V (Dharma) Ransomware csendben sok kárt okoz
Table of Contents
Az V (Dharma) Ransomware megértése
A V (Dharma) Ransomware a Dharma családhoz tartozó fájlzár program, amely a fenyegetések egy hírhedt csoportja, amely évek óta titkosítja az adatokat. Miután behatol egy rendszerbe, módosítja a fájlokat egy egyedi áldozatazonosító, egy e-mail cím és a ".V" kiterjesztéssel. A ransomware egy felugró üzenet és egy "info.txt" nevű szöveges fájl formájában is hagy maga után egy váltságdíjat.
Az áldozatokat tájékoztatják arról, hogy fájljaikhoz nem férhetnek hozzá, és utasítják őket, hogy küldjenek e-mailt a támadóknak, hogy tárgyaljanak a visszafejtési folyamatról. A váltságdíj feljegyzése óva int a fájlok átnevezésétől vagy a harmadik féltől származó visszafejtő eszközök használatának kísérletétől, azt állítva, hogy ezek a műveletek végleges adatvesztést okozhatnak. A támadók akár három kis fájl ingyenes visszafejtését is felajánlják, bizonyítékul, hogy képesek visszaállítani az adatokat.
A titkosítás mögötti cél
Más zsarolóvírusokhoz hasonlóan a V (Dharma) is arra készült, hogy pénzt kicsikarjon áldozataitól. A támadók fizetést követelnek, általában Bitcoinban, cserébe egy visszafejtő eszközért. Ha 12 órán belül nem érkezik válasz, a váltságdíj-levél egy másodlagos e-mail címre irányítja az áldozatokat további kapcsolatfelvétel céljából. A többféle kapcsolatfelvételi mód alkalmazása azt sugallja, hogy a támadók biztosítani akarják a kommunikáció nyitottságát, növelve a fizetés valószínűségét.
Ezen ígéretek ellenére a váltságdíj kifizetése soha nem jelent garantált megoldást. Sok esetben a követeléseknek eleget tevő áldozatok soha nem kapnak visszafejtő kulcsot, így adataik és pénzük nélkül maradnak.
Íme, mit ír a váltságdíj-levél:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam
Hogyan működik a V (Dharma) Ransomware
A rendszerbe kerülve a V (Dharma) megkeresi és titkosítja a helyi és hálózati meghajtókon tárolt fájlokat. Ezenkívül lépéseket tesz az egyszerű helyreállítás megakadályozására, például letiltja a tűzfalakat és törli a fájlok árnyékmásolatait, amelyeket gyakran használnak visszaállításhoz. A zsarolóprogram úgy ágyaz be magát a rendszerbe, hogy a kódját a „%LOCALAPPDATA%” mappába másolja, és módosítja a Run registry kulcsokat, biztosítva, hogy az újraindítás után is aktív maradjon.
Érdekes módon egyes ransomware-változatok elkerülik az adatok titkosítását bizonyos helyeken. Ez a viselkedés arra utal, hogy a támadók bizonyos régiókat vagy szervezeteket céloznak meg, míg másokat elkerülnek.
Ransomware és nagyobb következményei
A zsarolóvírus-programok, köztük a V (Dharma), a legrombolóbb digitális fenyegetések közé tartoznak. A kritikus adatok zárolásával vállalkozásokat, szervezeteket és egyéni felhasználókat egyaránt megbéníthatnak. Mivel a támadók kriptovalutát követelnek fizetésként, a pénzeszközök nyomon követése és visszaszerzése rendkívül nehéz.
Bár a titkosított fájlok visszaszerzéséért való fizetés az egyetlen lehetőségnek tűnhet, ez fellendíti a zsarolóvírus-gazdaságot, és arra ösztönzi a kiberbűnözőket, hogy folytassák támadásaikat. A bűnüldöző és a kiberbiztonsági szakemberek azt tanácsolják, hogy ne fizessenek be, mivel nincs garancia arra, hogy a támadók betartják ígéreteiket.
Hogyan terjed a V (Dharma) Ransomware
A Dharma ransomware-t gyakran gyenge Remote Desktop Protocol (RDP) kapcsolatokon keresztül terjesztik. A támadók nyers erőt vagy szótári támadásokat alkalmaznak a bejelentkezési adatok kitalálására, és rossz biztonsági intézkedésekkel rendelkező rendszerekhez jutnak hozzá. Miután bejutottak, manuálisan végrehajtják a zsarolóprogramot, és perceken belül zárolják a fájlokat.
A fenyegetés szereplői zsarolóprogramokat is terjesztenek adathalász e-maileken, rosszindulatú mellékleteken és feltört webhelyeken keresztül. A csaló hirdetések, a kalózszoftverek és a szoftversebezhetőségek további lehetőségeket kínálnak a támadók számára a rendszerekbe való behatolásra. Még a látszólag legális letöltési oldalak is tudtukon kívül ransomware-t tartalmazó fájlokat tárolhatnak, így a felhasználók számára elengedhetetlen a letöltések hitelességének ellenőrzése.
Ransomware fertőzések megelőzése
Tekintettel a ransomware pusztító természetére, a megelőzés a legjobb stratégia. A felhasználóknak óvatosnak kell lenniük az e-mailek kezelésekor, különösen az ismeretlen feladóktól származó e-mailek kezelésekor. A gyanús csatolmányokat és hivatkozásokat kerülni kell, mert felnyitáskor fertőzést okozhatnak.
A szoftvereket mindig jó hírű forrásokból kell letölteni, például hivatalos gyártói webhelyekről és megbízható alkalmazásboltokból. A kalózprogramok és a harmadik féltől származó telepítők elkerülése minimálisra csökkenti a káros fájlok véletlen letöltésének kockázatát. Ezenkívül a vállalkozásoknak erős jelszavakkal és többtényezős hitelesítéssel kell biztosítaniuk az RDP-hozzáférést az illetéktelen hozzáférés csökkentése érdekében.
A biztonsági mentések jelentősége
A fontos adatok biztonsági mentése az egyik leghatékonyabb védekezés a ransomware ellen. A külső vagy felhőalapú rendszereken tárolt rendszeres biztonsági mentések biztosítják, hogy a fájlok visszaállíthatók legyenek anélkül, hogy meg kellene felelniük a váltságdíjköveteléseknek. Kulcsfontosságú, hogy a biztonsági másolatokat leválasztva az elsődleges eszközökről, nehogy a ransomware is titkosítsa azokat.
Végső gondolatok
A V (Dharma) Ransomware jól példázza, hogyan fejlődnek tovább a fájltitkosító fenyegetések, így az adatvédelem minden eddiginél fontosabb. Mivel a támadók különféle módszereket alkalmaznak a zsarolóvírusok terjesztésére, a tudatosság és a proaktív biztonsági intézkedések kulcsszerepet játszanak a fertőzések megelőzésében. Azzal, hogy éber marad, elkerüli a gyanús letöltéseket, és biztonságos biztonsági másolatot készít, a felhasználók és szervezetek jelentősen csökkenthetik a zsarolóvírus-támadások hatását.
