Tianrui Ransomware: A Cyber Threat Holding Data Hostage

Τι είναι το Tianrui Ransomware;

Το Tianrui είναι ένα στέλεχος ransomware που λειτουργεί όπως πολλές άλλες γνωστές οικογένειες ransomware, όπως το Hush , το MoneyIsTime και το Boramae . Αυτό το κακόβουλο λογισμικό κρυπτογραφεί τα αρχεία των θυμάτων και στη συνέχεια απαιτεί λύτρα με αντάλλαγμα την αποκρυπτογράφηση.

Όταν μολύνει ένα σύστημα, ο Tianrui μετονομάζει τα κρυπτογραφημένα αρχεία προσθέτοντας ένα μοναδικό αναγνωριστικό ακολουθούμενο από την επέκταση ".tianrui". Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "document.pdf" θα εμφανιστεί ως "document.pdf.{UniqueID}.tianrui" μετά την κρυπτογράφηση. Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, το ransomware δημιουργεί μια σημείωση λύτρων με τίτλο "README.TXT" για να ενημερώσει τα θύματα σχετικά με την επίθεση και τις απαιτήσεις των εγκληματιών του κυβερνοχώρου.

Δείτε τι λέει το σημείωμα για τα λύτρα:

I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.
2. Its only takes for us at list 20 minutes after payment to completely decrypt you,
to its original state, it's very simple for us!
3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!
4.They also contact the police. Again, only you suffer from this treatment!
5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,
who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!

6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!

We will also publicize this attack using social networks and other media, which will significantly affect your reputation!

7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!

8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!
YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!

9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !

10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!!

Contacts :

Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"

MAIL:tianrui@mailum.com

Πώς λειτουργεί το Tianrui Ransomware;

Όπως και άλλες παραλλαγές ransomware, το Tianrui ακολουθεί ένα μοτίβο δομημένης επίθεσης. Διεισδύει στο σύστημα ενός θύματος, κρυπτογραφεί αρχεία και στη συνέχεια παρουσιάζει ένα σημείωμα λύτρων που εξηγεί τα επόμενα βήματα. Το σημείωμα λύτρων προειδοποιεί ότι εάν το θύμα δεν πληρώσει, ευαίσθητες πληροφορίες που έχουν κλαπεί κατά τη διάρκεια της επίθεσης —όπως βάσεις δεδομένων, οικονομικά αρχεία και μηνύματα ηλεκτρονικού ταχυδρομείου— θα κοινοποιηθούν σε άλλες ομάδες χάκερ. Επιπλέον, οι εισβολείς απειλούν να δημοσιοποιήσουν την παραβίαση, βλάπτοντας δυνητικά τη φήμη της στοχευόμενης εταιρείας ή ατόμου.

Λέγεται στα θύματα να επικοινωνήσουν με τους επιτιθέμενους εντός 12 ωρών για να λάβουν έκπτωση στο ποσό των λύτρων. Η σημείωση προειδοποιεί επίσης να μην προσπαθήσετε να αποκρυπτογραφήσετε μη αυτόματα αρχεία ή να αναζητήσετε βοήθεια από τρίτους, υποστηρίζοντας ότι τέτοιες ενέργειες θα μπορούσαν να καταστήσουν τα δεδομένα μόνιμα απρόσιτα.

Η φύση των επιθέσεων Ransomware

Το Ransomware λειτουργεί χρησιμοποιώντας τεχνικές κρυπτογράφησης που καθιστούν τα δεδομένα δυσανάγνωστα χωρίς ένα μοναδικό κλειδί αποκρυπτογράφησης. Χρησιμοποιούνται δύο κύριοι τύποι κρυπτογράφησης: συμμετρική και ασύμμετρη. Και οι δύο μέθοδοι καθιστούν σχεδόν αδύνατη την ανάκτηση των κλειδωμένων αρχείων χωρίς την παρέμβαση των εισβολέων.

