Prijatelji ransomwarea
Zaštita uređaja od zlonamjernog softvera važnija je nego ikad, jer moderne kibernetičke prijetnje mogu šifrirati vrijedne podatke, poremetiti poslovne operacije i otkriti osjetljive informacije. Ransomware, posebno, ostaje jedan od najštetnijih oblika zlonamjernog softvera jer kombinira šifriranje podataka s taktikama iznude osmišljenim da prisile žrtve da plate velike svote novca. Jedan značajan primjer je Friends Ransomware, sofisticirana prijetnja koja cilja širok raspon vrsta datoteka, a istovremeno iskorištava krađu podataka kako bi povećala vjerojatnost plaćanja.
Sadržaj
Prijatelji Ransomware: Dvostruka kibernetička prijetnja iznudom
Friends Ransomware je zlonamjerni program koji su otkrili istraživači kibernetičke sigurnosti, a koji šifrira datoteke na kompromitiranim sustavima i traži otkupninu u zamjenu za ključ za dešifriranje. Osim šifriranja datoteka, operateri koji stoje iza ove prijetnje tvrde da kradu povjerljive informacije od žrtava prije nego što zaključaju njihove podatke. Ova taktika, poznata kao dvostruka iznuda, omogućuje napadačima da prijete gubitkom podataka i javnim izlaganjem osjetljivih informacija.
Nakon što se pokrene na sustavu, Friends Ransomware skenira brojne vrste datoteka i šifrira ih. Tijekom tog procesa, dodaje ekstenziju '.friends124' pogođenim datotekama. Na primjer, datoteka pod nazivom '1.png' pretvara se u '1.png.friends124', dok '2.pdf' postaje '2.pdf.friends124'. Ova ekstenzija služi kao jasan pokazatelj da je zlonamjerni softver obradio datoteke i da im više nije moguće pristupiti uobičajenim putem.
Proces šifriranja i zahtjevi za otkupninu
Nakon završetka rutine šifriranja, ransomware stvara datoteku pod nazivom 'RANSOM_NOTE.html' koja sadrži upute za žrtvu. Napomena obavještava korisnike da su njihove datoteke šifrirane i pruža kontaktne podatke za pokretanje pregovora o otkupnini. Žrtve se upućuju da komuniciraju s napadačima putem adresa e-pošte 'recovery1@salamati.vip' i 'recovery1@amniyat.xyz'. Spominje se i alternativna metoda kontakta putem Tor mreže.
U poruci s zahtjevom za otkupninu tvrdi se da su povjerljivi i osobni podaci prikupljeni i pohranjeni na privatnom poslužitelju kojim upravljaju napadači. Prema poruci, te će informacije biti objavljene ili prodane trećim stranama ako žrtva odbije ispuniti zahtjeve za otkupninu. Kako bi uvjerili žrtve da je oporavak datoteka moguć, kriminalci nude besplatno dešifriranje dvije ili tri nebitne datoteke. U poruci se nadalje upozorava da će se iznos otkupnine povećati ako se kontakt ne uspostavi u roku od 72 sata te se žrtvama savjetuje da prije komunikacije kreiraju ProtonMail račun.
Zašto je plaćanje otkupnine rizična odluka
Žrtve često razmatraju plaćanje otkupnine kada kritične datoteke postanu nedostupne. Međutim, plaćanje kibernetičkim kriminalcima ne jamči uspješan oporavak. Brojne operacije ransomwarea naplatile su uplate bez pružanja funkcionalnih alata za dešifriranje ili su isporučivale uslužne programe koji nisu uspjeli vratiti sve pogođene podatke.
Čak i kada napadači osiguraju alat za dešifriranje, plaćanje podržava kriminalne aktivnosti i potiče buduće napade na druge pojedince i organizacije. Iz tih razloga, stručnjaci za kibernetičku sigurnost snažno ne preporučuje plaćanje zahtjeva za otkupninu. U većini incidenata, šifrirane datoteke ne mogu se vratiti bez ključa za dešifriranje napadača, osim ako ransomware ne sadrži značajne nedostatke u implementaciji koje istraživači mogu iskoristiti za razvoj besplatnog dešifratora.
Oporavak i odgovor na incidente
Neposredni prioritet nakon infekcije je uklanjanje Friends Ransomwarea iz zaraženog sustava. Uklanjanje zlonamjernog softvera pomaže u sprječavanju šifriranja dodatnih datoteka i smanjuje rizik od daljnjih zlonamjernih aktivnosti. Međutim, samo uklanjanje zlonamjernog softvera ne vraća već šifrirane podatke.
