Το PayForRepair Ransomware δίνει μια τιμή στα αρχεία σας
Table of Contents
Μια άλλη απειλή για τη σκηνή του κυβερνοχώρου
Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα άλλο είδος ransomware που περνάει μέσα από μολυσμένα συστήματα: το PayForRepair . Αυτό το κακόβουλο πρόγραμμα ανήκει στη γνωστή οικογένεια ransomware Dharma και ακολουθεί ένα οικείο αλλά επικίνδυνο μοτίβο—κρυπτογράφηση αρχείων και απαίτηση λύτρων με αντάλλαγμα την αποκρυπτογράφηση.
Το PayForRepair έχει σχεδιαστεί για να κλειδώνει τα θύματα από τα δεδομένα τους, ενώ εφαρμόζει μια μοναδικά αναγνωρίσιμη ετικέτα σε κάθε κρυπτογραφημένο αρχείο. Τα μολυσμένα αρχεία μετονομάζονται ώστε να περιλαμβάνουν ένα αναγνωριστικό για το θύμα, τη διεύθυνση email των εισβολέων και την επέκταση ".P4R". Τα θύματα λαμβάνουν επίσης σημειώσεις λύτρων τόσο ως αναδυόμενα παράθυρα όσο και ως αρχείο κειμένου με το όνομα info.txt , το οποίο απορρίπτεται σε κάθε φάκελο που επηρεάζεται.
Δείτε τι λέει το σημείωμα για τα λύτρα:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Τι θέλει το PayForRepair
Το ransomware όπως το PayForRepair δημιουργείται για να κάνει τα προσωπικά και επιχειρηματικά δεδομένα απρόσιτα κρυπτογραφώντας τα χρησιμοποιώντας ισχυρούς αλγόριθμους. Αφού κρυπτογραφηθούν, τα αρχεία δεν μπορούν να ανοίξουν ή να χρησιμοποιηθούν εκτός εάν παρέχεται ένα μοναδικό κλειδί αποκρυπτογράφησης — κάτι που έχει μόνο ο εισβολέας. Το σημείωμα λύτρων του PayForRepair καθοδηγεί τα θύματα να στείλουν email στους εισβολείς για να διαπραγματευτούν για ανάκτηση δεδομένων. Το αναδυόμενο παράθυρο διευκρινίζει περαιτέρω την κατάσταση, δηλώνοντας ότι η αποκρυπτογράφηση θα παρέχεται μόνο αφού γίνει η πληρωμή σε Bitcoin .
Οι εισβολείς προσφέρουν ένα δείγμα «καλής πίστης» επιτρέποντας στο θύμα να αποκρυπτογραφήσει έως και τρία αρχεία δωρεάν, υπό την προϋπόθεση ότι αυτά τα αρχεία πληρούν ορισμένα κριτήρια. Αυτή η τακτική χρησιμοποιείται συνήθως για να χτίσει εμπιστοσύνη και να πιέσει το θύμα να πληρώσει. Ωστόσο, προειδοποιούν επίσης τα θύματα να μην χρησιμοποιούν εργαλεία ανάκτησης τρίτων, υποστηρίζοντας ότι θα μπορούσε να καταστρέψει μόνιμα τα κρυπτογραφημένα αρχεία - μια τακτική φόβου χαρακτηριστική των καμπανιών ransomware.
Γιατί οι επιθέσεις που βασίζονται στο Ντάρμα είναι δύσκολο να νικηθούν
Ως μέλος της οικογένειας ransomware Dharma, το PayForRepair μοιράζεται πολλά χαρακτηριστικά με τους ομολόγους του. Ενώ εξοικονομεί κρίσιμα αρχεία συστήματος - που σημαίνει ότι τα θύματα μπορούν να χειριστούν τις συσκευές τους - στοχεύει αδιακρίτως τοπικά αρχεία και αρχεία κοινής χρήσης δικτύου. Το ransomware ενισχύει το ποσοστό επιτυχίας του τερματίζοντας διαδικασίες που σχετίζονται με ανοιχτά αρχεία, όπως αυτά που χρησιμοποιούνται από βάσεις δεδομένων ή εφαρμογές παραγωγικότητας, διασφαλίζοντας ότι αυτά τα αρχεία μπορούν επίσης να κλειδωθούν.
Για τον έλεγχο των μολυσμένων συστημάτων, κακόβουλο λογισμικό που βασίζεται στο Ντάρμα συχνά ενσωματώνεται σε συγκεκριμένες τοποθεσίες του μηχανήματος, όπως ο κατάλογος %LOCALAPPDATA% και ρυθμίζεται να εκκινεί κάθε φορά που γίνεται επανεκκίνηση του υπολογιστή. Διαγράφει επίσης τυχόν σκιώδη αντίγραφα τόμου —μια ενσωματωμένη δυνατότητα δημιουργίας αντιγράφων ασφαλείας των Windows— ώστε τα θύματα να μην μπορούν απλώς να επαναφέρουν τα συστήματά τους σε προηγούμενη κατάσταση.
Η σκληρή πραγματικότητα: Η πληρωμή μπορεί να μην βοηθήσει
Δυστυχώς, οι πιθανότητες στοιβάζονται έναντι των θυμάτων όταν το PayForRepair έχει κλειδώσει τα αρχεία τους. Οι μέθοδοι κρυπτογράφησης που χρησιμοποιούνται είναι γενικά ισχυρές και χωρίς το κλειδί αποκρυπτογράφησης των εισβολέων, η ανάκτηση είναι σχεδόν αδύνατη. Ακόμα κι αν τα θύματα πληρώσουν τα λύτρα, δεν υπάρχει καμία εγγύηση ότι τα εργαλεία αποκρυπτογράφησης θα παρέχονται στην πραγματικότητα. Σε πολλές περιπτώσεις, οι εγκληματίες του κυβερνοχώρου απλώς παίρνουν την πληρωμή και εξαφανίζονται.
