„PayForRepair“ Ransomware užklijuoja jūsų failų kainą
Table of Contents
Dar viena grėsmė kibernetinėje scenoje
Kibernetinio saugumo tyrėjai atskleidė dar vieną išpirkos reikalaujančių programų atmainą, prasiskverbiantį per užkrėstas sistemas: PayForRepair . Ši kenkėjiška programa priklauso gerai žinomai Dharma ransomware šeimai ir vadovaujasi pažįstamu, tačiau pavojingu modeliu – šifruoja failus ir reikalauja išpirkos mainais už iššifravimą.
„PayForRepair“ sukurta taip, kad aukoms nebūtų prieinami jų duomenys, kiekvienam užšifruotam failui pritaikant unikaliai identifikuojamą žymą. Užkrėsti failai pervadinami, kad būtų įtrauktas konkrečios aukos ID, užpuoliko el. pašto adresas ir plėtinys „.P4R“. Aukos taip pat gauna išpirkos raštelius ir kaip iššokančius langus, ir kaip tekstinį failą, pavadintą info.txt , kuris įdedamas į kiekvieną paveiktą aplanką.
Štai kas sakoma išpirkos raštelyje:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ko nori PayForRepair
Išpirkos reikalaujančios programos, tokios kaip PayForRepair, sukurtos tam, kad asmeniniai ir verslo duomenys būtų neprieinami, užšifruojant juos naudojant stiprius algoritmus. Užšifruoti failai negali būti atidaryti arba naudojami, nebent pateikiamas unikalus iššifravimo raktas, kurį turi tik užpuolikas. „PayForRepair“ išpirkos laiškas nurodo aukoms el. paštu siųsti užpuolikams, kad jie derėtųsi dėl duomenų atkūrimo. Iššokantis langas dar labiau paaiškina situaciją, nurodydamas, kad iššifravimas bus atliktas tik atlikus mokėjimą Bitcoin .
Užpuolikai siūlo „sąžiningumo“ ženklą, leisdami aukai nemokamai iššifruoti iki trijų failų, jei tie failai atitinka tam tikrus kriterijus. Ši taktika dažniausiai naudojama siekiant sukurti pasitikėjimą ir priversti auką susimokėti. Tačiau jie taip pat įspėja aukas nesinaudoti trečiųjų šalių atkūrimo įrankiais, teigdami, kad tai gali visam laikui sugadinti užšifruotus failus – tai baimės taktika, būdinga išpirkos reikalaujančių programų kampanijoms.
Kodėl dharma pagrįstus išpuolius sunku įveikti
Būdama Dharma ransomware šeimos narys, PayForRepair turi keletą bruožų su savo kolegomis. Nors jis taupo svarbius sistemos failus, o tai reiškia, kad aukos vis tiek gali valdyti savo įrenginius, jis be atrankos nukreipia vietinius ir tinkle bendrinamus failus. Išpirkos reikalaujanti programa padidina jos sėkmės rodiklį, nutraukdama procesus, susijusius su atidarytais failais, pvz., naudojamais duomenų bazėse arba produktyvumo programose, užtikrinant, kad šie failai taip pat būtų užrakinti.
Siekdama kontroliuoti užkrėstas sistemas, Dharma pagrįstos kenkėjiškos programos dažnai įterpiamos į tam tikras įrenginio vietas, pvz. , %LOCALAPPDATA% katalogą, ir paleidžiamos kiekvieną kartą, kai kompiuteris paleidžiamas iš naujo. Ji taip pat ištrina visas „Volume Shadow Copies“ (įtaisytąją „Windows“ atsarginės kopijos funkciją), kad aukos negalėtų tiesiog grąžinti savo sistemų į ankstesnę būseną.
Atšiauri tikrovė: mokėjimas gali nepadėti
Deja, tikimybė, kad „PayForRepair“ užrakintų jų failus, aukų atžvilgiu yra labai didelė. Naudojami šifravimo metodai paprastai yra patikimi, o be užpuolikų iššifravimo rakto atkurti beveik neįmanoma. Net jei aukos sumokės išpirką, nėra jokios garantijos, kad iššifravimo įrankiai tikrai bus pateikti. Daugeliu atvejų kibernetiniai nusikaltėliai tiesiog sumoka ir dingsta.
