FIND Ransomware

Įrenginių apsauga nuo kenkėjiškų programų tapo būtinybe, o ne pasirinkimu. Kibernetiniai nusikaltėliai toliau tobulina savo taktiką, kurdami vis sudėtingesnes išpirkos reikalaujančias programas, skirtas išnaudoti net ir nedidelius saugumo trūkumus. „FIND Ransomware“ – neseniai atrastas liūdnai pagarsėjusios „Dharma“ šeimos variantas – yra šiuolaikinių išpirkos reikalaujančių programų operacijų sudėtingumo ir atkaklumo pavyzdys.

FIND išpirkos reikalaujančios programinės įrangos atakos viduje

„FIND“ išpirkos reikalaujanti programa veikia tokiu pat negailestingu efektyvumu, kuris „Dharma“ pavertė viena aktyviausių išpirkos reikalaujančių programų šeimų. Paleidus programą, ji pradeda šifruoti aukos failus, todėl jie tampa neprieinami. Proceso metu ji pervadina kiekvieną failą, pridėdama unikalų aukos ID, užpuoliko valdomą el. pašto adresą ir plėtinį „.FIND“, pavyzdžiui, pervadindama „1.png“ į „1.png.id-9ECFA84E.[findourtxt@tuta.io].
].FIND.“ Kitas pastebėtas šios grėsmės variantas vietoj jo naudoja plėtinį „.FIND5“.

Po užšifravimo išpirkos reikalaujanti programa savo reikalavimus pateikia dviem kanalais – iššokančiuoju pranešimu ir išpirkos reikalaujančiu rašteliu pavadinimu „info.txt“. Rašte aukos informuojamos, kad jų failai užšifruoti, ir nurodoma susisiekti su užpuolikais vienu iš dviejų el. pašto adresų – „findourtxt@tuta.io“ arba „findourtxt@mailum.com“ – naudojant jiems priskirtą ID.

Išpirkos raštelyje taip pat teigiama, kad dalis aukos duomenų buvo pavogta, ir įspėjama, kad nesilaikant reikalavimų pavogta informacija bus parduota arba bendrinama su trečiosiomis šalimis. Taip pat aukos neskatinamos pervadinti failų ar bandyti iššifruoti duomenis naudojant trečiųjų šalių įrankius, teigiant, kad tokie veiksmai gali lemti negrįžtamą duomenų praradimą arba didesnius išpirkos reikalavimus.

Kaip veikia FIND išpirkos reikalaujanti programa

Kaip ir kiti „Dharma“ variantai, „FIND Ransomware“ virusas taiko daugiapakopį užkrėtimo procesą, skirtą maksimaliam poveikiui ir išlikimui. Kai kenkėjiška programa tampa aktyvi sistemoje, ji užšifruoja failus tiek vietiniuose, tiek tinklo diskuose, taikydama į įvairius duomenų tipus ir netgi ištrindama šešėlines kopijas, kad būtų išvengta lengvo atkūrimo.

Ji taip pat keičia sistemos nustatymus, išjungdama „Windows“ užkardą, užtikrindama duomenų saugumą įkeldama savo kopijas į katalogą %LOCALAPPDATA% ir pridėdama įrašų į registro raktus „Run“. Be to, kai kurie „Dharma“ pagrindu sukurti variantai renka vietos duomenis ir gali nešifruoti tam tikrų sistemos aplankų ar diskų, greičiausiai dėl operacinių ar strateginių priežasčių.

Infekcijos vektoriai ir platinimo kanalai

„FIND“ išpirkos reikalaujanti programa, kaip ir jos pirmtakai, plinta apgaulingais ir oportunistiniais metodais. Kibernetiniai nusikaltėliai naudoja sukčiavimo kampanijas, kenkėjiškus priedus ir apgaulingas nuorodas, įterptas į el. laiškus, kad apgautų vartotojus ir paskatintų juos pradėti užkrėtimą. Kiti įprasti platinimo būdai:

1. Automatiniai atsisiuntimai iš pažeistų ar kenkėjiškų svetainių.
2. Diegimas naudojant piratinę programinę įrangą, netikrus atnaujinimus arba nulaužtas programas.
3. Neištaisytų programinės įrangos pažeidžiamumų ir silpnų nuotolinio darbalaukio protokolo (RDP) konfigūracijų išnaudojimas.
4. Kenkėjiškos reklamos, P2P tinklai ir užkrėsti išimami diskai (USB).

Įdiegus FIND, ji užšifruoja svarbius duomenis ir reikalauja mokėjimo, dažnai kriptovaliuta, už iššifravimo rakto pateikimą, nors nėra garantijos, kad mokėjimas leis sėkmingai atkurti duomenis.

Geriausios saugumo praktikos, skirtos apsaugoti

Apsauga nuo išpirkos reikalaujančių virusų, tokių kaip FIND, reikalauja daugiasluoksnio ir proaktyvaus požiūrio. Vartotojai ir organizacijos gali gerokai sumažinti užkrėtimo riziką įgyvendindamos šias esmines praktikas:

1. Sustiprinkite įrenginio ir tinklo saugumą :

• Reguliariai atnaujinkite operacines sistemas, naršykles ir programinę įrangą, kad pašalintumėte žinomus pažeidžiamumus.
• Konfigūruokite užkardas ir antivirusines programas, kad jos aptiktų ir blokuotų įtartiną veiklą.
• Jei nereikia, išjunkite RDP prieigą arba apribokite ją naudodami stiprius slaptažodžius, daugiafaktorinį autentifikavimą ir IP adresų baltąjį sąrašą.

2. Laikykitės saugaus naršymo ir el. pašto įpročių :

• Venkite atidaryti nepageidaujamų priedų arba spustelėti nuorodų iš nežinomų siuntėjų.
• Programinę įrangą siųskite tik iš patikimų šaltinių ir venkite torentų ar nulaužtų programų.
• Būkite atsargūs reaguodami į netikėtus „skubius“ arba „saugumo įspėjimo“ pranešimus.

3. Palaikykite patikimas atsargines kopijas :

• Kurkite svarbiausių duomenų atsargines kopijas neprisijungus arba debesyje.

• Įsitikinkite, kad atsarginių kopijų įrenginiai yra atjungti po naudojimo, kad būtų išvengta šifravimo atakos metu.

4. Mokytis ir ruoštis :

• Apmokykite visus naudotojus atpažinti sukčiavimo bandymus ir kenkėjišką elgesį.
• Sukurkite incidentų reagavimo planą, kuriame būtų aiškiai išdėstyti užkrėstų sistemų izoliavimo ir veikimo atkūrimo veiksmai.

Baigiamosios mintys

„FIND“ išpirkos reikalaujanti kenkėjiška programa yra dar viena atkaklios ir destruktyvios „Dharma“ šeimos evoliucijos versija. Ši kenkėjiška programa, kuri šifruoja vertingus duomenis, keičia saugos nustatymus ir naudoja psichologinį spaudimą per išpirkos reikalaujančius raštelius, kelia rimtą grėsmę tiek asmenims, tiek organizacijoms.

Veiksmingiausios apsaugos nuo tokių išpirkos reikalaujančių programų grėsmių priemonės išlieka stipri kibernetinio saugumo higiena, budrumas dėl įtartinos veiklos internete ir reguliarus duomenų atsarginių kopijų kūrimas.