„ARROW“ išpirkos reikalaujanti programa turi pažįstamą pranešimą
Table of Contents
Kas yra ARROW išpirkos reikalaujanti programa?
Neseniai buvo identifikuota dar viena nuolat besiplečiančio skaitmeninių grėsmių kraštovaizdžio papildymo priemonė – išpirkos reikalaujanti programa „ARROW“. Ši kenkėjiška programa sukurta taip, kad užšifruotų aukos failus ir pareikalautų mokėjimo, kad juos atrakintų – tai jau įprasta praktika išpirkos reikalaujančių programų operacijose.
Kai ARROW infiltruojasi į sistemą, ji taikosi į asmeninius ir organizacinius duomenis, užšifruoja failus ir prideda jiems išskirtinį plėtinį „.ARROW“. Pavyzdžiui, failas, kurio pavadinimas iš pradžių buvo „photo.jpg“, buvo pakeistas į „photo.jpg.ARROW“. Šis vizualinis žymeklis tarnauja ir kaip užkrato signalas, ir kaip svertas: užpuolikai nori, kad aukos tiksliai žinotų, kas buvo paimta įkaitais.
Išpirkos pastaba: GOTYA.txt
Kai ARROW baigia užšifruoti sistemos duomenis, ji palieka išpirkos raštelį tekstinio failo pavadinimu „GOTYA.txt“ pavidalu. Šiame faile aukai paaiškinama, kad jos failai buvo užšifruoti, ir nurodoma susisiekti per „Tor“ pagrindu veikiančią svetainę, kad susitartų dėl mokėjimo mainais už iššifravimą.
Šis metodas atitinka šiuolaikinių išpirkos reikalaujančių programų grėsmių modelį. Aukos paprastai gauna neaiškius terminus ir joms grasinama prarasti duomenis visam laikui arba paviešinti jų informaciją. Tačiau net jei išpirka sumokėta, nėra jokios garantijos, kad nusikaltėliai pateiks veikiantį iššifravimo raktą. Daugelis aukų po sumokėjimo lieka tuščiomis rankomis, todėl tai labai rizikingas ir moraliai abejotinas žingsnis.
Štai kas rašoma išpirkos raštelyje:
Oops. All the files on your computer have been encrypted with a military grade encryption algorithm. The only way to restore your data is with a special key that is hosted on our private server. To purchase your key and restore your data. please visit the darknet site
that is listed below.
Download the TOR browser and visit this site:
-Your ID: -
Kaip veikia išpirkos reikalaujanti programa
Išpirkos reikalaujanti programa (angl. ransomware) apskritai yra kenkėjiška programa, kuri užrakina arba užšifruoja duomenis, todėl jie tampa neprieinami, kol nesumokama išpirka – dažniausiai kriptovaliuta. Šios programos paprastai naudoja stiprius kriptografinius algoritmus, o priklausomai nuo išpirkos reikalaujančios programos, šifravimo tipas gali skirtis. Kai kurios naudoja simetrinį šifravimą (vienas raktas šifravimui ir iššifravimui), o kitos – asimetrinius metodus (vienas viešasis raktas šifravimui ir privatusis iššifravimui).
Išpirkos sumos taip pat labai skiriasi. Namų vartotojų gali būti paprašyta sumokėti šimtus dolerių, o įmonėms, ligoninėms ar vyriausybinėms organizacijoms gali būti reikalaujama milijoninių išpirkų. „ARROW“ kūrėjai nenurodė standartinės išpirkos sumos, nes ji greičiausiai priklauso nuo suvokiamos aukos duomenų vertės.
Infekcijos būdai: daugiau nei vienas paspaudimas
Dažniausias ARROW ir kitų išpirkos reikalaujančių virusų atmainų siuntimo būdas yra sukčiavimas – apgaulingi el. laiškai arba žinutės, skirtos apgauti vartotojus, kad jie atidarytų kenkėjišką priedą arba spustelėtų pavojingą nuorodą. Šie el. laiškai dažnai atrodo teisėti, kartais apsimetinėja bankais, programinės įrangos įmonėmis ar net kolegomis.
