡意軟體。
防範天瑞和其他勒索軟體的最佳安全實踐
- 定期備份您的資料:使用不連接到您的主系統的離線備份。將備份儲存在外部磁碟機或雲端儲存服務上,並啟用版本歷史記錄。定期檢查您的備份以確保其正常運作。
- 啟用強大的端點保護:安裝可以偵測和阻止威脅的可靠的反勒索軟體。保持所有安全軟體更新以防禦新出現的威脅。
- 警惕網路釣魚電子郵件:切勿存取來自未知或可疑寄件者的附件或連結。檢查語法錯誤、緊急請求和不尋常的電子郵件地址等危險信號。使用電子郵件過濾工具來阻止不安全的電子郵件。
- 保持您的軟體和系統更新:定期為您的作業系統和應用程式套用安全解決方案。啟用自動更新以最大限度地減少漏洞的暴露。
- 停用文件中的巨集:網路犯罪分子經常使用 Microsoft Office 和 OneNote 文件中的惡意巨集來傳播勒索軟體。配置 Office 應用程式以預設為停用巨集。
- 避免下載破解軟體:盜版程式通常包含隱藏的惡意軟體。僅從官方或經過驗證的來源下載軟體。
- 使用強身份驗證方法:為防止未經授權的訪問,請盡可能啟用多因素身份驗證 (MFA)。使用專用的、複雜的密碼和密碼管理器。
- 限制使用者權限:限制管理權限以減少潛在勒索軟體感染的影響。分割網路以防止惡意軟體傳播到整個組織。
- 監控網路流量:使用入侵偵測和預防系統 (IDS/IPS) 偵測可疑活動。定期檢查網路日誌是否有異常。
- 教育員工和使用者:進行網路安全意識培訓,幫助使用者識別勒索軟體威脅。模擬網路釣魚攻擊來測試並提高安全意識。
天瑞勒索軟體代表著嚴重且日益嚴重的網路安全威脅。雖然保護資料的最佳方法是防止感染,但擁有強大的備份策略和適當的安全措施可以降低重大損害的風險。組織和個人必須保持警惕,遵循網路安全最佳實踐,並了解不斷演變的威脅,以領先網路犯罪分子。
訊息
找到以下與Tianrui Ransomware相關的消息:
I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work. 2. Its only takes for us at list 20 minutes after payment to completely decrypt you, to its original state, it's very simple for us! 3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit! 4.They also contact the police. Again, only you suffer from this treatment! 5. We have developed a scheme for your secure decryption without any problems, unlike the above companies, who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!
6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!
We will also publicize this attack using social networks and other media, which will significantly affect your reputation!
7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!
8. Do not under any circumstances try to decrypt the files yourself; you will simply break them! YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!
9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !
10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!!
Contacts :
Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"
MAIL:tianrui@mailum.com |