Pres Ransomware: Niebezpieczne zagrożenie ze strony rodziny Dharma

Zrozumienie Pres Ransomware

Pres ransomware to groźny dodatek do rodziny ransomware Dharma . Podobnie jak jego poprzednicy, Pres szyfruje pliki ofiar i żąda okupu w zamian za ich odzyskanie. To, co czyni tę odmianę szczególnie rozpoznawalną, to sposób, w jaki zmienia nazwy zaszyfrowanych plików. Dodaje unikalny identyfikator ofiary, adres e-mail kontaktowy i rozszerzenie „.pres” do każdej nazwy pliku. Na przykład plik pierwotnie nazwany „document.pdf” po zaszyfrowaniu pojawiłby się jako „document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres”.

Oprócz szyfrowania plików Pres wyświetla wyskakującą notatkę o okupie i umieszcza plik tekstowy o nazwie „info.txt” w zainfekowanych katalogach. Wiadomość informuje ofiary, że ich pliki zostały zaszyfrowane i zawiera instrukcje dotyczące kontaktowania się z atakującymi za pośrednictwem poczty e-mail. Ofiary muszą wysłać swój unikalny identyfikator na jeden z dwóch adresów e-mail: helpreserve@onionmail.org lub helpreserve@cyberfear.com.

Czego chcą atakujący

Notatka o okupie próbuje wydawać się pomocna, a nawet uspokajająca. Twierdzi, że pliki ofiary można odzyskać i oferuje bezpłatne odszyfrowanie do trzech małych, niewrażliwych plików jako dowód. Jednak te przykładowe pliki nie mogą przekraczać 3 MB i nie mogą zawierać kopii zapasowych, baz danych ani dużych arkuszy kalkulacyjnych. Notatka ostrzega również, że zmiana nazw plików lub korzystanie z narzędzi do odzyskiwania stron trzecich może spowodować nieodwracalne uszkodzenia.

W klasycznej taktyce manipulacji psychologicznej atakujący odradzają angażowanie osób trzecich, twierdząc, że może to podnieść koszt okupu. Ma to na celu odizolowanie ofiary i zwiększenie jej zaufania do obietnic atakujących — pomimo wysokiego ryzyka nieotrzymania narzędzia deszyfrującego po dokonaniu płatności.

Oto, co czytamy w liście z żądaniem okupu:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Jak działają Pres i inne programy ransomware

Ransomware, takie jak Pres, ma na celu przetrzymywanie danych użytkowników jako zakładników poprzez szyfrowanie ich za pomocą silnych algorytmów. Po zaszyfrowaniu pliki stają się bezużyteczne, chyba że zostaną odszyfrowane za pomocą unikalnego klucza, który posiadają tylko atakujący. Ofiary są zazwyczaj zmuszane do trudnego wyboru: zapłacić okup i mieć nadzieję, że atakujący dotrzymają słowa, czy spróbować odzyskać dane innymi sposobami.

Pres ransomware nie ogranicza się tylko do szyfrowania plików. Usuwa również Volume Shadow Copies (używane przez system Windows do tworzenia kopii zapasowych), wyłącza zaporę, aby uniknąć wykrycia, i próbuje utrzymać trwałość, kopiując się do ukrytej lokalizacji w systemie i zmieniając rejestr systemu Windows. Te taktyki mają na celu zapewnienie, że ransomware będzie działać nawet po ponownym uruchomieniu systemu i będzie opierać się próbom usunięcia.

Ryzyko związane z płaceniem okupu

Chociaż zapłacenie okupu może wydawać się najszybszą drogą do odzyskania, jest to hazard bez gwarantowanej nagrody. Atakujący mogą wziąć pieniądze i zniknąć lub dostarczyć wadliwy lub częściowy klucz deszyfrujący. Ponadto płacenie tylko napędza dalszą aktywność cyberprzestępczą i sprawia, że ransomware jest bardziej dochodowe i atrakcyjne dla atakujących.

W większości przypadków odzyskiwanie bez kopii zapasowych lub oficjalnych narzędzi do deszyfrowania jest niezwykle trudne. Niestety kopie zapasowe przechowywane na podłączonych lub zainfekowanych urządzeniach również mogą zostać naruszone. Dlatego skuteczne praktyki tworzenia kopii zapasowych — takie jak przechowywanie kopii na odłączonych dyskach zewnętrznych lub zabezpieczonych usługach w chmurze — są krytyczne.

Jak rozprzestrzenia się Pres Ransomware

Infekcje ransomware Pres są zazwyczaj wynikiem słabego zabezpieczenia protokołu RDP (Remote Desktop Protocol) . Cyberprzestępcy często wykorzystują słabo chronione usługi RDP, stosując ataki siłowe lub słownikowe, aby uzyskać nieautoryzowany dostęp. Po dostaniu się do środka, ręcznie wdrażają ransomware.

Inne metody infekcji obejmują wiadomości e-mail phishing zawierające złośliwe załączniki lub linki, pobieranie plików z podejrzanych witryn, pirackie oprogramowanie połączone ze złośliwym oprogramowaniem i oszukańcze reklamy. Użytkownicy mogą również napotkać ransomware za pośrednictwem sieci P2P lub fałszywych monitów o aktualizację oprogramowania. Złośliwe oprogramowanie jest zwykle maskowane jako legalny program lub dokument, oszukując użytkowników, aby aktywowali infekcję.

Jak zachować ochronę

Zapobieganie ransomware, takiemu jak Pres, zaczyna się od mądrego zachowania online i solidnych środków cyberbezpieczeństwa. Unikaj pobierania oprogramowania z nieoficjalnych stron internetowych, trzymaj się z daleka od pirackich programów lub generatorów kluczy i nigdy nie włączaj makr w nieznanych dokumentach Office. Zachowaj szczególną ostrożność w przypadku załączników e-mail lub linków z nieznanych źródeł, nawet jeśli wydają się pilne lub ważne.

Regularnie aktualizuj system operacyjny i oprogramowanie, aby załatać znane luki w zabezpieczeniach. Używaj renomowanych narzędzi antywirusowych, które obejmują funkcje ochrony w czasie rzeczywistym. Często twórz kopie zapasowe ważnych danych i przechowuj je w bezpiecznych, odłączonych lokalizacjach.

Ostatnie przemyślenia

Pres ransomware to kolejny przykład tego, jak wyrafinowane i destrukcyjne stały się współczesne zagrożenia ransomware. Łączy techniczne ukrywanie się z manipulacją społeczną, aby zmusić ofiary do zapłacenia okupu, który może nawet nie doprowadzić do odzyskania plików. Pozostając czujnym, stosując się do najlepszych praktyk cyberbezpieczeństwa i utrzymując bezpieczne kopie zapasowe, użytkownicy i organizacje mogą znacznie zmniejszyć ryzyko związane z tymi cyfrowymi schematami wymuszeń.