Egy másik kiegészítés a DJVU családhoz: Qual Ransomware
Table of Contents
Mi az a Qual Ransomware?
A Qual Ransomware egy rosszindulatú szoftverváltozat, amelyet a Djvu ransomware család részeként azonosítottak. A Qual Ransomware a kiberfenyegetések e hírhedt csoportjának tipikus jellemzőit mutatja. Aktiválásakor titkosítja az áldozat fájljait, és egy ".qual" kiterjesztéssel átnevezi őket. Például egy eredetileg „picture.png” nevű fájl „kép.png.qual” lesz, és így tovább. A titkosítási folyamat befejeztével egy váltságdíj-jegyzet kerül egy "_readme.txt" nevű szövegfájlba.
A Ransom Note és annak követelései
A Qual Ransomware által hagyott váltságdíj-jegyzet arról tájékoztatja az áldozatokat, hogy alapvető fájljaikat, beleértve az adatbázisokat, dokumentumokat és képeket, titkosították. A titkosított adatok visszaállításához az áldozatokat arra utasítják, hogy vásároljanak egy visszafejtő programot és kulcsot a támadóktól. Az áldozatok úgy tesztelhetik a visszafejtési folyamatot, hogy egyetlen titkosított fájlt küldenek a kiberbűnözőknek. A támadók 999 dollárt követelnek a visszafejtő eszközökért, de ha 72 órán belül kapcsolatba lépnek velük, a váltságdíj 499 dollárra csökken. A feljegyzés kifejezetten óva int attól, hogy harmadik felektől kérjen segítséget.
Íme a jegyzet szövege:
Hogyan működnek a Ransomware programok
A Qualhoz hasonló zsarolóprogramok elsődleges célja, hogy pénzt csikarjanak ki az áldozatoktól adataik titkosításával, és váltságdíjat követeljenek azok kiadásáért. A Djvu családhoz tartozó Qual Ransomware többlépcsős fertőzési láncokat alkalmaz az eszközök beszivárgására. Számos shell-kódot használ a végső hasznos terhelés előtt, amely az adattitkosítási szakasz. Ezek a zsarolóprogramok olyan mechanizmusokat is használnak, mint a hurok, hogy meghosszabbítsák futási idejüket, és dinamikus API-felbontás a kritikus eszközök eléréséhez. Egy másik technika, a folyamatürítés lehetővé teszi, hogy a kártevő jóindulatú folyamatnak álcázza magát, csökkentve ezzel az észlelés esélyét.
A dekódolás kihívása
A zsarolóprogramok, például a Qual által érintett fájlok visszafejtése a támadók visszafejtési kulcsa nélkül általában lehetetlen. A visszafejtés csak ritka esetekben történik súlyosan hibás ransomware programokkal a támadók beavatkozása nélkül. A váltságdíj kifizetése még ekkor sem garantálja a fájlok helyreállítását, mivel a kiberbűnözők gyakran még fizetés után sem adják meg a megígért visszafejtő kulcsokat vagy szoftvereket. A szakértők határozottan nem tanácsolják a váltságdíj kifizetését, mivel az támogatja és bátorítja a bűnözést.
További károk megelőzése
A Qual Ransomware további adattitkosításának megakadályozása érdekében kulcsfontosságú a kártevő eltávolítása az operációs rendszerből. A ransomware eltávolítása azonban nem állítja vissza a már titkosított fájlokat. Az egyetlen megoldás az, hogy visszaállítjuk őket egy biztonsági másolatból, feltéve, hogy az a fertőzés előtt készült, és a fertőzött rendszertől elkülönítve tárolták. A biztonsági mentések több biztonságos helyen, például távoli kiszolgálókon vagy leválasztott tárolóeszközökön történő készítése a legjobb gyakorlat az adatbiztonság biztosítására.
Általános Ransomware terjesztési módszerek
Az olyan zsarolóvírusok, mint a Qual, elsősorban adathalászat és social engineering technikák révén terjednek. Gyakran legitim szoftvernek vagy médiafájlnak álcázza magát, vagy azokkal van csomagolva. Ezek a fájlok különféle formátumokban jelennek meg, beleértve az archívumot (ZIP, RAR), végrehajtható fájlokat (.exe, .run), dokumentumokat (PDF, Microsoft Office, Microsoft OneNote) és JavaScriptet. A gyakori terjesztési módszerek közé tartoznak a backdoor vagy loader típusú trójai programok, a meghajtó letöltések, a rosszindulatú mellékletek vagy linkek a spam e-mailekben, a rosszindulatú hirdetések, az online csalások, a kétes letöltési csatornák, az illegális szoftveraktiváló eszközök és a hamis frissítések.
Éberség és biztonságos gyakorlatok
A zsarolóprogramok elleni védelem érdekében elengedhetetlen, hogy körültekintően járjunk el az online böngészés és a bejövő e-mailek és üzenetek kezelése során. Kerülni kell a gyanús vagy irreleváns leveleket, különösen a mellékleteket vagy hivatkozásokat tartalmazó leveleket, mivel ezek károsak vagy fertőzőek lehetnek. Minden letöltést hivatalos és ellenőrzött forrásból kell végrehajtani, és a programokat legális eszközökkel kell aktiválni és frissíteni. Harmadik féltől származó szoftverek beszerzése növeli a rosszindulatú programok fertőzésének kockázatát.
Végső gondolatok
A Qual ransomware jelentős fenyegetést jelent, amely rávilágít a Djvu ransomware család által jelentett veszélyekre. Titkosítja a kritikus adatokat, és váltságdíjat követel, nehéz helyzetbe hozva az áldozatokat. A váltságdíj kifizetése azonban a kiberbűnözők megbízhatatlansága miatt nem tanácsos. Az éberség, a biztonságos böngészés és a biztonságos helyen tárolt rendszeres biztonsági másolatok megelőzése a legjobb védekezés az ilyen ransomware fenyegetések ellen.
