FIND Ransomware

Защитата на вашите устройства от зловреден софтуер се е превърнала в необходимост, а не в избор. Киберпрестъпниците продължават да развиват тактиките си, създавайки все по-сложни щамове на ransomware, предназначени да експлоатират дори малки слабости в сигурността. FIND Ransomware, наскоро открит вариант от скандалното семейство Dharma, е пример за сложността и постоянството на съвременните ransomware операции.

Вътре в атаката FIND Ransomware

FIND Ransomware работи със същата безмилостна ефективност, която е направила Dharma едно от най-активните семейства ransomware. След изпълнението си, зловредният софтуер започва да криптира файловете на жертвата, правейки ги недостъпни. В процеса той преименува всеки файл, като добавя уникалния идентификатор на жертвата, контролиран от нападателя имейл адрес и разширението „.FIND“ – например, преименувайки „1.png“ на „1.png.id-9ECFA84E.[findourtxt@tuta.io
].FIND.' Друг наблюдаван вариант на тази заплаха използва разширението '.FIND5'.

След криптиране, рансъмуерът изпълнява исканията си чрез два канала – изскачащо съобщение и файл с искане за откуп, озаглавен „info.txt“. Бележката информира жертвите, че файловете им са криптирани и ги инструктира да се свържат с нападателите чрез един от двата имейл адреса – „findourtxt@tuta.io“ или „findourtxt@mailum.com“ – използвайки зададения им идентификатор.

В искането за откуп се твърди още, че част от данните на жертвата са били откраднати и се предупреждава, че неспазването на изискванията ще доведе до продажба или споделяне на открадната информация с трети страни. Също така се обезкуражава жертвите да преименуват файлове или да се опитват да декриптират данни с помощта на инструменти на трети страни, като се твърди, че подобни действия могат да доведат до трайна загуба на данни или по-високи искания за откуп.

Как работи FIND Ransomware

Подобно на други варианти на Dharma, FIND Ransomware следва многоетапен процес на заразяване, предназначен да увеличи максимално въздействието и устойчивостта. След като е активен в системата, зловредният софтуер криптира файлове както на локални, така и на мрежови устройства, като се насочва към широк спектър от типове данни и дори изтрива Volume Shadow Copies, за да предотврати лесното им възстановяване.

Той също така променя системните настройки, като деактивира защитната стена на Windows, установява постоянство, като поставя копия на себе си в директорията %LOCALAPPDATA% и добавя записи в ключовете на системния регистър „Run“. Освен това, някои варианти, базирани на Dharma, събират данни за местоположението и могат да изключат конкретни системни папки или устройства от криптиране, вероятно по оперативни или стратегически причини.

Вектори на инфекцията и канали за разпространение

FIND Ransomware, подобно на своите предшественици, се разпространява чрез комбинация от измамни и опортюнистични методи. Киберпрестъпниците използват фишинг кампании, злонамерени прикачени файлове и измамни връзки, вградени в имейли, за да подведат потребителите да инициират инфекцията. Други често срещани методи за разпространение включват:

1. Неконтролируеми изтегляния от компрометирани или злонамерени уебсайтове.
2. Инсталиране чрез пиратски софтуер, фалшиви актуализации или кракнати приложения.
3. Експлоатация на неотстранени софтуерни уязвимости и слаби конфигурации на протокола за отдалечен работен плот (RDP).
4. Злонамерени реклами, P2P мрежи и заразени сменяеми устройства (USB).

След като бъде инсталиран, FIND криптира важни данни и изисква плащане, често в криптовалута, за предоставяне на ключ за декриптиране - въпреки че няма гаранция, че плащането ще доведе до успешно възстановяване.

Най-добри практики за сигурност, за да останете защитени

Защитата срещу ransomware като FIND изисква многопластов и проактивен подход. Потребителите и организациите могат значително да намалят риска от инфекция, като приложат следните основни практики:

1. Засилване на сигурността на устройствата и мрежата :

• Редовно актуализирайте операционните системи, браузърите и софтуера, за да отстранявате известни уязвимости.
• Конфигурирайте защитни стени и антивирусни инструменти за откриване и блокиране на подозрителни дейности.
• Деактивирайте RDP достъпа, ако не е необходим, или го ограничете чрез силни пароли, многофакторно удостоверяване и бял списък с IP адреси.

2. Прилагайте навици за безопасно сърфиране и работа с имейли :

• Избягвайте да отваряте непоискани прикачени файлове или да кликвате върху връзки от неизвестни податели.
• Изтегляйте софтуер само от реномирани източници и избягвайте торенти или кракнати програми.
• Бъдете внимателни, когато отговаряте на неочаквани съобщения от типа „спешно“ или „предупреждение за сигурност“.

3. Поддържайте надеждни резервни копия :

• Съхранявайте офлайн или облачни резервни копия на важни данни.

• Уверете се, че резервните устройства са изключени след употреба, за да предотвратите криптиране по време на атака.

4. Обучете и подгответе :

• Обучете всички потребители как да разпознават опити за фишинг и злонамерено поведение.
• Разработете план за реагиране при инциденти, в който да се очертаят ясни стъпки за изолиране на заразените системи и възстановяване на операциите.

Заключителни мисли

FIND Ransomware представлява поредната еволюция в упорито и разрушително семейство Dharma. Чрез криптиране на ценни данни, подправяне на настройките за сигурност и използване на психологически натиск чрез писма за откуп, този зловреден софтуер представлява сериозна заплаха както за отделни лица, така и за организации.

Поддържането на силна киберсигурност, бдителността срещу подозрителна онлайн активност и редовното архивиране на данни остават най-ефективните защити срещу подобни заплахи от ransomware.