Apsaugokite (MedusaLocker) Ransomware siekia užšifruoti įmonės duomenis
Nagrinėdami neseniai pateiktus failus, mūsų komanda padarė unikalų atradimą: atsirado išpirkos reikalaujančios programos variantas, žinomas kaip Protect, priklausantis MedusaLocker išpirkos reikalaujančių programų šeimai. Kaip ir kitų tipų išpirkos reikalaujančių programų atveju, pagrindinis Protect tikslas yra užšifruoti duomenis ir reikalauti išpirkos už jų iššifravimą.
Norėdami ištirti „Protect“ elgseną, savo bandymo mašinoje atlikome pavyzdį, dėl kurio failai buvo užšifruoti. Pažymėtina, kad išpirkos reikalaujanti programa prie pradinių failų pavadinimų pridėjo plėtinį „.protect3“. Pavyzdžiui, failas pavadinimu „1.jpg“ buvo pakeistas į „1.jpg.protect3“, o „2.png“ tapo „2.png.protect3“ ir pan. Verta paminėti, kad plėtinio skaitinė vertė gali skirtis priklausomai nuo konkretaus išpirkos reikalaujančios programos varianto.
Užbaigusi šifravimo procesą, Protect sugeneravo išpirkos raštą pavadinimu „How_to_back_files.html“. Pastabos turinys rodo, kad „Protect“ („MedusaLocker“) išpirkos programa yra skirta įmonėms, o ne individualiems namų vartotojams.
Išpirkos raštelis praneša aukai, kad jų įmonės tinklas buvo pažeistas, o visi svarbūs failai buvo užšifruoti naudojant RSA ir AES kriptografinius algoritmus. Jis aiškiai įspėja nepervardyti, keisti ar bandyti iššifruoti užrakintus duomenis, nes dėl tokių veiksmų jie taptų visam laikui neprieinami. Pastaboje pabrėžiama, kad tik užpuolikai turi galimybę atkurti paveiktus failus.
Be to, išpirkos rašte teigiama, kad iš pažeisto tinklo buvo ištraukta konfidenciali ir asmeninė informacija. Aukai nurodoma susisiekti su kibernetiniais nusikaltėliais per 72 valandas ir nurodoma pateikti 2–3 neesminius failus, kad būtų galima išbandyti iššifravimo procesą. Jei nesilaikysite išpirkos reikalavimų, kaltininkai pavogtus duomenis paviešins internete.
Protect Ransom Note žada iššifruoti du failus
Visas „Protect“ išpirkos rašto tekstas skamba taip:
JŪSŲ ASMENS ID:
JŪSŲ ĮMONĖS TINKLAS BUVO PASIKVERTAS
Visi jūsų svarbūs failai buvo užšifruoti!Jūsų failai yra saugūs! Tik modifikuotas. (RSA+AES)
BETOKIE BANDYMAI ATSTATYTI JŪSŲ FAILUS SU TREČIŲJŲ ŠALIŲ PROGRAMINĖ ĮRANGA
NEMOKAMAI KORUMPUOŠ.
NEMODIKUOKITE KRIPTŲ FAILŲ.
NEPERVARDYKITE KRIPTŲ FAILŲ.Jokia internete prieinama programinė įranga negali jums padėti. Mes vieninteliai sugebame
išspręsti savo problemą.Mes rinkome labai konfidencialius / asmeninius duomenis. Šiuo metu šie duomenys yra saugomi
privatus serveris. Šis serveris bus nedelsiant sunaikintas po jūsų mokėjimo.
Jei nuspręsite nemokėti, mes paskelbsime jūsų duomenis viešai arba perpardavėjui.
