PayForRepair Ransomware slår et prisskilt på dine filer
Table of Contents
Endnu en trussel på cyberscenen
Cybersikkerhedsforskere har afsløret en anden stamme af ransomware, der trænger sig igennem inficerede systemer: PayForRepair . Dette ondsindede program tilhører den velkendte Dharma ransomware-familie og følger et velkendt, men farligt mønster - krypterer filer og kræver løsesum i bytte for dekryptering.
PayForRepair er designet til at låse ofre ude af deres data, mens der påføres et unikt identificerbart tag til hver krypteret fil. Inficerede filer omdøbes til at omfatte et offer-specifikt ID, angriberens e-mailadresse og udvidelsen ".P4R". Ofre modtager også løsesumsedler både som pop-up-vinduer og som en tekstfil ved navn info.txt , som lægges ned i hver berørt mappe.
Her er hvad løsesumsedlen siger:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Hvad PayForRepair ønsker
Ransomware som PayForRepair er skabt for at gøre personlige og forretningsdata utilgængelige ved at kryptere dem ved hjælp af stærke algoritmer. Når filerne først er krypteret, kan de ikke åbnes eller bruges, medmindre der er angivet en unik dekrypteringsnøgle - noget kun angriberen har. PayForRepairs løsesumseddel instruerer ofrene til at e-maile angriberne for at forhandle om datagendannelse. Pop-op-vinduet tydeliggør yderligere situationen og angiver, at dekryptering kun vil blive leveret efter betaling er foretaget i Bitcoin .
Angriberne giver et tegn på "god tro" ved at tillade offeret at dekryptere op til tre filer gratis, forudsat at disse filer opfylder visse kriterier. Denne taktik bruges almindeligvis til at opbygge tillid og presse offeret til at betale. Men de advarer også ofre mod at bruge tredjepartsgendannelsesværktøjer, idet de hævder, at det permanent kan ødelægge de krypterede filer - en frygttaktik, der er typisk for ransomware-kampagner.
Hvorfor Dharma-baserede angreb er svære at slå
Som medlem af Dharma ransomware-familien deler PayForRepair flere træk med sine modparter. Mens den skåner kritiske systemfiler - hvilket betyder, at ofre stadig kan betjene deres enheder - målretter den vilkårligt lokale og netværksdelte filer. Ransomwaren øger dens succesrate ved at afslutte processer relateret til åbne filer, såsom dem, der bruges af databaser eller produktivitetsapps, hvilket sikrer, at disse filer også kan låses.
For at kontrollere inficerede systemer indlejrer Dharma-baseret malware sig ofte på bestemte steder på maskinen, såsom mappen %LOCALAPPDATA% , og indstiller sig selv til at starte hver gang computeren genstartes. Den sletter også alle Volume Shadow Copies -en indbygget Windows-sikkerhedskopifunktion - så ofre kan ikke bare rulle deres systemer tilbage til en tidligere tilstand.
Den barske virkelighed: At betale hjælper måske ikke
Desværre stables oddsene mod ofre, når PayForRepair har låst deres filer. De anvendte krypteringsmetoder er generelt robuste, og uden angribernes dekrypteringsnøgle er gendannelse næsten umulig. Selvom ofrene betaler løsesummen, er der ingen garanti for, at dekrypteringsværktøjerne rent faktisk bliver leveret. I mange tilfælde tager cyberkriminelle blot betalingen og forsvinder.
Det er derfor, cybersikkerhedseksperter på det kraftigste fraråder at betale enhver løsesum. Dette finansierer ikke kun kriminelle operationer, men fremmer også væksten af ransomware as a service-modeller (RaaS), hvor malware-sæt sælges eller udlejes til andre dårlige aktører til udbredte angreb.
Hvordan PayForRepair spredes
Den mest almindelige metode til infektion for Dharma ransomware-varianter, inklusive PayForRepair, er gennem svage Remote Desktop Protocol (RDP)-tjenester. Angribere bruger brute-force-teknikker til at gætte adgangskoder og få adgang til systemer med dårlig login-sikkerhed. Når de først er inde, kan de nemt implementere ransomware og deaktivere forsvar såsom firewalls.
RDP er dog ikke den eneste vektor. Andre almindelige metoder omfatter phishing-e-mails, ondsindede vedhæftede filer, falske softwareopdateringer og downloads fra ubekræftede kilder. Ofte er ransomware forklædt som et harmløst udseende dokument eller installationsfil. Når den åbnes, installerer den sig selv lydløst og begynder at kryptere filer.
I nogle tilfælde kan ransomware spredes sideværts på tværs af netværk eller endda inficere flytbare medier som USB-drev. Dette fremhæver behovet for flerlagsforsvar, der rækker ud over blot antivirussoftware.
Optimal praksis for forebyggelse og genopretning
Fordi fjernelse af ransomware som PayForRepair ikke vil dekryptere dine filer, er forebyggelse den bedste forsvarslinje. Et af de mest kritiske trin er at vedligeholde regelmæssige, offline sikkerhedskopier, der er gemt på sikre og separate steder - ideelt set i både fysiske og skymiljøer. Dette sikrer, at selvom du bliver angrebet, kan data gendannes uden at betale løsesum.
Brugere bør også være forsigtige, når de surfer online eller åbner uopfordrede e-mails. Vedhæftede filer og links fra ukendte kilder skal altid behandles med mistænksomhed. Derudover bør organisationer deaktivere ubrugt RDP-adgang, håndhæve stærke adgangskodepolitikker og regelmæssigt opdatere software for at rette kendte sårbarheder.
Udviklende Ransomware-landskab
PayForRepair slutter sig til en voksende liste af ransomware-stammer, inklusive andre som Jackalock , DarkMystic og VerdaCrypt . Hver opererer med lidt forskellige metoder og mål, men har alle et fælles formål: låsning af data og afpresning af betaling. Nogle kræver et par hundrede dollars; andre, millioner – afhængigt af målet.
Efterhånden som trusler fortsætter med at udvikle sig, så må vores forståelse af, hvordan de fungerer, og hvordan man forsvarer sig mod dem. Selvom PayForRepair kun er ét navn i et overfyldt ransomware-felt, er dets metoder en klar påmindelse om, hvordan selv rutinemæssig browsing eller e-mail-tjek kan åbne døren til betydelige forstyrrelser - medmindre de rigtige sikkerhedsforanstaltninger er på plads.