Ένας από τους μεγαλύτερους κινδύνους που σχετίζονται με επιθέσεις ransomware είναι ότι η πληρωμή των λύτρων δεν εγγυάται ότι τα θύματα θα λάβουν το κλειδί αποκρυπτογράφησης που υποσχέθηκαν. Οι εγκληματίες του κυβερνοχώρου δεν έχουν καμία υποχρέωση να ακολουθήσουν, και σε πολλές περιπτώσεις, τα θύματα που πληρώνουν δεν ανακτούν πρόσβαση στα δεδομένα τους. Επιπλέον, η πληρωμή των λύτρων τροφοδοτεί περαιτέρω το έγκλημα στον κυβερνοχώρο χρηματοδοτώντας μελλοντικές επιθέσεις.

Πώς εξαπλώνεται το Tianrui Ransomware

Το Tianrui, όπως και πολλά άλλα προγράμματα ransomware, εξαπλώνεται κυρίως μέσω παραπλανητικών τακτικών, συμπεριλαμβανομένων των email phishing και της κοινωνικής μηχανικής. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν δόλια μηνύματα για να ξεγελάσουν τα θύματα ώστε να ανοίξουν κακόβουλα συνημμένα ή να κάνουν κλικ σε επικίνδυνους συνδέσμους. Αυτά τα μολυσμένα αρχεία μπορούν να λάβουν διάφορες μορφές, όπως:

• Αρχειοθέτηση αρχείων (ZIP, RAR, κ.λπ.)
• Εκτελέσιμα αρχεία (.exe, .run κ.λπ.)
• Έγγραφα (Microsoft Office, PDF, OneNote κ.λπ.)
• Αρχεία JavaScript

Άλλες κοινές μέθοδοι μόλυνσης περιλαμβάνουν:

• Κακόβουλο λογισμικό Trojan που μεταμφιέζεται ως νόμιμο λογισμικό
• Πραγματοποιήστε λήψεις από παραβιασμένους ή ψεύτικους ιστότοπους
• Κακόβουλες διαφημίσεις (κακή διαφήμιση)
• Πειρατεία λογισμικού και παράνομα εργαλεία «σπασίματος».
• Ψεύτικες ενημερώσεις λογισμικού που εγκαθιστούν κρυφά κακόβουλο λογισμικό
• Μηχανισμοί εξάπλωσης δικτύου που διαδίδουν μολύνσεις μέσω κοινόχρηστων μονάδων δίσκου ή αφαιρούμενων συσκευών αποθήκευσης

Μπορούν να ανακτηθούν τα μολυσμένα αρχεία;

Η ανάκτηση αρχείων κρυπτογραφημένων από τον Tianrui είναι δύσκολη, αν όχι αδύνατη, χωρίς το εργαλείο αποκρυπτογράφησης των εγκληματιών του κυβερνοχώρου. Εκτός εάν το ransomware περιέχει ένα ελάττωμα στον αλγόριθμο κρυπτογράφησης, τα θύματα έχουν ελάχιστες ελπίδες να ξεκλειδώσουν τα αρχεία τους χωρίς να πληρώσουν τα λύτρα.

Η καλύτερη λύση είναι να βασιστείτε σε ασφαλή αντίγραφα ασφαλείας. Η τακτική δημιουργία αντιγράφων ασφαλείας σημαντικών αρχείων σε πολλές τοποθεσίες—συμπεριλαμβανομένης της αποθήκευσης εκτός σύνδεσης και του χώρου αποθήκευσης που βασίζεται στο cloud— διασφαλίζει ότι τα δεδομένα παραμένουν ασφαλή σε περίπτωση επίθεσης. Ωστόσο, τα αντίγραφα ασφαλείας πρέπει να διατηρούνται χωριστά από το κύριο σύστημα, καθώς ορισμένες παραλλαγές ransomware προσπαθούν να τα κρυπτογραφήσουν ή να τα διαγράψουν.

