V (Dharma) рансъмуер
Киберзаплахите стават все по-сложни, което прави от решаващо значение потребителите да прилагат силни мерки за сигурност, за да защитят своите устройства. Един особено агресивен рансъмуер, V (Dharma) Ransomware, шифрова файлове и изисква плащане за декриптиране. Разбирането как работи тази заплаха и възприемането на стабилни практики за сигурност е от съществено значение, за да останете в безопасност.
Съдържание
Как V (Dharma) Ransomware криптира файлове
Рансъмуерът V (Dharma) принадлежи към семейството на Dharma , добре позната група за рансъмуер, която е насочена основно към Windows системи. След като проникне в устройство, той криптира файлове и променя имената им, като добавя уникален идентификатор на жертвата, имейл адрес, контролиран от нападател, и разширението „.V“. Например файл с име „1.png“ става „1.png.id-9ECFA84E.[vijurytos@tuta.io].V“, докато „2.pdf“ се преименува на „2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V.“
След като криптирането приключи, V ransomware показва изскачаща бележка за откуп и създава текстов файл с име „info.txt“ в засегнатите директории. Бележката за откуп моли жертвите да се свържат с нападателите по имейл, включително техния уникален идентификатор. Ако не бъде получен отговор в рамките на 12 часа, се предоставя вторичен имейл адрес.
Искания за откуп и тактики
Бележката за откуп предупреждава жертвите, че техните файлове са били кодирани и могат да бъдат възстановени само чрез закупуване на инструмент за декриптиране от нападателите. За да убедят жертвите, че декриптирането е възможно, престъпниците предлагат да декриптират безплатно до три файла (под 3MB), при условие че файловете не съдържат ценни данни.
Освен това бележката обезсърчава жертвите да преименуват криптирани файлове или да се опитват да използват софтуер за декриптиране на трети страни, като предупреждава, че това може да доведе до постоянна загуба на данни или увеличени искания за откуп. Включена е връзка за закупуване на биткойни, като се подчертава, че плащанията на откуп трябва да се извършват в криптовалута.
Скрити тактики и механизми за постоянство
Рансъмуерът V споделя много черти с други варианти на Dharma, което го прави много ефективен при блокиране на жертвите от техните данни. Освен криптирането, той извършва няколко действия, за да засили задържането си върху заразена система:
- Деактивиране на функциите за сигурност: Рансъмуерът изключва системната защитна стена, за да избегне откриването.
- Изтриване на резервни копия: Премахва сенчести копия на томове (архивни файлове на Windows), което затруднява възстановяването на данни без ключ за дешифриране.
- Осигуряване на постоянство: V се копира в директорията „%LOCALAPPDATA%“ и променя ключовете за стартиране на системния регистър на Windows, за да се стартира всеки път, когато системата стартира.
- Селективно насочване: Рансъмуерът може да избегне криптиране на файлове в определени местоположения, което вероятно ще осигури непрекъсната функционалност на системата или ще избегне откриването.
Как се разпространява V (Dharma) Ransomware
Нападателите използват различни методи за разпространение на V ransomware, насочени към потребители, които несъзнателно излагат системите си на рискове за сигурността. Някои от най-често срещаните вектори на инфекция включват:
- Компрометирани услуги на протокола за отдалечен работен плот (RDP): Актьорите на заплахи използват слаби идентификационни данни на RDP, като извършват атаки с груба сила или речник, за да получат неоторизиран достъп.
- Измамни прикачени файлове и връзки към имейли: Потребителите може да получават фишинг имейли със заразени прикачени файлове или връзки, водещи към уебсайтове, които разполагат с ransomware.
- Използване на софтуерни уязвимости: Киберпрестъпниците се възползват от неотстранени пропуски в сигурността, за да инсталират рансъмуер на уязвими системи.
- Пиратски софтуер и кракнати програми: Изтеглянето на софтуер от неофициални източници увеличава риска от среща с изпълними файлове с ransomware.
- Фалшиви реклами и опасни уебсайтове: Потребителите може да бъдат подмамени да изтеглят рансъмуер чрез измамни реклами или компрометирани уебсайтове.
- Заразени USB устройства: Киберпрестъпниците понякога използват заразени външни устройства, за да разпространяват рансъмуер, когато са включени в целево устройство.
Най-добри практики за укрепване на вашата сигурност
Предотвратяването на инфекции с ransomware изисква проактивен подход към киберсигурността. Ето най-ефективните мерки, които потребителите трябва да предприемат, за да защитят своите устройства:
- Използвайте трудни за разбиване пароли и активирайте многофакторно удостоверяване (MFA) : Защитете RDP и онлайн акаунти със сложни, уникални пароли и активирайте MFA за предотвратяване на неоторизиран достъп.
- Поддържайте актуализирани софтуера и операционните системи : Редовно инсталирайте актуализации за защита, за да коригирате уязвимостите, които рансъмуерът може да използва.
- Деактивирайте неизползваните RDP услуги : Ако достъпът до отдалечен работен плот не е необходим, деактивирайте RDP, за да елиминирате общ вектор на атака.
- Редовно архивирайте данните : Съхранявайте резервни копия на външни устройства или облачни услуги, които не са директно свързани с централната система, за да предотвратите шифроването на рансъмуер.
- Бъдете предпазливи с прикачените файлове и връзки към имейли : Избягвайте достъп до неочаквани прикачени файлове към имейли или кликване върху подозрителни връзки, дори ако изглежда, че идват от надеждни източници.
- Изтегляйте софтуер само от официални източници : Избягвайте пиратски програми и програми за изтегляне от трети страни, тъй като те често съдържат зловреден код.
- Използвайте софтуер за сигурност със защита срещу рансъмуер : Въпреки че никой инструмент не гарантира пълна защита, решенията за сигурност с функции за откриване на рансъмуер могат да помогнат за предотвратяване на инфекции.
- Активирайте мрежовото сегментиране : Ако използвате множество устройства, изолирайте критичните системи от машините за общо ползване, за да ограничите способността на рансъмуера да се разпространява в мрежата.
Последни мисли
V (Dharma) Ransomware е силно разрушителна заплаха, която криптира файлове и изисква плащания на откуп от жертвите. Тъй като нападателите умишлено премахват резервни копия и деактивират функциите за сигурност, възстановяването на криптирани данни без ключ за дешифриране може да бъде изключително трудно. Най-добрата мярка да не станете жертва на ransomware е да практикувате силни навици за киберсигурност, да поддържате резервни копия на основни файлове и да бъдете бдителни, когато сърфирате в мрежата или отваряте имейли.
Съобщения
Открити са следните съобщения, свързани с V (Dharma) рансъмуер:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email vijurytos@tuta.io or vijurytos@cyberfear.com |
