Technikos, nekilnojamojo turto ir sveikatos priežiūros įmonės nukentėjo nuo „VegaLocker Ransomware Variant“, „Zeppelin“
Nustatyta, kad „Zeppelin“ išpirkos programinė įranga, palyginti su naujesne kenkėjiškų programų grėsme, yra „VegaLocker“ išpirkos programų šeimos dalis, šalia „Jumper“ („Jamper“) ir „Buran“. Jis parašytas „Delphi“ programavimo kalba, kuri priskiriama „aukšto lygio“ kalbai. „Delphi“ šaltinio kodas yra gana sudėtingas, norint pakeisti inžinierių, o tai naudinga tik „Zeppelin“ pranašumui. „Zeppelin“ grėsmė yra konkretus „Buran“ grėsmės variantas , nes jos abi yra „Ransomware-as-a-Service“ (RaaS) infekcijos. „RaaS“ modelis leidžia nukreipti sistemą, net jei neturite žinių apie kibernetines atakas. Tai prenumeratos rūšis. Jūs užsisakote naudoti tam tikrą „RaaS“ ir atleidžiate save nuo to, kad turite patys koduoti ransomware. Užuot pasinaudoję kažkieno grasinimu. Pelnas, kurį uždirba infekcija, pasiskirsto tarp jo sukūrėjo ir asmens, mokančio už tai naudoti. „Zeppelin RaaS“ grėsmė siūlo tokį patį pelno pasiskirstymą, kokį padarė jo pirmtakas Buranas - 75% pinigų atitenka filialams, o likę 25% - „ransomware“ operatoriams.
„Zeppelin“ elektroninis pavojus pirmą kartą pasirodė 2019 m. Lapkričio mėn. Ir ne vėliau kaip per mėnesį jo tikslinį sąrašą sudarė IT ir sveikatos apsaugos pramonės įmonės. Pranešimai apie neseniai įvykusius išpuolius rodo, kad „Zeppelin“ taip pat galėjo atkreipti dėmesį į nekilnojamojo turto firmas. Panašu, kad „Zeppelin“ daugiausia dėmesio skiria subjektams, esantiems JAV ir Europoje.
„Zeppelin“ siūlo visas „RaaS“ grėsmės galimybes. Tai labai gerai sukonfigūruojama, nes galite jį modifikuoti pagal savo skonį - išpirkos sumą, pageidaujamų tikslų sąrašą, išpirkos rašto turinį, visa tai gali būti pakeista pagal jūsų pageidavimus. Taip pat galite pasirinkti, kaip jis bus diegiamas - kaip .dll ar .exe failas ar net įvyniotas į „PowerShell“ įkėlėją. Kai priimsite šiuos sprendimus, o išpirkos programa bus įdiegta į sistemą, ji ne tik vykdys šifravimą ir turto prievartavimą. Čia taip pat pateikiamas instrukcijų, dalykų, kuriuos reikia atlikti būnant mašinoje, sąrašas. Tai užbaigia įvairius procesus ir sutelkia dėmesį į tuos, kurie yra susiję su duomenų bazėmis, atsarginėmis kopijomis ir pašto serveriais.
Dar daugiau: vykdomieji failai yra trijuose užtemimo sluoksniuose. „Zeppelin“ išpirkos programinė įranga naudoja užmaskavimą, taip pat aplinkos supratimo metodus, kad sėkmingai išvengtų parašais pagrįstų galinių taškų gynybos. Tai gana sudėtinga infekcija.
„Zeppelin“ užmarštos eilutės pavyzdys. - Šaltinis: Threatvector.Cylance.com
Table of Contents
Kas seka Zeppelino įsiskverbimą?
