PayForRepair Ransomware przykleja cenę do Twoich plików
Table of Contents
Kolejne zagrożenie na scenie cybernetycznej
Badacze cyberbezpieczeństwa odkryli kolejny szczep ransomware przedostający się przez zainfekowane systemy: PayForRepair . Ten złośliwy program należy do dobrze znanej rodziny ransomware Dharma i podąża za znanym, ale niebezpiecznym schematem — szyfruje pliki i żąda okupu w zamian za odszyfrowanie.
PayForRepair ma na celu zablokowanie ofiarom dostępu do ich danych, a jednocześnie zastosowanie unikalnego, identyfikowalnego tagu do każdego zaszyfrowanego pliku. Zainfekowane pliki są zmieniane, aby zawierały identyfikator ofiary, adres e-mail atakujących i rozszerzenie „.P4R”. Ofiary otrzymują również notatki z żądaniem okupu zarówno w postaci okienek pop-up, jak i pliku tekstowego o nazwie info.txt , który jest umieszczany w każdym dotkniętym folderze.
Oto treść listu z żądaniem okupu:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Czego chce PayForRepair
Ransomware, takie jak PayForRepair, zostało stworzone, aby uniemożliwić dostęp do danych osobowych i biznesowych poprzez ich szyfrowanie za pomocą silnych algorytmów. Po zaszyfrowaniu plików nie można ich otworzyć ani użyć, chyba że zostanie podany unikalny klucz deszyfrujący — coś, co posiada tylko atakujący. Notatka o okupie PayForRepair nakazuje ofiarom wysłanie wiadomości e-mail do atakujących w celu negocjacji odzyskania danych. Okno podręczne dodatkowo wyjaśnia sytuację, stwierdzając, że odszyfrowanie zostanie zapewnione dopiero po dokonaniu płatności w Bitcoinach .
Atakujący oferują token „dobrej wiary”, pozwalając ofierze odszyfrować do trzech plików za darmo, pod warunkiem, że pliki te spełniają określone kryteria. Ta taktyka jest powszechnie stosowana w celu zbudowania zaufania i wywarcia presji na ofiarę, aby zapłaciła. Ostrzegają jednak również ofiary przed korzystaniem z narzędzi do odzyskiwania danych innych firm, twierdząc, że może to trwale uszkodzić zaszyfrowane pliki — taktyka strachu typowa dla kampanii ransomware.
Dlaczego ataki oparte na Dharmie są trudne do pokonania
Jako członek rodziny ransomware Dharma, PayForRepair dzieli kilka cech ze swoimi odpowiednikami. Podczas gdy oszczędza krytyczne pliki systemowe — co oznacza, że ofiary mogą nadal obsługiwać swoje urządzenia — atakuje pliki lokalne i współdzielone w sieci bez rozróżnienia. Ransomware zwiększa swój wskaźnik sukcesu, kończąc procesy związane z otwartymi plikami, takimi jak te używane przez bazy danych lub aplikacje do zwiększania produktywności, zapewniając, że te pliki również mogą zostać zablokowane.
Aby kontrolować zainfekowane systemy, złośliwe oprogramowanie oparte na Dharmie często osadza się w określonych lokalizacjach na komputerze, takich jak katalog %LOCALAPPDATA% , i ustawia się tak, aby uruchamiało się przy każdym ponownym uruchomieniu komputera. Usuwa również wszelkie kopie woluminów w tle — wbudowaną funkcję tworzenia kopii zapasowych systemu Windows — więc ofiary nie mogą po prostu przywrócić swoich systemów do wcześniejszego stanu.
Brutalna rzeczywistość: płacenie może nie pomóc
Niestety, szanse są przeciwko ofiarom, gdy PayForRepair zablokuje ich pliki. Używane metody szyfrowania są na ogół solidne, a bez klucza deszyfrującego atakujących odzyskanie jest prawie niemożliwe. Nawet jeśli ofiary zapłacą okup, nie ma gwarancji, że narzędzia deszyfrujące zostaną faktycznie udostępnione. W wielu przypadkach cyberprzestępcy po prostu biorą płatność i znikają.
Dlatego eksperci ds. cyberbezpieczeństwa stanowczo odradzają płacenie okupu. Robienie tego nie tylko finansuje operacje przestępcze, ale także napędza rozwój modeli ransomware as a service (RaaS), w których zestawy złośliwego oprogramowania są sprzedawane lub wynajmowane innym złym aktorom w celu przeprowadzenia szeroko zakrojonych ataków.
Jak rozprzestrzenia się PayForRepair
Najczęstszą metodą infekcji wariantami ransomware Dharma, w tym PayForRepair, są słabe usługi Remote Desktop Protocol (RDP). Atakujący stosują techniki brute-force, aby odgadnąć hasła i uzyskać dostęp do systemów o słabym zabezpieczeniu logowania. Po dostaniu się do środka mogą łatwo wdrożyć ransomware i wyłączyć zabezpieczenia, takie jak zapory sieciowe.
Jednak RDP nie jest jedynym wektorem. Inne powszechne metody obejmują e-maile phishingowe, złośliwe załączniki plików, fałszywe aktualizacje oprogramowania i pobieranie z niezweryfikowanych źródeł. Często ransomware jest maskowane jako niegroźnie wyglądający dokument lub plik instalacyjny. Po otwarciu instaluje się po cichu i zaczyna szyfrować pliki.
W niektórych przypadkach ransomware może rozprzestrzeniać się bocznie w sieciach, a nawet infekować nośniki wymienne, takie jak dyski USB. Podkreśla to potrzebę wielowarstwowych zabezpieczeń wykraczających poza samo oprogramowanie antywirusowe.
Optymalne praktyki zapobiegania i odzyskiwania
Ponieważ usunięcie ransomware, takiego jak PayForRepair, nie odszyfruje Twoich plików, zapobieganie jest najlepszą linią obrony. Jednym z najważniejszych kroków jest utrzymywanie regularnych, offline'owych kopii zapasowych przechowywanych w bezpiecznych i oddzielnych lokalizacjach — najlepiej w środowiskach fizycznych i chmurowych. Zapewnia to, że nawet jeśli zostaniesz zaatakowany, dane można odzyskać bez płacenia okupu.
Użytkownicy powinni również zachować ostrożność podczas przeglądania Internetu lub otwierania niechcianych wiadomości e-mail. Załączniki i linki z nieznanych źródeł należy zawsze traktować z podejrzliwością. Ponadto organizacje powinny wyłączyć nieużywany dostęp RDP, egzekwować silne zasady dotyczące haseł i regularnie aktualizować oprogramowanie, aby łatać znane luki w zabezpieczeniach.
Ewoluujący krajobraz oprogramowania ransomware
PayForRepair dołącza do rosnącej listy odmian ransomware, w tym takich jak Jackalock , DarkMystic i VerdaCrypt . Każdy z nich działa z nieco innymi metodami i celami, ale wszystkie mają wspólny cel: blokowanie danych i wymuszanie płatności. Niektóre żądają kilkuset dolarów; inne milionów — w zależności od celu.
W miarę jak zagrożenia ewoluują, tak samo musi ewoluować nasze zrozumienie tego, jak one działają i jak się przed nimi bronić. Podczas gdy PayForRepair to tylko jedna nazwa w zatłoczonym polu ransomware, jego metody są wyraźnym przypomnieniem, że nawet rutynowe przeglądanie lub sprawdzanie poczty e-mail może otworzyć drzwi do znacznych zakłóceń — jeśli nie zostaną wdrożone odpowiednie zabezpieczenia.
