Pres Ransomware: pavojinga grėsmė iš Dharmos šeimos
Table of Contents
„Pre Ransomware“ supratimas
„Pres“ išpirkos reikalaujanti programa yra grėsmingas „Dharma“ išpirkos reikalaujančių programų šeimos papildymas. Kaip ir jos pirmtakai, „Pres“ šifruoja aukų failus ir reikalauja išpirkos už jų atkūrimą. Šią variantą ypač lengva atpažinti dėl to, kaip ji pervadina užšifruotus failus. Prie kiekvieno failo pavadinimo pridedamas unikalus aukos ID, kontaktinis el. pašto adresas ir plėtinys „.pres“. Pavyzdžiui, failas, kurio pradinis pavadinimas buvo „document.pdf“, po šifravimo atrodytų kaip „document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres“.
Kartu su failų šifravimu „Pres“ rodo iššokantįjį išpirkos reikalavimo pranešimą ir į užkrėstus katalogus įdeda tekstinį failą pavadinimu „info.txt“ . Pranešime aukoms pranešama, kad jų failai buvo užšifruoti, ir pateikiamos instrukcijos, kaip susisiekti su užpuolikais el. paštu. Aukos privalo nusiųsti savo unikalų ID vienu iš dviejų el. pašto adresų: helpreserve@onionmail.org arba helpreserve@cyberfear.com.
Ko nori užpuolikai
Išpirkos raštelis bando atrodyti naudingas ir netgi raminantis. Jame teigiama, kad aukos failus galima atkurti, ir siūloma nemokamai iššifruoti iki trijų mažų, neskelbtinų failų kaip įrodymą. Tačiau šie pavyzdiniai failai neturi viršyti 3 MB bendro dydžio ir negali apimti atsarginių kopijų, duomenų bazių ar didelių skaičiuoklių. Rašte taip pat įspėjama, kad failų pervadinimas ar trečiųjų šalių atkūrimo įrankių naudojimas gali padaryti negrįžtamą žalą.
Klasikinėje psichologinės manipuliacijos taktikoje užpuolikai pataria neįtraukti trečiųjų šalių, teigdami, kad tai gali padidinti išpirkos kainą. Taip siekiama izoliuoti auką ir padidinti jos pasitikėjimą užpuolikų pažadais, nepaisant didelės rizikos, kad po apmokėjimo nebus gauta jokia iššifravimo priemonė.
Štai kas teigiama išpirkos raštelyje:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Kaip veikia „Pres“ ir kitos išpirkos reikalaujančios programos
Tokia išpirkos reikalaujanti programinė įranga kaip „Pres“ sukurta tam, kad vartotojų duomenys būtų laikomi įkaitais, juos užšifruojant stipriais algoritmais. Užšifruoti failai tampa nebenaudojami, nebent jie būtų iššifruoti unikaliu raktu, kurį turi tik užpuolikai. Aukos paprastai priverstos rinktis: sumokėti išpirką ir tikėtis, kad užpuolikai ištesės savo žodį, ar bandyti atkurti duomenis kitomis priemonėmis.
Išpirkos reikalaujanti programa „Pres“ neapsiriboja vien failų šifravimu. Ji taip pat ištrina šešėlines kopijas (naudojamas „Windows“ atsarginėms kopijoms), išjungia užkardą, kad nebūtų aptikta, ir bando išlaikyti viruso plitimą, kopijuodama save į paslėptą sistemos vietą ir keisdama „Windows“ registrą. Ši taktika skirta užtikrinti, kad išpirkos reikalaujanti programa galėtų veikti net ir po sistemos paleidimo iš naujo ir būtų išvengta pašalinimo pastangų.
Išpirkos mokėjimo rizika
Nors išpirkos sumokėjimas gali atrodyti kaip greičiausias kelias į atsigavimą, tai rizikingas rizikavimas be garantuoto atlygio. Užpuolikai gali paimti pinigus ir dingti arba pateikti klaidingą ar dalinį iššifravimo raktą. Be to, mokėjimas tik skatina tolesnę kibernetinių nusikaltėlių veiklą ir daro išpirkos reikalaujančias programas pelningesnes ir patrauklesnes užpuolikams.
Daugeliu atvejų atkurti duomenis be atsarginių kopijų ar oficialių iššifravimo įrankių yra itin sunku. Deja, atsarginės kopijos, saugomos prijungtuose arba užkrėstuose įrenginiuose, taip pat gali būti pažeistos. Todėl labai svarbu veiksmingai kurti atsargines kopijas, pavyzdžiui, saugoti kopijas atjungtuose išoriniuose diskuose arba apsaugotose debesijos paslaugose.
Kaip plinta „Pres“ išpirkos reikalaujanti programa
Išpirkos reikalaujančios programinės įrangos infekcijos dažniausiai kyla dėl silpno nuotolinio darbalaukio protokolo (RDP) saugumo. Kibernetiniai nusikaltėliai dažnai išnaudoja prastai apsaugotas RDP paslaugas, naudodami grubios jėgos arba žodyno atakas, kad gautų neteisėtą prieigą. Patekę į sistemą, jie rankiniu būdu įdiegia išpirkos reikalaujančią programinę įrangą.
Kiti užkrėtimo būdai apima sukčiavimo el. laiškus su kenkėjiškais priedais ar nuorodomis, automatinius atsisiuntimus iš nepatikimų svetainių, piratinę programinę įrangą su kenkėjiška programa ir klaidinančius skelbimus. Vartotojai taip pat gali susidurti su išpirkos reikalaujančiomis programomis per P2P tinklus arba suklastotus programinės įrangos atnaujinimo raginimus. Kenkėjiška programa paprastai užmaskuota kaip teisėta programa ar dokumentas, apgaulingai priverčiant vartotojus aktyvuoti infekciją.
Kaip išlikti apsaugotiems
Išpirkos reikalaujančių programų, tokių kaip „Pres“, prevencija prasideda nuo protingo elgesio internete ir patikimų kibernetinio saugumo priemonių. Venkite programinės įrangos atsisiuntimo iš neoficialių svetainių, venkite piratinių programų ar raktų generatorių ir niekada neleiskite makrokomandų nepažįstamuose „Office“ dokumentuose. Būkite ypač atsargūs su el. laiškų priedais ar nuorodomis iš nežinomų šaltinių, net jei jos atrodo skubios ar svarbios.
Reguliariai atnaujinkite operacinę sistemą ir programinę įrangą, kad pašalintumėte žinomus pažeidžiamumus. Naudokite patikimas antivirusines priemones, turinčias realaus laiko apsaugos funkcijas. Dažnai kurkite svarbių duomenų atsargines kopijas ir laikykite jas saugiose, neprisijungusiose prie interneto vietose.
Baigiamosios mintys
Išpirkos reikalaujanti programinė įranga yra dar vienas pavyzdys, kokios sudėtingos ir destruktyvios tapo šiuolaikinės išpirkos reikalaujančios programinės įrangos grėsmės. Ji derina techninį slaptumą su socialiniu manipuliavimu, kad priverstų aukas mokėti išpirkas, kurios gali net nepaduoti atkurti failų. Būdami budrūs, laikydamiesi geriausios kibernetinio saugumo praktikos ir tvarkydami saugias atsargines kopijas, vartotojai ir organizacijos gali gerokai sumažinti riziką, susijusią su šiomis skaitmeninio turto prievartavimo schemomis.