Įvedęs „Zeppelin“ į jūsų kompiuterį, jis įdiegia save į laikiną aplanką pavadinimu „zeppelin“, kur ir gauna savo pavadinimą. Kai tik išpirkos programa įsitvirtina jūsų sistemoje, ji suveikia. Jūsų duomenims šifruoti naudojami kriptografijos algoritmai. Dokumentai, archyvai, nuotraukos, vaizdo įrašai, visa tai užrakinama. Jei norite jį atrakinti, turite laikytis išpirkos programų reikalavimų.
Norėdami užtikrinti savo failų laikymą, „Zeppelin“ prie kiekvieno jūsų kompiuteryje prideda atsitiktinių imčių plėtinį. Kiekvienas failas pervardinamas ir tampa neprieinamas. Išpirkos programinė įranga naudoja šešioliktainę skaičių sistemą. Pavyzdžiui, paveikslėlis, kuris anksčiau buvo vadinamas „1.jpg“, tampa „1.jpg.126-D7C-E67“. Be šio 3x3 plėtinio formato, „Zeppelin“ taip pat turi galimybę kiekvieno failo pabaigoje pridėti „.zeppelin“. Taigi, failas „1.jpg“ virsta „1.jpg.zeppelin“. „Ransomware“ taip pat prideda failų žymeklius prie užrakintų duomenų. Jie taip pat turi „zeppelin“ pavadinimą. Daugybė simbolių gali apsupti žymeklį, o kuriuos simbolius jis įgis, priklauso nuo jūsų naudojamo šešiabriaunio redaktoriaus ir simbolių formato.
Kai tik „Zeppelin“ suvokia jūsų failus, jums paliekamas tekstinis failas su reikalavimais. Jis vadinamas "!!! VISOS JŪSŲ Failai yra užšifruoti. TXT." Štai išpirkos raštas, kuriame išvardijama viskas, ko tikisi kibernetiniai nusikaltėliai, jei norite atgauti savo duomenų kontrolę.
„Zeppelin Ransomware“ išpirkos rašto vaizdas paprastu tekstu. - Šaltinis: i2.wp.com
Joje esanti žinutė yra tokia:
| !!! VISOS JŪSŲ Failai yra užšifruoti !!! Visi jūsų failai, dokumentai, nuotraukos, duomenų bazės ir kiti svarbūs failai yra užšifruoti. Jūs negalite to iššifruoti patys! Vienintelis būdas atkurti failus yra įsigyti unikalų privatų raktą. Tik mes galime suteikti jums šį raktą ir tik mes galime atkurti jūsų failus. Norėdami būti tikri, kad turime iššifruoklį ir jis veikia, galite atsiųsti el. Laišką: bad_sysadmin (at) protonmail [.] Com ir nemokamai iššifruoti vieną failą. Bet šis failas neturėtų būti vertingas! Ar tikrai norite atkurti failus? Rašykite el. Paštu: bad_sysadmin (at) protonmail [.] Com Jūsų asmens kodas: Dėmesio! * Negalima pervardyti užšifruotų failų. * Nemėginkite iššifruoti savo duomenų naudodamiesi trečiųjų šalių programine įranga, nes tai gali sukelti nuolatinį duomenų praradimą. * Dėl failų iššifravimo pasitelkiant trečiąsias šalis gali padidėti kaina (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiaus auka. |
„Ransomware“ teigia, kad tik unikalus iššifravimo raktas gali atrakinti jūsų failus, o jei norite jį turėti, turite susisiekti su duomenų pagrobėjais el. Paštu. Kai tik pasieksite, jie grįš pas jus su išsamesnėmis instrukcijomis, kaip antai tikslia išpirkos suma, kaip ją išsiųsti ir pan. Manoma, kad suma nesikeis su skaičiumi su trimis ar keturiais skaitmenimis, paprastai tikimasi, kad bus sumokėta „Bitcoin“ ar kita skaitmenine valiuta (kriptovaliuta).
