Pres Ransomware: Μια επικίνδυνη απειλή από την οικογένεια Dharma
Table of Contents
Κατανόηση του Pre Ransomware
Το ransomware Pres αποτελεί μια απειλητική προσθήκη στην οικογένεια ransomware Dharma . Όπως και οι προκάτοχοί του, το Pres κρυπτογραφεί τα αρχεία των θυμάτων και απαιτεί λύτρα σε αντάλλαγμα για την ανάκτησή τους. Αυτό που κάνει αυτήν την παραλλαγή ιδιαίτερα αναγνωρίσιμη είναι ο τρόπος με τον οποίο μετονομάζει τα κρυπτογραφημένα αρχεία. Προσθέτει το μοναδικό αναγνωριστικό του θύματος, μια διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας και την επέκταση ".pres" σε κάθε όνομα αρχείου. Για παράδειγμα, ένα αρχείο με αρχικά ονομαζόμενο "document.pdf" θα εμφανιζόταν ως "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" μετά την κρυπτογράφηση.
Μαζί με την κρυπτογράφηση αρχείων, το Pres εμφανίζει ένα αναδυόμενο μήνυμα λύτρων και τοποθετεί ένα αρχείο κειμένου με το όνομα "info.txt" στους μολυσμένους καταλόγους. Το μήνυμα ενημερώνει τα θύματα ότι τα αρχεία τους έχουν κρυπτογραφηθεί και παρέχει οδηγίες για την επικοινωνία με τους εισβολείς μέσω email. Τα θύματα πρέπει να στείλουν το μοναδικό τους αναγνωριστικό σε μία από τις δύο διευθύνσεις email: helpreserve@onionmail.org ή helpreserve@cyberfear.com.
Τι θέλουν οι επιτιθέμενοι
Το σημείωμα για τα λύτρα επιχειρεί να φαίνεται χρήσιμο και ακόμη και καθησυχαστικό. Ισχυρίζεται ότι τα αρχεία του θύματος μπορούν να ανακτηθούν και προσφέρει την δυνατότητα αποκρυπτογράφησης έως και τριών μικρών, μη ευαίσθητων αρχείων δωρεάν ως απόδειξη. Ωστόσο, αυτά τα δείγματα αρχείων δεν πρέπει να υπερβαίνουν τα 3MB συνολικά και δεν μπορούν να περιλαμβάνουν αντίγραφα ασφαλείας, βάσεις δεδομένων ή μεγάλα υπολογιστικά φύλλα. Το σημείωμα προειδοποιεί επίσης ότι η μετονομασία αρχείων ή η χρήση εργαλείων ανάκτησης τρίτων μπορεί να προκαλέσει μη αναστρέψιμη ζημιά.
Σε μια κλασική τακτική ψυχολογικής χειραγώγησης, οι επιτιθέμενοι συμβουλεύουν να μην εμπλέκονται τρίτα μέρη, ισχυριζόμενοι ότι αυτό θα μπορούσε να αυξήσει το κόστος των λύτρων. Αυτό έχει ως στόχο να απομονώσει το θύμα και να αυξήσει την εξάρτησή του από τις υποσχέσεις των επιτιθέμενων — παρά τον υψηλό κίνδυνο να μην λάβει κανένα εργαλείο αποκρυπτογράφησης μετά την πληρωμή.
Να τι αναφέρει το σημείωμα για τα λύτρα:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Πώς λειτουργούν τα προγράμματα Pres και άλλα προγράμματα Ransomware
Τα ransomware όπως το Pres έχουν σχεδιαστεί για να κρατούν τα δεδομένα των χρηστών ομήρους κρυπτογραφώντας τα με ισχυρούς αλγόριθμους. Μόλις κρυπτογραφηθούν, τα αρχεία καθίστανται άχρηστα εκτός εάν αποκρυπτογραφηθούν με ένα μοναδικό κλειδί, το οποίο κατέχουν μόνο οι εισβολείς. Τα θύματα συνήθως αναγκάζονται να αναλάβουν μια δύσκολη επιλογή: να πληρώσουν τα λύτρα και να ελπίζουν ότι οι εισβολείς θα τηρήσουν τον λόγο τους ή να επιχειρήσουν την ανάκτηση με άλλα μέσα.
Το ransomware Pres δεν σταματά απλώς στην κρυπτογράφηση αρχείων. Διαγράφει επίσης τα Volume Shadow Copies (που χρησιμοποιούνται από τα Windows για αντίγραφα ασφαλείας), απενεργοποιεί το τείχος προστασίας για να αποφύγει την ανίχνευση και προσπαθεί να διατηρήσει την παρουσία του αντιγράφοντας τον εαυτό του σε μια κρυφή τοποθεσία στο σύστημα και τροποποιώντας το μητρώο των Windows. Αυτές οι τακτικές έχουν ως στόχο να διασφαλίσουν ότι το ransomware μπορεί να εκτελεστεί ακόμα και μετά την επανεκκίνηση του συστήματος και να αντισταθεί στις προσπάθειες αφαίρεσης.
