NailaoLocker Ransomware: didėjanti grėsmė Europos organizacijoms

Kas yra NailaoLocker Ransomware?

NailaoLocker yra išpirkos reikalaujančio tipo programa, parašyta C++ kalba, skirta aukų failams užšifruoti ir reikalauti sumokėti už jų iššifravimą. Ši grėsmė buvo pastebėta Europos organizacijoms, įskaitant sveikatos priežiūros sektoriaus organizacijas. Nors jis nebuvo galutinai susietas su jokia žinoma kibernetinių nusikaltėlių grupuote, jos taktika primena žinomų su Kinija susijusių veikėjų taktiką.

Kai „NailaoLocker“ įsiskverbia į sistemą, ji užšifruoja failus ir prie jų pavadinimų prideda „.locked“ plėtinį. Pavyzdžiui, failas pavadinimu „document.pdf“ po šifravimo būtų rodomas kaip „document.pdf.locked“. Po šio proceso išpirkos reikalaujanti programa sukuria išpirkos raštelį, įspėjantį aukas apie pasekmes, jei nesumokėsite reikalaujamos sumos.

Ko reikalauja NailaoLocker Ransomware

Išpirkos raštelis informuoja aukas, kad jų failai yra užšifruoti ir juos galima atkurti tik sumokėjus išpirką Bitcoin . Nors tiksli suma nenurodyta, pranešime įspėjama, kad jei per savaitę nesilaikysite reikalavimų, paveikti failai bus ištrinti. Užpuolikai teigia, kad atlikus mokėjimą, iššifravimas įvyks per 24 valandas.

Aukoms taip pat nerekomenduojama sugadinti užšifruotų failų. Bandymai perkelti, ištrinti arba iššifruoti juos naudojant trečiųjų šalių programas gali visam laikui prarasti duomenis. Tačiau, nepaisant šių įspėjimų, nėra jokios garantijos, kad užpuolikai pateiks iššifravimo įrankius, net jei išpirka bus sumokėta.

Štai visas išpirkos raštas:

[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

[Contact us on johncollinsy@proton.me]

[Notice:Do not delete or move locked files without unlocking them first.]

[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

„Ransomware“ padermė su silpnu vykdymu

Skirtingai nuo pažangesnių išpirkos reikalaujančių programų, „NailaoLocker“ neturi apsaugos nuo derinimo funkcijų ir neišjungia svarbių sistemos procesų ar paslaugų prieš šifravimą. Ši priežiūra reiškia, kad jei pagrindiniai sistemos failai bus užšifruoti, operacinė sistema gali tapti netinkama naudoti. Be to, nors kai kurios išpirkos reikalaujančios programos vykdo dvigubą turto prievartavimą, vogdamos neskelbtinus duomenis, „NailaoLocker“ išpirkos rašte aiškiai neužsimenama apie duomenų išfiltravimą.

Turėdami didelę patirtį su išpirkos reikalaujančiomis programomis, galime daryti išvadą, kad iššifravimas be užpuolikų bendradarbiavimo paprastai yra neįmanomas. Net ir tais atvejais, kai sumokama išpirka, kibernetiniai nusikaltėliai dažnai nesugeba pateikti pažadėto iššifravimo rakto. Labai nerekomenduojama remti šios neteisėtos veiklos sumokant išpirką.

Tolimesnės „NailaoLocker“ žalos prevencija

Pašalinus „NailaoLocker“ iš užkrėstos sistemos, gali būti išvengta papildomo failų šifravimo, tačiau pažeisti duomenys nebus atkurti. Vienintelis veiksmingas būdas atkurti užšifruotus failus yra atsarginės kopijos, saugomos atskirai nuo užkrėstos sistemos. Tai pabrėžia atsarginių kopijų išsaugojimo keliose vietose, pvz., atjungtuose išoriniuose saugojimo įrenginiuose ir nuotoliniuose serveriuose, svarbą.

„NailaoLocker“ ir kitų „Ransomware“ panašumai

„NailaoLocker“ veikia taip pat, kaip ir kitos „ransomware“ grėsmės, tokios kaip „Vgod“ , „CipherLocker“ , „FXLocker“ , „SafePay“ ir „DeathHunters“ . Visos šios programos užšifruoja failus ir reikalauja sumokėti už jų atkūrimą. Tačiau jie skiriasi dviem pagrindiniais aspektais: naudojami kriptografiniai algoritmai (simetriški arba asimetriniai) ir išpirkos suma, kuri skiriasi priklausomai nuo to, ar taikinys yra individualus vartotojas, ar didelė organizacija.