Γι' αυτό οι ειδικοί στον τομέα της κυβερνοασφάλειας αποθαρρύνουν σθεναρά την καταβολή λύτρων. Κάτι τέτοιο όχι μόνο χρηματοδοτεί εγκληματικές επιχειρήσεις, αλλά τροφοδοτεί επίσης την ανάπτυξη μοντέλων ransomware ως υπηρεσίας (RaaS), όπου κιτ κακόβουλου λογισμικού πωλούνται ή ενοικιάζονται σε άλλους κακούς παράγοντες για εκτεταμένες επιθέσεις.
Πώς εξαπλώνεται το PayForRepair
Η πιο κοινή μέθοδος μόλυνσης για παραλλαγές ransomware Dharma, συμπεριλαμβανομένου του PayForRepair, είναι μέσω αδύναμων υπηρεσιών Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP). Οι εισβολείς χρησιμοποιούν τεχνικές ωμής βίας για να μαντέψουν τους κωδικούς πρόσβασης και να αποκτήσουν πρόσβαση σε συστήματα με κακή ασφάλεια σύνδεσης. Μόλις μπουν μέσα, μπορούν εύκολα να αναπτύξουν ransomware και να απενεργοποιήσουν άμυνες όπως τείχη προστασίας.
Ωστόσο, το RDP δεν είναι ο μόνος φορέας. Άλλες συνήθεις μέθοδοι περιλαμβάνουν μηνύματα ηλεκτρονικού ψαρέματος (phishing), συνημμένα κακόβουλων αρχείων, πλαστές ενημερώσεις λογισμικού και λήψεις από μη επαληθευμένες πηγές. Συχνά, το ransomware μεταμφιέζεται ως ένα αβλαβές έγγραφο ή αρχείο εγκατάστασης. Όταν ανοίγει, εγκαθίσταται σιωπηλά και αρχίζει να κρυπτογραφεί αρχεία.
Σε ορισμένες περιπτώσεις, το ransomware μπορεί να εξαπλωθεί πλευρικά σε δίκτυα ή ακόμη και να μολύνει αφαιρούμενα μέσα όπως μονάδες USB. Αυτό υπογραμμίζει την ανάγκη για πολυεπίπεδες άμυνες που υπερβαίνουν απλώς το λογισμικό προστασίας από ιούς.
Βέλτιστες πρακτικές για την πρόληψη και την αποκατάσταση
Επειδή η κατάργηση ransomware όπως το PayForRepair δεν θα αποκρυπτογραφήσει τα αρχεία σας, η πρόληψη είναι η καλύτερη γραμμή άμυνας. Ένα από τα πιο κρίσιμα βήματα είναι η διατήρηση τακτικών, εκτός σύνδεσης αντιγράφων ασφαλείας που αποθηκεύονται σε ασφαλείς και ξεχωριστές τοποθεσίες — ιδανικά τόσο σε φυσικό περιβάλλον όσο και σε περιβάλλον cloud. Αυτό διασφαλίζει ότι ακόμη και αν δεχτείτε επίθεση, τα δεδομένα μπορούν να αποκατασταθούν χωρίς να πληρώσετε λύτρα.
Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί όταν περιηγούνται στο διαδίκτυο ή ανοίγουν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Τα συνημμένα και οι σύνδεσμοι από άγνωστες πηγές θα πρέπει πάντα να αντιμετωπίζονται με καχυποψία. Επιπλέον, οι οργανισμοί θα πρέπει να απενεργοποιούν την αχρησιμοποίητη πρόσβαση RDP, να επιβάλλουν ισχυρές πολιτικές κωδικών πρόσβασης και να ενημερώνουν τακτικά το λογισμικό για να επιδιορθώνουν γνωστά τρωτά σημεία.
Εξελισσόμενο τοπίο Ransomware
Το PayForRepair εντάσσεται σε μια αυξανόμενη λίστα με στελέχη ransomware, συμπεριλαμβανομένων άλλων όπως το Jackalock , το DarkMystic και το VerdaCrypt . Καθεμία λειτουργεί με ελαφρώς διαφορετικές μεθόδους και στόχους, αλλά όλοι έχουν έναν κοινό σκοπό: κλείδωμα δεδομένων και εκβίαση πληρωμών. Μερικοί απαιτούν μερικές εκατοντάδες δολάρια. άλλοι, εκατομμύρια—ανάλογα με τον στόχο.
Καθώς οι απειλές συνεχίζουν να εξελίσσονται, το ίδιο πρέπει και η κατανόησή μας για το πώς λειτουργούν και πώς να αμυνθούμε εναντίον τους. Ενώ το PayForRepair είναι μόνο ένα όνομα σε ένα πολυσύχναστο πεδίο ransomware, οι μέθοδοί του είναι μια σαφής υπενθύμιση του πώς ακόμη και η περιήγηση ρουτίνας ή ο έλεγχος email μπορεί να ανοίξει την πόρτα σε σημαντική αναστάτωση—εκτός εάν υπάρχουν οι κατάλληλες διασφαλίσεις.