Jokiu būdu neturėtumėte mokėti! Nepamirškite, kad turite reikalų su elektroniniais nusikaltėliais. Tai yra piktybiniai asmenys, kurie nuslėpė savo kelią į jūsų kompiuterį, užrakino jūsų failus ir dabar išvarė jus už pinigus. Neduokite šiems žmonėms nieko, ne savo laiką, ne savo energiją ir tikrai ne savo pinigus. Tai bus iššvaistytos pastangos, nes jie jus du kartus peržengs. Gavę jūsų pinigus jie nebegali jumis naudotis, todėl pereina prie kitos aukos. Neleisk šiems piktavališkiems turto prievartautojams tavęs išnaudoti.
„Zeppelin“ taikinių sąrašas
Išpirkos pranešimas yra anglų kalba, kuriame nurodomos pasirinktos infekcijos vietos. Pagrindinis „Zeppelin“ tikslas yra nukreipti į kompanijas JAV, Europoje ir Kanadoje. Atrodo, kad Rusija ir daugybė buvusių SSRS regionų neįtraukti į išpirkos programų tikslinį sąrašą. Tarp atskirtų asmenų rasite Ukrainą, Baltarusiją ir Kazachstaną. Infekcija sugeba patvirtinti, ar esate vienoje iš šių šalių, ar kur kitur, tykant aplink jūsų sistemą. Tai patikrina numatytąjį šalies kodą arba sukonfigūruotą kalbą „Windows“. Kai tik padaro savo vertinimą, jis veikia tinkamai - arba inicijuodamas ataką prieš tavo mašiną, arba pasitraukdamas iš jos.
Pirmieji „Zeppelin“ veiksmai, nukreipiantys į jūsų kompiuterį, apima pagrindinio lygio funkcijų nutraukimą. Serveriai, susieti su jūsų kompiuteriu, ir visos susijusios duomenų bazės yra pirmosios. Jūsų atsarginių kopijų nėra. Išpirkos programinė įranga seka programavimą, kad būtų užšifruoti sistemos įkrovos failai, interneto naršyklės programos, „Windows“ operacinės sistemos katalogai ir vartotojo failai, siekiant išsaugoti sistemos funkciją. Jis išjungia atkūrimą ir daro viską, kad sugadintų jūsų mašiną. Tada ateina šifravimas, po kurio seka išpirkos raštas ir mėginimai išpūsti.
Ar „Zeppelin“ perjungia pavaras, kad būtų geriau panaudotos naujos duomenų atsarginių kopijų kūrimo strategijos?
Pradėjo pranešti apie taktikos keitimą iš „Zeppelin“ išpirkos programos. Užuot šifravę mašinos duomenis po išpuolio ir reikalavę sumokėti už iššifravimą, ji bando kitokį požiūrį. „Zeppelin“ dabar pradėjo vogti failus, užrakinant juos. Tada jie priprato jus mokėti už duomenų pagrobėjus. Jei ši taktika nepasiteisins, kibernetiniai nusikaltėliai, norėdami greitai pasipelnyti, gali parduoti pavogtus duomenis tamsiajame tinkle. Tai įrodo gana pelningą požiūrį į pinigų uždirbimą, turint omenyje ir mažus, ir didelius tikslus. Kaip nustatyta, „Zeppelin“ daugiausia pradeda atakų prieš IT ir sveikatos apsaugos pramonės įmones . Tai yra subjektai, kurie, palyginti su namų vartotojais, labiau linkę laikytis taisyklių ir sumokėti išpirką. Štai kodėl jie yra „Zeppelin“ svajonių taikinys. Ši strategija, nukreipta į dideles įmones, net turi pavadinimą kibernetinių išpuolių kultūroje - „Medžioklė didelėms žaidimams“.
Didelės apimties išpirkos programų išpuolių 2019 m. JAV aukos, šaltinis: ninjarmm.com
Pakeisti strategiją tapo būtina po to, kai įmonės pradėjo kurti atsargines duomenų kopijas, kad užtikrintų, jog net ir tapusios tokios atakos auka, jos nebus priverstos mokėti. Štai kodėl tokios naujos programos kaip „Zeppelin“ kelia grėsmę išpirkos programoms.
