Pres Ransomware: En farlig trussel fra Dharma-familien

Forståelse af Pres Ransomware

Pres ransomware er en truende tilføjelse til Dharma ransomware-familien . Ligesom sine forgængere krypterer Pres ofrenes filer og kræver en løsesum til gengæld for at få dem gendannet. Det, der gør denne variant særligt identificerbar, er den måde, den omdøber krypterede filer på. Den tilføjer offerets unikke ID, en kontakt-e-mailadresse og filnavnet ".pres" til hvert filnavn. For eksempel ville en fil, der oprindeligt hed "document.pdf", vises som "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" efter kryptering.

Udover at kryptere filer viser Pres en pop op-meddelelse om løsesum og placerer en tekstfil med navnet "info.txt" i de inficerede mapper. Beskeden fortæller ofrene, at deres filer er blevet krypteret, og giver instruktioner til at kontakte angriberne via e-mail. Ofrene skal sende deres unikke ID til en af to e-mailadresser: helpreserve@onionmail.org eller helpreserve@cyberfear.com.

Hvad angriberne ønsker

Løsesumsebeskeden forsøger at virke hjælpsom og endda beroligende. Den hævder, at offerets filer kan gendannes, og tilbyder at dekryptere op til tre små, ikke-følsomme filer gratis som bevis. Disse eksempelfiler må dog ikke overstige 3 MB i alt og må ikke indeholde sikkerhedskopier, databaser eller store regneark. Beskeden advarer også om, at omdøbning af filer eller brug af tredjepartsgendannelsesværktøjer kan forårsage uoprettelig skade.

I en klassisk psykologisk manipulationstaktik fraråder angriberne at involvere tredjeparter, da de hævder, at det kan øge løsesummen. Dette har til formål at isolere offeret og øge deres afhængighed af angribernes løfter – på trods af den høje risiko for ikke at modtage et dekrypteringsværktøj efter betaling.

Her er hvad løsesumsnotatet hævder:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Sådan fungerer Pres og andre ransomware-programmer

Ransomware som Pres er designet til at holde brugernes data som gidsler ved at kryptere dem med stærke algoritmer. Når filer er krypteret, bliver de ubrugelige, medmindre de dekrypteres med en unik nøgle, som kun angriberne besidder. Ofrene er typisk tvunget til et vanskeligt valg: at betale løsesummen og håbe, at angriberne holder deres ord, eller at forsøge at gendanne dem på andre måder.

Pres ransomware stopper ikke ved kun at kryptere filer. Det sletter også Volume Shadow Copies (brugt af Windows til sikkerhedskopier), deaktiverer firewallen for at undgå detektion og forsøger at opretholde persistens ved at kopiere sig selv til en skjult placering i systemet og ændre Windows-registreringsdatabasen. Disse taktikker er beregnet til at sikre, at ransomware kan køre selv efter en systemgenstart og modstå fjernelsesforsøg.

Risikoen ved at betale løsesummen

Selvom det at betale løsesummen kan virke som den hurtigste vej til at komme sig, er det et sats uden garanteret belønning. Angribere kan tage pengene og forsvinde eller give en defekt eller delvis dekrypteringsnøgle. Desuden giver betalingen kun næring til yderligere cyberkriminel aktivitet og gør ransomware mere rentabelt og attraktivt for angribere.

I de fleste tilfælde er gendannelse uden sikkerhedskopier eller officielle dekrypteringsværktøjer ekstremt vanskeligt. Desværre kan sikkerhedskopier, der er gemt på tilsluttede eller inficerede enheder, også blive kompromitteret. Derfor er effektive sikkerhedskopieringsmetoder – såsom lagring af kopier på ikke-tilsluttede eksterne drev eller sikrede cloudtjenester – afgørende.

Hvordan Pres Ransomware spredes

Pres ransomware-infektioner er ofte et resultat af svag RDP-sikkerhed (Remote Desktop Protocol) . Cyberkriminelle udnytter ofte dårligt beskyttede RDP-tjenester ved at bruge brute-force- eller dictionary-angreb til at få uautoriseret adgang. Når de er inde, installerer de ransomware manuelt.

Andre infektionsmetoder omfatter phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links, drive-by-downloads fra upålidelige websteder, piratkopieret software bundtet med malware og vildledende reklamer. Brugere kan også støde på ransomware via P2P-netværk eller falske softwareopdateringsmeddelelser. Malwaren er normalt forklædt som et legitimt program eller dokument, hvilket narrer brugerne til at aktivere infektionen.

Sådan forbliver du beskyttet

Forebyggelse af ransomware som Pres starter med intelligent onlineadfærd og solide cybersikkerhedsforanstaltninger. Undgå at downloade software fra uofficielle websteder, hold dig væk fra piratkopierede programmer eller nøglegeneratorer, og aktiver aldrig makroer i ukendte Office-dokumenter. Vær særlig forsigtig med e-mailvedhæftninger eller links fra ukendte kilder, selvom de virker presserende eller vigtige.

Opdater dit operativsystem og din software regelmæssigt for at rette kendte sårbarheder. Brug velrenommerede antivirusværktøjer, der inkluderer realtidsbeskyttelse. Sikkerhedskopier vigtige data ofte, og gem disse sikkerhedskopier på sikre, ikke-forbundne steder.

Afsluttende tanker

Pres ransomware er endnu et eksempel på, hvor sofistikerede og destruktive moderne ransomware-trusler er blevet. Det kombinerer teknisk stealth med social manipulation for at presse ofre til at betale løsepenge, der måske ikke engang fører til filgendannelse. Ved at være opmærksomme, følge bedste cybersikkerhedspraksis og opretholde sikre sikkerhedskopier kan brugere og organisationer i høj grad reducere deres risiko for at håndtere disse digitale afpresningsordninger.