Программа-вымогатель NailaoLocker: растущая угроза для европейских организаций
Table of Contents
Что такое программа-вымогатель NailaoLocker?
NailaoLocker — это программа-вымогатель, написанная на C++, предназначенная для шифрования файлов жертв и требования оплаты за их расшифровку. Эта угроза была замечена направленной на организации в Европе, в том числе в секторе здравоохранения. Хотя она не была окончательно связана с какой-либо известной киберпреступной группировкой, ее тактика напоминает тактику известных китайских аффилированных лиц.
После того, как NailaoLocker проникает в систему, он шифрует файлы и добавляет к их именам расширение «.locked». Например, файл с именем «document.pdf» после шифрования будет отображаться как «document.pdf.locked». После этого процесса вирус-вымогатель генерирует записку с требованием выкупа, предупреждающую жертв о последствиях неуплаты требуемой суммы.
Что требует программа-вымогатель NailaoLocker
В записке о выкупе жертвам сообщается, что их файлы зашифрованы и могут быть восстановлены только путем уплаты выкупа в биткоинах . Хотя точная сумма не указана, сообщение предупреждает, что невыполнение требований в течение недели приведет к удалению затронутых файлов. Злоумышленники утверждают, что после уплаты расшифровка произойдет в течение 24 часов.
Жертвам также рекомендуется не вмешиваться в зашифрованные файлы. Попытки переместить, удалить или расшифровать их с помощью сторонних приложений могут привести к постоянной потере данных. Однако, несмотря на эти предупреждения, нет никаких гарантий, что злоумышленники предоставят инструменты для расшифровки, даже если выкуп будет заплачен.
Вот полный текст записки о выкупе:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
Штамм вируса-вымогателя со слабым исполнением
В отличие от более продвинутых программ-вымогателей, NailaoLocker не имеет функций антиотладки и не отключает критические системные процессы или службы перед шифрованием. Эта оплошность означает, что если важные системные файлы зашифрованы, операционная система может стать непригодной для использования. Кроме того, хотя некоторые штаммы программ-вымогателей занимаются двойным вымогательством, воруя конфиденциальные данные, в записке о выкупе NailaoLocker прямо не упоминается эксфильтрация данных.
Учитывая наш обширный опыт в борьбе с вирусами-вымогателями, мы можем сделать вывод, что расшифровка без сотрудничества со стороны злоумышленников, как правило, невозможна. Даже в случаях, когда выкуп выплачивается, киберпреступники часто не предоставляют обещанный ключ расшифровки. Поддержка этой незаконной деятельности путем выплаты выкупа настоятельно не рекомендуется.
Предотвращение дальнейшего ущерба от NailaoLocker
Удаление NailaoLocker из зараженной системы может предотвратить дополнительное шифрование файлов, но не восстановит скомпрометированные данные. Единственный эффективный способ восстановить зашифрованные файлы — это резервные копии, хранящиеся отдельно от зараженной системы. Это подчеркивает важность сохранения резервных копий в нескольких местах, например, на отключенных внешних устройствах хранения и удаленных серверах.
Сходства между NailaoLocker и другими программами-вымогателями
NailaoLocker следует той же схеме, что и другие угрозы программ-вымогателей, такие как Vgod , CipherLocker , FXLocker , SafePay и DeathHunters . Все эти программы шифруют файлы и требуют плату за их восстановление. Однако они различаются по двум ключевым аспектам: используемым криптографическим алгоритмам (симметричным или асимметричным) и сумме выкупа, которая варьируется в зависимости от того, является ли целью отдельный пользователь или крупная организация.
Хотя NailaoLocker относительно прост, он все еще представляет значительную угрозу для предприятий и учреждений, в которых отсутствуют надежные меры кибербезопасности. Группы вымогателей часто адаптируют свои атаки для использования определенных уязвимостей в сетях своих целей.
Как NailaoLocker проникает в системы
В наблюдаемых атаках на европейские организации NailaoLocker был развернут путем эксплуатации уязвимости в приложении Check Point VPN, возможно, той, которая идентифицирована как «CVE-2024-24919». Угроза была внедрена через вредоносное ПО ShadowPad или троянский вирус удаленного доступа PlugX (RAT). Однако этот вирус-вымогатель мог распространяться и другими распространенными способами.
Киберпреступники часто прибегают к тактике фишинга и социальной инженерии для распространения программ-вымогателей. Вредоносное ПО часто маскируется под, казалось бы, безобидные файлы или связывается с ними. После открытия эти файлы инициируют загрузку и выполнение вредоносного ПО.
Распространенные методы распространения программ-вымогателей
Программы-вымогатели, подобные NailaoLocker, обычно распространяются различными способами, включая:
- Скрытые загрузки с взломанных или вредоносных веб-сайтов
- Угрозы типа загрузчик/бэкдор
- Сомнительные источники загрузки, такие как сторонние платформы для размещения файлов и одноранговые сети обмена файлами
- Онлайн-мошенничество, направленное на то, чтобы заставить пользователей запустить вредоносные файлы
- Вредоносные рекламные кампании, внедряющие вредоносную рекламу на легитимные сайты
- Спам-письма и мгновенные сообщения, содержащие зараженные вложения или ссылки
- Поддельные обновления программного обеспечения и нелегальные инструменты активации («кряки»)
- Самораспространение через локальные сети и съемные устройства хранения данных
Такая тактика позволяет программам-вымогателям быстро распространяться и заражать несколько систем в организации, усиливая свое воздействие.
Лучшие практики по предотвращению заражения вирусами-вымогателями
Чтобы снизить риск заражения программами-вымогателями, пользователям и организациям следует принять следующие меры безопасности:
- Загружайте программное обеспечение только с официальных и авторитетных сайтов.
- Регулярно обновляйте программы, используя легитимные функции обновления.
- Будьте осторожны, открывая электронные письма от неизвестных отправителей, особенно те, которые содержат вложения или ссылки.
- Используйте надежные меры сетевой безопасности, включая межсетевые экраны и системы обнаружения вторжений.
- Поддерживайте автономное и облачное резервное копирование критически важных данных
- Обучайте сотрудников распознавать фишинг и другие атаки социальной инженерии.
Внедрив эти методы, частные лица и предприятия могут значительно снизить вероятность атаки NailaoLocker или столкновения с аналогичными угрозами.
Итог
Программа-вымогатель NailaoLocker, хотя и не самая сложная, представляет реальную опасность для организаций, особенно в Европе. Ее зависимость от стандартных тактик шифрования и требований выкупа ставит ее в один ряд с другими программами-вымогателями, однако отсутствие продвинутых методов уклонения может ограничить ее общую эффективность.
Как и в случае со всеми программами-вымогателями, профилактика — лучшая защита. Пользователи должны сохранять бдительность, применять лучшие методы безопасности и обеспечивать резервное копирование критически важных данных в безопасных местах. Поскольку выплата выкупа не гарантирует восстановления данных, предотвращение заражения имеет первостепенное значение.
