Kas yra Lucky Ransomware?
„Lucky“ yra išpirkos reikalaujančios programinės įrangos rūšis, kurią mūsų tyrėjai aptiko reguliariai tikrindami naujus pateikimus „VirusTotal“ svetainėje. Jis priklauso Phobos ransomware šeimai.
Table of Contents
Šifravimo ir išpirkos užrašai
Lucky ransomware užšifruoja aukos kompiuteryje esančius failus ir pakeičia jų failų pavadinimus. Originalūs pavadinimai pridedami su unikaliu ID, kibernetinių nusikaltėlių el. pašto adresu ir plėtiniu „.Lucky“. Pavyzdžiui, failas pavadinimu „1.jpg“ būtų rodomas kaip „1.jpg.id[9ECFA84E-3451].[ dopingen@rambler.ru ].Lucky“.
Užbaigus šifravimo procesą, Lucky sukuria išpirkos raštelius iššokančiojo lango („info.hta“) ir tekstinio failo („info.txt“) pavidalu.
Išpirkos mokėjimo rizika ir pasekmės
Tekstiniame faile esantis išpirkos raštas tiesiog informuoja auką, kad jų failai buvo užšifruoti, ir nurodo susisiekti su užpuolikais. Iššokančiame lange pateikiama pastaba daugiau informacijos apie infekciją, kurioje teigiama, kad auka turi sumokėti išpirką Bitcoin kriptovaliuta, kad iššifruotų savo duomenis. Užpuolikai leidžia aukai išbandyti iššifravimo procesą išsiųsdami iki penkių užšifruotų failų.
Tačiau išpirkos sumokėjimas negarantuoja, kad bus pateikti iššifravimo raktai ar programinė įranga. Tiesą sakant, daugelis aukų, sumokėjusių išpirką, negauna žadėtų iššifravimo įrankių. Primygtinai nerekomenduojama mokėti išpirkos, nes tai palaiko nelegalią veiklą ir nėra garantijos dėl duomenų atkūrimo.
Lucky Ransomware prevencija ir pašalinimas
Kad Lucky ransomware neužšifruotų daugiau failų, labai svarbu ją pašalinti iš operacinės sistemos. Tačiau pašalinus išpirkos reikalaujančią programą, pažeisti failai nebus atkurti. Vienintelis sprendimas yra atkurti failus iš atsarginės kopijos, jei ji yra. Duomenų saugos sumetimais labai rekomenduojama atsargines kopijas saugoti keliose atskirose vietose, pvz., nuotoliniuose serveriuose ir atjungtuose saugojimo įrenginiuose.
Be Lucky ransomware, egzistuoja ir daug kitų išpirkos reikalaujančių programų. Kai kurie pavyzdžiai: Rajah, Snea575 (Chaosas), Waqq ir Gaqq. Nors šios programos veikia panašiai, jos skiriasi savo naudojamais kriptografiniais algoritmais ir reikalaujamos išpirkos dydžiu.
Išpirkos reikalaujančios programos, įskaitant „Lucky“, daugiausia platinamos naudojant sukčiavimo ir socialinės inžinerijos metodus. Kenkėjiškos programos dažnai yra užmaskuotos kaip įprasta programinė įranga ar laikmenos arba su ja susietos.
Užkrečiami failai gali būti archyvų (ZIP, RAR), vykdomųjų failų (.exe, .run), dokumentų (Microsoft Office, Microsoft OneNote), JavaScript ir kt.