Kai auka sąveikauja su užkrėstu failu – nesvarbu, ar tai būtų vykdomasis failas, archyvas, ar dokumentas – ARROW yra tyliai įdiegiama ir pradeda šifravimo procesą. Be sukčiavimo apsimetant, išpirkos reikalaujanti programa taip pat gali būti platinama per netikrus programinės įrangos atnaujinimus, piratines programas ir kenkėjiškas svetaines. Kai kurios versijos gali plisti vietiniuose tinkluose arba patekti į USB diskus, užkrėsdamos kitus kompiuterius.
Po užpuolimo: pašalinimas ir atsigavimas
Pašalinti ARROW iš sistemos tikrai įmanoma naudojant antivirusines arba kenkėjiškų programų šalinimo priemones, tačiau jos padarytą žalą – užšifruotus failus – ne taip lengva atstatyti. Iššifruoti be tinkamo rakto paprastai neįmanoma, nebent išpirkos reikalaujanti programa turi kodavimo klaidų arba teisėsaugos institucijoms pavyko nulaužti šifravimo algoritmą, o tai pasitaiko retai.
Aukos geriausiai atsigauna, jei turi išsamias ir saugias atsargines kopijas. Idealiu atveju atsarginės kopijos turėtų būti saugomos keliose neprisijungus ir ne kompiuteryje esančiose vietose, kad jos nebūtų šifruojamos kartu su pagrindine sistema.
Platesnis vaizdas: išpirkos reikalaujanti programinė įranga kontekste
„ARROW“ nėra vienintelė išpirkos reikalaujančių programų šeima, tokia kaip „APEX“, „PANDA“ , „TXTME“ ir „NightSpire“ , rodo, kokia įvairi ir nuolatinė tapo ši grėsmė. Jas visas vienija jų metodas: duomenų šifravimas, pinigų reikalavimas ir baimės bei skubos jausmo išnaudojimas.
Deja, išpirkų mokėjimas ne tik nesuteikia jokių garantijų, bet ir įtvirtina nusikalstamą ekonomiką. Kiekviena išmoka finansuoja būsimą plėtrą, todėl kita išpirkos reikalaujančių virusų banga tampa dar veiksmingesnė. Saugumo ekspertai ir toliau rekomenduoja atsisakyti mokėjimo ir verčiau sutelkti dėmesį į prevenciją ir atkūrimą.
Prevencija: optimali praktika kovojant su išpirkos reikalaujančia programine įranga
Siekdamos apsisaugoti nuo ARROW ir panašių grėsmių, organizacijos ir asmenys turi imtis aktyvių saugumo priemonių. Tai apima:
- Reguliariai atnaujinkite programinę įrangą ir operacines sistemas.
- Naudojant patikimas antivirusines ir kenkėjiškų programų prevencijos priemones.
- Venkite įtartinų el. laiškų priedų ir nuorodų.
- Naudojant stiprius, unikalius slaptažodžius ir dviejų veiksnių autentifikavimą.
- Dažnas duomenų atsarginių kopijų kūrimas ir saugus atsarginių kopijų saugojimas neprisijungus.
Baigiamosios mintys
Išpirkos reikalaujanti programa „ARROW“ yra dar vienas ryškus skaitmeninio amžiaus pažeidžiamumų pavyzdys. Nors ji nesiūlo nieko radikaliai naujo, jos atsiradimas pabrėžia kibernetinio saugumo sąmoningumo svarbą. Nesvarbu, ar esate individualus vartotojas, ar įmonės IT vadovas, išpirkos reikalaujančios programinės įrangos veikimo supratimas yra pirmas žingsnis siekiant apsaugoti vertingus duomenis ir sumažinti šių kenkėjiškų atakų poveikį.
