Pres Ransomware: Ett farligt hot från Dharma-familjen

Förstå Pres Ransomware

Pres ransomware är ett hotfullt tillskott till Dharma ransomware-familjen . Liksom sina föregångare krypterar Pres offrens filer och kräver en lösensumma i utbyte mot att de återställs. Det som gör denna variant särskilt identifierbar är hur den byter namn på krypterade filer. Den lägger till offrets unika ID, en kontakt-e-postadress och filändelsen ".pres" till varje filnamn. Till exempel skulle en fil som ursprungligen hette "document.pdf" visas som "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" efter kryptering.

Förutom att kryptera filer visar Pres ett popup-meddelande om lösensumma och placerar en textfil med namnet "info.txt" i de infekterade katalogerna. Meddelandet informerar offren om att deras filer har krypterats och ger instruktioner för att kontakta angriparna via e-post. Offren måste skicka sitt unika ID till en av två e-postadresser: helpreserve@onionmail.org eller helpreserve@cyberfear.com.

Vad angriparna vill ha

Lösensumman försöker verka hjälpsam och till och med lugnande. Den påstår att offrets filer kan återställas och erbjuder att dekryptera upp till tre små, icke-känsliga filer gratis som bevis. Dessa exempelfiler får dock inte överstiga 3 MB totalt och får inte innehålla säkerhetskopior, databaser eller stora kalkylblad. Meddelandet varnar också för att namnbyte av filer eller användning av återställningsverktyg från tredje part kan orsaka oåterkalleliga skador.

I en klassisk psykologisk manipulationstaktik avråder angriparna från att involvera tredje part, i påståendet att det kan höja kostnaden för lösensumman. Detta är avsett att isolera offret och öka deras beroende av angriparnas löften – trots den höga risken att inte få något dekrypteringsverktyg efter betalning.

Här är vad lösensumman påstår:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hur Pres och andra ransomware-program fungerar

Ransomware som Pres är utformat för att hålla användarnas data som gisslan genom att kryptera den med starka algoritmer. När filer väl är krypterade blir de oanvändbara om de inte dekrypteras med en unik nyckel, som bara angriparna besitter. Offren tvingas vanligtvis till ett svårt val: betala lösensumman och hoppas att angriparna håller sitt ord, eller försöka återställa dem på andra sätt.

Pres ransomware slutar inte bara med att kryptera filer. Det tar också bort volymskuggkopior (används av Windows för säkerhetskopior), inaktiverar brandväggen för att undvika upptäckt och försöker bibehålla sin beständighet genom att kopiera sig själv till en dold plats i systemet och ändra Windows-registret. Dessa taktiker är avsedda att säkerställa att ransomware kan köras även efter en omstart av systemet och motstå borttagningsförsök.

Riskerna med att betala lösensumman

Även om det kan verka som den snabbaste vägen till återhämtning att betala lösensumman, är det en chansning utan garanterad belöning. Angripare kan ta pengarna och försvinna eller tillhandahålla en felaktig eller ofullständig dekrypteringsnyckel. Dessutom underblåser betalningen bara ytterligare cyberkriminell aktivitet och gör ransomware mer lönsamt och attraktivt för angripare.

I de flesta fall är återställning utan säkerhetskopior eller officiella dekrypteringsverktyg extremt svårt. Tyvärr kan säkerhetskopior som lagras på anslutna eller infekterade enheter också komprometteras. Därför är effektiva säkerhetskopieringsrutiner – som att lagra kopior på frånkopplade externa hårddiskar eller säkra molntjänster – avgörande.

Hur Pres Ransomware sprids

Pres ransomware-infektioner är ofta resultatet av svag RDP-säkerhet (Remote Desktop Protocol) . Cyberbrottslingar utnyttjar ofta dåligt skyddade RDP-tjänster genom att använda brute-force- eller dictionary-attacker för att få obehörig åtkomst. Väl inne distribuerar de ransomware manuellt.

Andra infektionsmetoder inkluderar nätfiskemejl som innehåller skadliga bilagor eller länkar, drive-by-nedladdningar från opålitliga webbplatser, piratkopierad programvara med skadlig kod och vilseledande annonser. Användare kan också stöta på ransomware via P2P-nätverk eller falska uppmaningar om programuppdateringar. Skadlig kod är vanligtvis förklädd till ett legitimt program eller dokument, vilket lurar användare att aktivera infektionen.

Hur man håller sig skyddad

Att förhindra ransomware som Pres börjar med smart beteende online och gedigna cybersäkerhetsåtgärder. Undvik att ladda ner programvara från inofficiella webbplatser, undvik piratkopierade program eller nyckelgeneratorer och aktivera aldrig makron i okända Office-dokument. Var särskilt försiktig med e-postbilagor eller länkar från okända källor, även om de verkar brådskande eller viktiga.

Uppdatera ditt operativsystem och din programvara regelbundet för att åtgärda kända sårbarheter. Använd välrenommerade antivirusverktyg som inkluderar funktioner för realtidsskydd. Säkerhetskopiera viktig data ofta och lagra dessa säkerhetskopior på säkra, frånkopplade platser.

Slutliga tankar

Pres ransomware är ytterligare ett exempel på hur sofistikerade och destruktiva moderna ransomware-hot har blivit. Det kombinerar teknisk smygande teknik med social manipulation för att pressa offer att betala lösensummor som kanske inte ens leder till filåterställning. Genom att vara uppmärksamma, följa bästa cybersäkerhetspraxis och upprätthålla säkra säkerhetskopior kan användare och organisationer avsevärt minska sina risker med att hantera dessa digitala utpressningssystem.