Οι Κίνδυνοι της Πληρωμής των Λύτρων
Ενώ η πληρωμή των λύτρων μπορεί να φαίνεται σαν ο πιο γρήγορος δρόμος για την ανάκαμψη, είναι ένα στοίχημα χωρίς εγγυημένη ανταμοιβή. Οι εισβολείς μπορεί να πάρουν τα χρήματα και να εξαφανιστούν ή να παράσχουν ένα ελαττωματικό ή μερικό κλειδί αποκρυπτογράφησης. Επιπλέον, η πληρωμή μόνο τροφοδοτεί περαιτέρω την εγκληματική δραστηριότητα στον κυβερνοχώρο και καθιστά το ransomware πιο κερδοφόρο και ελκυστικό για τους εισβολείς.
Στις περισσότερες περιπτώσεις, η ανάκτηση χωρίς αντίγραφα ασφαλείας ή επίσημα εργαλεία αποκρυπτογράφησης είναι εξαιρετικά δύσκολη. Δυστυχώς, τα αντίγραφα ασφαλείας που είναι αποθηκευμένα σε συνδεδεμένες ή μολυσμένες συσκευές μπορούν επίσης να παραβιαστούν. Επομένως, οι αποτελεσματικές πρακτικές δημιουργίας αντιγράφων ασφαλείας, όπως η αποθήκευση αντιγράφων σε αποσυνδεδεμένους εξωτερικούς δίσκους ή σε ασφαλείς υπηρεσίες cloud, είναι κρίσιμες.
Πώς εξαπλώνεται το Pres Ransomware
Οι μολύνσεις από ransomware Pres είναι συνήθως αποτέλεσμα της ασθενούς ασφάλειας του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) . Οι κυβερνοεγκληματίες συχνά εκμεταλλεύονται τις υπηρεσίες RDP που δεν προστατεύονται επαρκώς, χρησιμοποιώντας επιθέσεις ωμής βίας ή λεξικού για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Μόλις εισέλθουν σε αυτές, αναπτύσσουν το ransomware χειροκίνητα.
Άλλες μέθοδοι μόλυνσης περιλαμβάνουν email ηλεκτρονικού "ψαρέματος" (phishing) που περιέχουν κακόβουλα συνημμένα ή συνδέσμους, λήψεις από μη αξιόπιστους ιστότοπους, πειρατικό λογισμικό που συνοδεύεται από κακόβουλο λογισμικό και παραπλανητικές διαφημίσεις. Οι χρήστες ενδέχεται επίσης να αντιμετωπίσουν ransomware μέσω δικτύων P2P ή ψεύτικων μηνυμάτων ενημέρωσης λογισμικού. Το κακόβουλο λογισμικό συνήθως μεταμφιέζεται σε νόμιμο πρόγραμμα ή έγγραφο, ξεγελώντας τους χρήστες ώστε να ενεργοποιήσουν τη μόλυνση.
Πώς να παραμείνετε προστατευμένοι
Η πρόληψη ransomware όπως το Pres ξεκινά με έξυπνη διαδικτυακή συμπεριφορά και σταθερά μέτρα κυβερνοασφάλειας. Αποφύγετε τη λήψη λογισμικού από ανεπίσημους ιστότοπους, αποφύγετε πειρατικά προγράμματα ή γεννήτριες κλειδιών και μην ενεργοποιείτε ποτέ μακροεντολές σε άγνωστα έγγραφα του Office. Να είστε ιδιαίτερα προσεκτικοί με συνημμένα email ή συνδέσμους από άγνωστες πηγές, ακόμα κι αν φαίνονται επείγοντα ή σημαντικά.
Ενημερώνετε τακτικά το λειτουργικό σας σύστημα και το λογισμικό σας για να επιδιορθώνετε γνωστά τρωτά σημεία. Χρησιμοποιήστε αξιόπιστα εργαλεία προστασίας από ιούς που περιλαμβάνουν λειτουργίες προστασίας σε πραγματικό χρόνο. Δημιουργείτε συχνά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας και αποθηκεύστε τα σε ασφαλείς, αποσυνδεδεμένες τοποθεσίες.
Τελικές Σκέψεις
Το Pres ransomware είναι ένα ακόμη παράδειγμα του πόσο εξελιγμένες και καταστροφικές έχουν γίνει οι σύγχρονες απειλές ransomware. Συνδυάζει την τεχνική μυστικότητα με την κοινωνική χειραγώγηση για να πιέσει τα θύματα να πληρώσουν λύτρα που μπορεί να μην οδηγήσουν καν στην ανάκτηση αρχείων. Παραμένοντας σε εγρήγορση, ακολουθώντας τις βέλτιστες πρακτικές κυβερνοασφάλειας και διατηρώντας ασφαλή αντίγραφα ασφαλείας, οι χρήστες και οι οργανισμοί μπορούν να μειώσουν σημαντικά τους κινδύνους που αντιμετωπίζουν από αυτά τα ψηφιακά συστήματα εκβιασμού.