Kaip „Zeppelin“ atsidūrė jūsų mašinoje?
„Ransomware“ infekcijos, kaip ir „Zeppelin“, yra klastingos, kai reikia įsiskverbti. Jie yra išradingi ir sugeba paslysti pro šalį jūsų nepastebėti, leisdami jums žinoti apie jų buvimą po to, kai jie streikuos.
Infekcija nukreipiama į įprastą antiką, norint įsiveržti, o geriausias ir lengviausias invazijos būdas yra netinkamos kampanijos. „Zeppelin“ vykdo didelio masto šlamšto el. Pašto kampanijas. Jei esate pakankamai naivus, kad galėtumėte atidaryti įtartinus el. Laiškus ir atsisiųsti jų turinį ar spustelėti jūsų raginamas nuorodas, užstrigsite išpirkos programomis. Elkitės atsargiai dėl el. Laiškų, kurių siuntėjų neatpažįstate ar darote, tačiau kažkas jaučiasi blogai. Pasitikėkite savo instinktais ir visada būkite ypač budrūs. Daugelis įsilaužėlių naudoja teisėtus vardus ir logotipus, kai kalbama apie jų siunčiamus el. Laiškus. Pvz., Galite gauti el. Laišką, kuriame teigiama, kad jis gautas iš „PayPal“ ar „Amazon“. Ir paprašykite dar kartą užpildyti savo asmeninę ir finansinę informaciją, kad galėtumėte patvirtinti. Arba el. Laiške gali būti sakoma, kad sąlygos ir sąlygos pasikeitė, ir jei norite sužinoti, kaip tai padaryti, turite atsisiųsti pridedamą failą. Neapsirikite dėl šios apgaulės.
Yra ir kitų invazijos būdų, į kuriuos ji taip pat gali kreiptis. Ji gali plisti per valdomų paslaugų teikėjus (MSP). Išpirkos programinė įranga užpuolė IT ir sveikatos priežiūros įmones ir nukreipė JPS, siekdama išplėsti infekcijos procesą ir užkrėsti klientus naudodama valdymo programinę įrangą. Tai taip pat gali nuvykti į jūsų sistemą Trojanuose, padirbtuose atnaujintuvuose arba naudojantis nemokama programine įranga, sugadintomis nuorodomis ir svetainėmis. Sugadinti torrentai taip pat suteikia lengvą prieigą. Į viską žiūrėkite atsargiai, o apgaulę galite pastebėti prieš patirdami naivumo ar dėmesio stokos pasekmes.
Jei nepatenkote dėl išpirkos programinės įrangos apgaulės, atidarykite „oficialų“, „svarbų“ arba „prioritetinį“ el. Laišką ir atsisiųskite priedą arba spustelėkite nuorodą, kenkėjiška programinė įranga atsisiųsta ir įdiegiama nedelsiant. Tas pats ir su padirbtais atnaujinimais, kurie, užuot įdiegę atnaujinimus, diegia kenkėjiškas programas. Sugadintos nuorodos, svetainės ir nemokama programinė įranga laikosi to paties modelio. Kaip ir Trojos arklys, jie netgi sugeba sukelti grandinines infekcijas. Atnaujinkite savo antivirusinę ar šnipinėjimo programinę įrangą ir būkite budrūs, kai naršote internete ar žiūrite savo el. Neleiskite, kad kenkėjiškos programos paslystų pro jus .
Jei norite išvengti sudėtingesnio darbo su išpirkos programomis, sukurkite visų failų atsargines kopijas. Taip pat atminkite, kad daryti šias atsargines kopijas tame pačiame kompiuteryje yra beprasmiška. Turite juos turėti atskirame įrenginyje, kad jei jūsų kompiuteris nukentėtų nuo tokio kenksmingo išpuolio, jūs bent jau žinotumėte, kad jūsų failai yra saugūs.