Najpouzdanija metoda oporavka uključuje vraćanje datoteka iz sigurnosnih kopija stvorenih prije nego što se zaraza dogodila. Sigurnosne kopije treba pohraniti odvojeno od primarnog sustava kako bi ostale netaknute tijekom napada. Ako su sigurnosne kopije povezane s istom mrežom ili ostaju kontinuirano dostupne, ransomware može pokušati i njih šifrirati, ostavljajući žrtve bez mogućnosti oporavka.
Kako se širi Friends Ransomware
Poput mnogih obitelji ransomwarea, Friends Ransomware oslanja se na više distribucijskih kanala kako bi došao do potencijalnih žrtava. Phishing e-poruke ostaju među najučinkovitijim metodama isporuke. Ove poruke često sadrže zlonamjerne priloge ili poveznice koje pokreću preuzimanje zlonamjernog softvera kada se otvore. Napadači obično koriste datoteke dokumenata koje sadrže zlonamjerne makroe, komprimirane arhive, izvršne datoteke, PDF-ove i JavaScript-bazirane podatke.
Dodatni vektori zaraze uključuju trojance koji tiho instaliraju ransomware, lažne mehanizme ažuriranja softvera, zlonamjerne oglase, kompromitirane web stranice i preuzimanja dobivena iz nepouzdanih izvora. Portali s besplatnim softverom, peer-to-peer mreže za dijeljenje datoteka i druge neslužbene platforme za distribuciju često sadrže zlonamjerne datoteke prikrivene kao legitimni softver. Zaraženi USB pogoni također mogu olakšati širenje ransomwarea između sustava.
Posebno čest scenarij zaraze uključuje softverske pukotine i piratske alate za aktivaciju. Kibernetički kriminalci često prikrivaju zlonamjerni softver kao besplatne alternative plaćenom softveru, iskorištavajući korisnike koji su spremni zaobići službene distribucijske kanale. Nakon što se pokrenu, ovi naizgled bezopasni programi mogu instalirati ransomware bez upozorenja.
Jačanje obrane od ransomwarea
Učinkovita zaštita od ransomwarea zahtijeva višeslojnu sigurnosnu strategiju koja kombinira tehničke mjere zaštite s sigurnim ponašanjem korisnika. Organizacije i pojedinci trebaju održavati pouzdan sigurnosni softver, osigurati da operativni sustavi i aplikacije primaju redovita ažuriranja te onemogućiti nepotrebne značajke koje bi napadači mogli zloupotrijebiti. Privitke e-pošte i poveznice iz nepoznatih ili neočekivanih izvora uvijek treba tretirati s oprezom, čak i kada se čine legitimnima.
Redovito sigurnosno kopiranje podataka među najvažnijim je obrambenim mjerama. Održavanje više sigurnosnih kopija na odvojenim lokacijama, kao što su izvanmrežni vanjski diskovi i sigurna rješenja za udaljenu pohranu, značajno poboljšava izglede za oporavak nakon napada. Testiranje sigurnosnih kopija također treba periodički provoditi kako bi se potvrdilo da se podaci mogu uspješno vratiti kada je to potrebno.
Ključne sigurnosne prakse uključuju:
- Redovito ažurirajte operativne sustave, preglednike i aplikacije najnovijim sigurnosnim zakrpama.
- Koristite renomirani softver za zaštitu krajnjih točaka s mogućnostima otkrivanja prijetnji u stvarnom vremenu.
- Održavajte više sigurnosnih kopija, uključujući barem jednu izvanmrežnu ili na neki drugi način izoliranu kopiju.
- Izbjegavajte otvaranje neželjenih privitaka u e-porukama ili klikanje na sumnjive poveznice.
- Preuzmite softver samo iz službenih i pouzdanih izvora.
- Suzdržite se od korištenja piratskog softvera, cracka ili neovlaštenih alata za aktivaciju.
- Ograničite administratorske privilegije kad god je to moguće.
- Educirajte korisnike o taktikama krađe identiteta (phishing) i napadima socijalnog inženjeringa.
Završna procjena
Friends Ransomware predstavlja ozbiljnu kibernetičku prijetnju koja kombinira enkripciju datoteka s krađom podataka i iznudom. Dodavanjem ekstenzije '.friends124' datotekama, slanjem poruke o otkupnini pod nazivom 'RANSOM_NOTE.html' i prijetnjom otkrivanjem ukradenih informacija, njegovi operateri pokušavaju maksimizirati pritisak na žrtve. Iako su mogućnosti oporavka često ograničene bez pouzdanih sigurnosnih kopija, snažne prakse kibernetičke sigurnosti, redovite sigurnosne kopije, pravovremena ažuriranja softvera i oprezno ponašanje na mreži mogu značajno smanjiti vjerojatnost uspješnog napada ransomwarea i minimizirati utjecaj u slučaju infekcije.
System Messages
The following system messages may be associated with Prijatelji ransomwarea:
Your files have been encrypted. |