Pres Ransomware: En farlig trussel fra Dharma-familien

Forståelse av Pres ransomware

Pres ransomware er et truende tilskudd til Dharma ransomware-familien . I likhet med sine forgjengere krypterer Pres ofrenes filer og krever løsepenger i bytte for å få dem gjenopprettet. Det som gjør denne varianten spesielt identifiserbar, er måten den gir nytt navn til krypterte filer. Den legger til offerets unike ID, en kontakt-e-postadresse og filtypen ".pres" til hvert filnavn. For eksempel ville en fil som opprinnelig het "document.pdf" vises som "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" etter kryptering.

I tillegg til å kryptere filer, viser Pres et popup-melding om løsepenger og plasserer en tekstfil med navnet "info.txt" i de infiserte mappene. Meldingen forteller ofrene at filene deres er kryptert og gir instruksjoner for å kontakte angriperne via e-post. Ofrene må sende sin unike ID til en av to e-postadresser: helpreserve@onionmail.org eller helpreserve@cyberfear.com.

Hva angriperne ønsker

Løsepengemeldingen forsøker å virke nyttig og til og med betryggende. Den hevder at offerets filer kan gjenopprettes, og tilbyr å dekryptere opptil tre små, ikke-sensitive filer gratis som bevis. Disse eksempelfilene må imidlertid ikke overstige 3 MB totalt, og de kan ikke inneholde sikkerhetskopier, databaser eller store regneark. Meldingen advarer også om at det å gi filer nytt navn eller bruke tredjeparts gjenopprettingsverktøy kan forårsake irreversibel skade.

I en klassisk psykologisk manipulasjonstaktikk fraråder angriperne å involvere tredjeparter, i den påstand at det kan øke løsepengene. Dette er ment å isolere offeret og øke deres avhengighet av angripernes løfter – til tross for den høye risikoen for ikke å motta noe dekrypteringsverktøy etter betaling.

Her er hva løsepengebrevet hevder:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hvordan Pres og andre løsepengevirusprogrammer fungerer

Løsepengevirus som Pres er utviklet for å holde brukernes data som gisler ved å kryptere dem med sterke algoritmer. Når filer er kryptert, blir de ubrukelige med mindre de dekrypteres med en unik nøkkel, som bare angriperne besitter. Ofrene blir vanligvis tvunget til et vanskelig valg: betale løsepengene og håpe at angriperne holder ord, eller forsøke å gjenopprette dem på andre måter.

Pres ransomware stopper ikke bare med å kryptere filer. Det sletter også Volume Shadow Copies (brukt av Windows for sikkerhetskopier), deaktiverer brannmuren for å unngå deteksjon, og prøver å opprettholde varighet ved å kopiere seg selv til et skjult sted i systemet og endre Windows-registeret. Disse taktikkene er ment å sikre at ransomware kan kjøre selv etter en systemomstart og motstå fjerningsforsøk.

Risikoen ved å betale løsepengene

Selv om det å betale løsepenger kan virke som den raskeste veien til gjenoppretting, er det et sjansespill uten garantert belønning. Angripere kan ta pengene og forsvinne, eller oppgi en defekt eller delvis dekrypteringsnøkkel. Dessuten gir betaling bare næring til ytterligere nettkriminell aktivitet og gjør løsepengeviruset mer lønnsomt og attraktivt for angripere.

I de fleste tilfeller er gjenoppretting uten sikkerhetskopier eller offisielle dekrypteringsverktøy ekstremt vanskelig. Dessverre kan sikkerhetskopier som er lagret på tilkoblede eller infiserte enheter også bli kompromittert. Derfor er effektive sikkerhetskopieringspraksiser – som å lagre kopier på frakoblede eksterne harddisker eller sikrede skytjenester – avgjørende.

Hvordan Pres ransomware sprer seg

Pres ransomware-infeksjoner er ofte et resultat av svak RDP-sikkerhet (Remote Desktop Protocol) . Nettkriminelle utnytter ofte dårlig beskyttede RDP-tjenester ved å bruke brute-force- eller ordbokangrep for å få uautorisert tilgang. Når de er inne, distribuerer de ransomware manuelt.

Andre infeksjonsmetoder inkluderer phishing-e-poster som inneholder ondsinnede vedlegg eller lenker, drive-by-nedlastinger fra upålitelige nettsteder, piratkopiert programvare pakket med skadelig programvare og villedende annonser. Brukere kan også støte på ransomware gjennom P2P-nettverk eller falske forespørsler om programvareoppdateringer. Skadevaren er vanligvis kamuflert som et legitimt program eller dokument, og lurer brukere til å aktivere infeksjonen.

Slik holder du deg beskyttet

Å forhindre ransomware som Pres begynner med smart nettbasert atferd og solide nettsikkerhetstiltak. Unngå å laste ned programvare fra uoffisielle nettsteder, hold deg unna piratkopierte programmer eller nøkkelgeneratorer, og aktiver aldri makroer i ukjente Office-dokumenter. Vær spesielt forsiktig med e-postvedlegg eller lenker fra ukjente kilder, selv om de virker presserende eller viktige.

Oppdater operativsystemet og programvaren regelmessig for å oppdatere kjente sårbarheter. Bruk anerkjente antivirusverktøy som inkluderer funksjoner for sanntidsbeskyttelse. Sikkerhetskopier viktige data ofte og lagre disse sikkerhetskopiene på trygge, frakoblede steder.

Avsluttende tanker

Pres ransomware er et annet eksempel på hvor sofistikerte og destruktive moderne ransomware-trusler har blitt. Det kombinerer teknisk snikende teknologi med sosial manipulasjon for å presse ofre til å betale løsepenger som kanskje ikke engang fører til filgjenoppretting. Ved å være årvåkne, følge beste praksis for nettsikkerhet og opprettholde sikre sikkerhetskopier, kan brukere og organisasjoner redusere risikoen for å håndtere disse digitale utpressingsordningene betraktelig.