Štai kodėl kibernetinio saugumo ekspertai labai neskatina mokėti bet kokios išpirkos. Taip ne tik finansuojamos nusikalstamos operacijos, bet ir skatinamas ransomware kaip paslaugos (RaaS) modelių augimas, kai kenkėjiškų programų rinkiniai parduodami arba nuomojami kitiems blogiems veikėjams, kad būtų galima plačiai išpuolių.
Kaip „PayForRepair“ plinta
Dažniausias Dharma ransomware variantų, įskaitant PayForRepair, užkrėtimo būdas yra silpnos nuotolinio darbalaukio protokolo (RDP) paslaugos. Užpuolikai naudoja brutalios jėgos metodus, kad atspėtų slaptažodžius ir pasiektų sistemas, kurių prisijungimo saugumas yra prastas. Patekę į vidų, jie gali lengvai įdiegti išpirkos reikalaujančią programinę įrangą ir išjungti apsaugą, pvz., užkardas.
Tačiau KPP nėra vienintelis vektorius. Kiti įprasti metodai yra sukčiavimo el. laiškai, kenkėjiškų failų priedai, netikri programinės įrangos naujinimai ir atsisiuntimai iš nepatvirtintų šaltinių. Dažnai išpirkos reikalaujančios programos užmaskuojamos kaip nekenksmingas dokumentas arba diegimo failas. Atidarius, jis tyliai įsidiegia ir pradeda šifruoti failus.
Kai kuriais atvejais išpirkos reikalaujančios programos gali išplisti į šonus tinkluose arba netgi užkrėsti keičiamąsias laikmenas, pvz., USB diskus. Tai pabrėžia daugiasluoksnės apsaugos, kuri apima ne tik antivirusinę programinę įrangą, poreikį.
Optimali prevencijos ir atkūrimo praktika
Kadangi pašalinus išpirkos reikalaujančias programas, tokias kaip PayForRepair, failai nebus iššifruoti, prevencija yra geriausia gynybos linija. Vienas iš svarbiausių žingsnių yra reguliarių, neprisijungus naudojamų atsarginių kopijų kūrimas, saugomas saugiose ir atskirose vietose – idealiai tinka tiek fizinėje, tiek debesų aplinkoje. Tai užtikrina, kad net ir jus užpuolus duomenis bus galima atkurti nemokant išpirkos.
Vartotojai taip pat turėtų būti atsargūs naršydami internete arba atidarydami nepageidaujamus el. Į priedus ir nuorodas iš nežinomų šaltinių visada reikia žiūrėti įtariai. Be to, organizacijos turėtų išjungti nenaudojamą KPP prieigą, taikyti griežtą slaptažodžių politiką ir reguliariai atnaujinti programinę įrangą, kad pataisytų žinomas spragas.
Besivystantis Ransomware kraštovaizdis
„PayForRepair“ prisijungia prie augančio išpirkos reikalaujančių programų sąrašo, įskaitant kitas, tokias kaip Jackalock , DarkMystic ir VerdaCrypt . Kiekvienas iš jų veikia su šiek tiek skirtingais metodais ir tikslais, tačiau visi turi bendrą tikslą: užrakinti duomenis ir priverstinai sumokėti. Kai kurie reikalauja kelių šimtų dolerių; kiti – milijonai – priklausomai nuo tikslo.
Grėsmėms besivystant, taip pat turi suprasti, kaip jos veikia ir kaip nuo jų apsiginti. Nors PayForRepair yra tik vienas vardas perpildytame išpirkos reikalaujančių programų lauke, jo metodai aiškiai primena, kaip net įprastas naršymas ar el. pašto tikrinimas gali atverti duris dideliems sutrikimams, nebent būtų taikomos tinkamos apsaugos priemonės.