Taigi galite tikėtis, kad artimiausiu metu jūsų duomenys bus viešai prieinami.Mes tik siekiame pinigų ir mūsų tikslas nėra pakenkti jūsų reputacijai ar užkirsti kelią
jūsų verslas nebebus vykdomas.Galite atsiųsti mums 2-3 nesvarbius failus ir mes juos iššifruosime nemokamai
įrodyti, kad galime grąžinti jūsų failus.Susisiekite su mumis dėl kainos ir gaukite iššifravimo programinę įrangą.
paštas:
ithelp01@securitymy.name
ithelp01@yousheltered.com
- Norėdami susisiekti su mumis, susikurkite naują nemokamą el. pašto paskyrą svetainėje: protonmail.com
JEI NESUSISIEKITE SU MUMIS PER 72 VALANDAS, KAINA BUS DIDESNĖ.- „Tor-chat“, kad visada palaikytumėte ryšį:
Kaip galite apsaugoti savo vertingus duomenis nuo Ransomware?
Norint apsaugoti vertingus duomenis nuo išpirkos reikalaujančių programų, reikalingas aktyvus ir daugiasluoksnis požiūris. Štai keli žingsniai, kurių galite imtis norėdami sustiprinti savo apsaugą nuo išpirkos reikalaujančių programų atakų:
- Duomenų atsarginė kopija: reguliariai kurkite atsargines svarbių failų ir duomenų kopijas išoriniame įrenginyje arba debesies saugykloje. Įsitikinkite, kad atsarginės kopijos yra neprisijungusios arba saugomos atskirame tinkle, kad jos nebūtų pažeistos atakos metu. Patikrinkite atsarginių kopijų vientisumą ir išbandykite atkūrimo procesą, kad įsitikintumėte, jog jie yra veiksmingi.
- Atnaujinkite programinę įrangą: atnaujinkite operacinę sistemą, programas ir saugos programinę įrangą. Kai tik įmanoma, įjunkite automatinius naujinimus, kad įsitikintumėte, jog turite naujausius pataisymus ir saugos pataisymus, nes jie dažnai pašalina pažeidžiamumą, kurį gali išnaudoti išpirkos reikalaujančios programos.
- Naudokite patikimą saugos programinę įrangą: įdiekite patikimą antivirusinę ir kenkėjiškų programų programinę įrangą visuose savo įrenginiuose. Įgalinkite nuskaitymą realiuoju laiku ir automatinius naujinimus, kad aptiktumėte ir blokuotumėte išpirkos reikalaujančias programas. Apsvarstykite galimybę naudoti programinę įrangą, kuri siūlo elgesiu pagrįstą aptikimą, kad nustatytų įtartiną veiklą.
- Būkite atsargūs su el. paštu ir atsisiuntimais: būkite atsargūs atidarydami el. pašto priedus arba spustelėdami nuorodas, ypač iš nežinomų siuntėjų arba įtartinų el. laiškų. Venkite atsisiųsti failų iš nepatikimų šaltinių ir nesilankykite rizikingose svetainėse, kuriose gali būti kenkėjiško turinio. Įdiekite el. pašto filtravimo ir žiniatinklio filtravimo sprendimus, kad blokuotumėte žinomus kenkėjiškus priedus ir URL.
- Įgalinti užkardą ir įsibrovimų aptikimo sistemas: įgalinkite tinkle ir įrenginiuose esančias ugniasienes, kad būtų galima filtruoti kenkėjišką tinklo srautą. Be to, apsvarstykite galimybę įdiegti įsibrovimų aptikimo ir prevencijos sistemas (IDPS), kad galėtumėte stebėti ir blokuoti neteisėtos prieigos bandymus.
- Išjungti makrokomandas ir aktyvųjį turinį: išjunkite makrokomandas biuro produktyvumo programinėje įrangoje, pvz., „Microsoft Office“, nebent jos reikalingos jūsų darbui. Būkite atsargūs įgalindami aktyvų turinį, pvz., makrokomandas arba „JavaScript“, dokumentuose ar svetainėse, nes jie gali būti naudojami išpirkos reikalaujančių programų siuntimui.
- Naudokite stiprius, unikalius slaptažodžius: įdiekite stiprius, unikalius slaptažodžius visose paskyrose, įskaitant operacinę sistemą, programas ir internetines paslaugas. Apsvarstykite galimybę naudoti slaptažodžių tvarkyklę, kad galėtumėte saugiai saugoti ir generuoti sudėtingus slaptažodžius.