Nors „NailaoLocker“ yra palyginti nesudėtinga, ji vis tiek kelia didelę grėsmę įmonėms ir institucijoms, kurioms trūksta patikimų kibernetinio saugumo priemonių. Ransomware grupės dažnai pritaiko savo atakas, kad išnaudotų konkrečius pažeidžiamumus savo taikinių tinkluose.

Kaip NailaoLocker įsiskverbia į sistemas

Pastebėtų atakų prieš Europos organizacijas metu „NailaoLocker“ buvo įdiegta išnaudojant „Check Point VPN“ programos pažeidžiamumą, galbūt tą, kuri identifikuojama kaip „CVE-2024-24919“. Grėsmė buvo pristatyta per ShadowPad kenkėjišką programą arba PlugX Remote Access Trojan (RAT). Tačiau ši išpirkos reikalaujanti programa taip pat gali plisti kitais įprastais platinimo būdais.

Kibernetiniai nusikaltėliai dažnai pasikliauja sukčiavimo ir socialinės inžinerijos taktika, kad platintų išpirkos reikalaujančias programas. Kenkėjiška programinė įranga dažnai užmaskuojama kaip iš pažiūros nekenksmingi failai arba kartu su jais. Atidarius šiuos failus, jie pradeda kenkėjiškos programos atsisiuntimą ir vykdymą.

Įprasti Ransomware platinimo metodai

Išpirkos reikalaujančios programos, tokios kaip NailaoLocker, dažniausiai platinamos įvairiomis priemonėmis, įskaitant:

• Greitai atsisiuntimai iš pažeistų ar kenkėjiškų svetainių
• Įkroviklio / užpakalinių durų tipo grėsmės
• Abejotini atsisiuntimo šaltiniai, pvz., trečiųjų šalių failų prieglobos platformos ir „Peer-to-Peer“ bendrinimo tinklai
• Internetinės aferos, skirtos apgaule apgauti vartotojus paleisti kenkėjiškus failus
• Kenksmingos reklamos kampanijos, kurios į teisėtas svetaines įveda žalingus skelbimus
• Pašto el. laiškai ir momentiniai pranešimai su užkrėstais priedais ar nuorodomis
• Netikros programinės įrangos atnaujinimai ir neteisėti aktyvinimo įrankiai („įtrūkimai“)
• Savarankiškas platinimas per vietinius tinklus ir išimamus saugojimo įrenginius

Ši taktika leidžia išpirkos reikalaujančioms programoms greitai plisti ir užkrėsti kelias organizacijos sistemas, o tai sustiprina jos poveikį.

Geriausia praktika, kaip išvengti Ransomware infekcijų

Norėdami sumažinti išpirkos reikalaujančių programų užkrėtimo riziką, vartotojai ir organizacijos turėtų imtis šių saugumo priemonių:

• Atsisiųskite programinę įrangą tik iš oficialių ir patikimų svetainių
• Reguliariai atnaujinkite programas naudodami teisėtas naujinimo funkcijas
• Būkite atsargūs atidarydami el. laiškus iš nežinomų siuntėjų, ypač tuos, kuriuose yra priedų ar nuorodų
• Naudokite stiprias tinklo saugos priemones, įskaitant ugniasienes ir įsilaužimo aptikimo sistemas
• Tvarkykite svarbių duomenų atsargines kopijas neprisijungus ir debesyje
• Išmokykite darbuotojus atpažinti sukčiavimą ir kitas socialinės inžinerijos atakas

Taikydami šią praktiką asmenys ir įmonės galėtų žymiai sumažinti „NailaoLocker“ atakos ar panašių grėsmių tikimybę.

Apatinė eilutė

NailaoLocker išpirkos reikalaujanti programinė įranga, nors ir ne pati sudėtingiausia atmaina, kelia realią riziką organizacijoms, ypač Europoje. Dėl standartinės šifravimo taktikos ir išpirkos reikalavimų jis suderinamas su kitomis išpirkos reikalaujančiomis programomis, tačiau pažangių vengimo metodų trūkumas gali apriboti bendrą jos efektyvumą.

Kaip ir visų išpirkos reikalaujančių programų atveju, prevencija yra geriausia apsauga. Vartotojai turėtų išlikti budrūs, laikytis geriausios saugos praktikos ir užtikrinti, kad svarbių duomenų atsarginės kopijos būtų kuriamos saugiose vietose. Kadangi išpirkos sumokėjimas negarantuoja duomenų atkūrimo, pirmiausia svarbu išvengti infekcijos.