Προληπτικά μέτρα για την αποφυγή λοιμώξεων ransomware

Η πρόληψη είναι η καλύτερη άμυνα έναντι απειλών ransomware. Ακολουθώντας τις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο, τα άτομα και οι οργανισμοί μπορούν να ελαχιστοποιήσουν τον κίνδυνο μόλυνσης:

1. Χρησιμοποιήστε επαληθευμένες πηγές λήψης – Λήψη λογισμικού και ενημερώσεων μόνο από επίσημες και αξιόπιστες πηγές. Αποφύγετε τη χρήση πλατφορμών τρίτων που ενδέχεται να φιλοξενούν κακόβουλες εκδόσεις νόμιμων προγραμμάτων.
2. Προσοχή στις επιθέσεις phishing – Οι εγκληματίες του κυβερνοχώρου συχνά διανέμουν ransomware μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος. Να είστε προσεκτικοί όταν ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από άγνωστους ή ύποπτους αποστολείς.
3. Διατηρήστε το λογισμικό ενημερωμένο – Βεβαιωθείτε ότι τα λειτουργικά συστήματα, οι εφαρμογές και τα εργαλεία ασφαλείας είναι ενημερωμένα. Οι ενημερώσεις συνοδεύονται συχνά από ενημερώσεις κώδικα ασφαλείας που διορθώνουν τρωτά σημεία που εκμεταλλεύονται ransomware.
4. Ενεργοποιήστε την ασφάλεια πολλαπλών επιπέδων – Χρησιμοποιήστε λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό για να εντοπίσετε και να αποκλείσετε κακόβουλα αρχεία προτού μπορέσουν να εκτελεστούν.
5. Περιορίστε τα δικαιώματα διαχειριστή – Περιορίστε τα δικαιώματα χρήστη για να αποτρέψετε μη εξουσιοδοτημένες εγκαταστάσεις λογισμικού και τροποποιήσεις συστήματος.
6. Απενεργοποίηση μακροεντολών και εκτέλεσης σεναρίων – Κακόβουλα σενάρια που είναι κρυμμένα σε έγγραφα μπορούν να προκαλέσουν μολύνσεις ransomware. Απενεργοποιήστε την αυτόματη εκτέλεση μακροεντολών στο Microsoft Office και αποφύγετε την ενεργοποίηση περιττών σεναρίων.
7. Δημιουργία αντιγράφων ασφαλείας σημαντικών δεδομένων – Δημιουργήστε τακτικά αντίγραφα ασφαλείας κρίσιμων αρχείων για να ασφαλίσετε τοποθεσίες εκτός σύνδεσης για να διασφαλίσετε την ανάκτηση δεδομένων σε περίπτωση επίθεσης.

Τελικές Σκέψεις

Το Tianrui ransomware είναι ένα ακόμη παράδειγμα του τρόπου με τον οποίο οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται την τεχνολογία κρυπτογράφησης για να εκβιάσουν θύματα. Αυτή η συγκεκριμένη παραλλαγή ακολουθεί την ίδια στρατηγική με άλλα στελέχη ransomware: κρυπτογράφηση αρχείων, απαίτηση πληρωμής και απειλή για διαρροή ευαίσθητων δεδομένων. Παρά την πίεση για πληρωμή, οι ειδικοί στον τομέα της κυβερνοασφάλειας συμβουλεύουν σθεναρά να μην το κάνετε, καθώς δεν εγγυάται την ανάκτηση δεδομένων και μόνο κίνητρο για περαιτέρω εγκληματική δραστηριότητα.

Η καλύτερη προστασία έναντι του ransomware είναι μια προληπτική προσέγγιση κυβερνοασφάλειας που περιλαμβάνει τακτικά αντίγραφα ασφαλείας δεδομένων, ενημερώσεις λογισμικού και επαγρύπνηση έναντι απόπειρες phishing. Κατανοώντας τις τακτικές που χρησιμοποιούν οι εισβολείς και λαμβάνοντας τις απαραίτητες προφυλάξεις, τα άτομα και οι επιχειρήσεις μπορούν να μειώσουν σημαντικά τον κίνδυνο απειλών ransomware.