Ransoomed Ransomware

Šiuolaikinės kenkėjiškos programos nuolat vystosi greičiu, gebėjimu nepastebėti ir paveikti savo veiklą, todėl tiek asmenims, tiek organizacijoms būtina aktyvi įrenginių apsauga. Išpirkos reikalaujanti programinė įranga kelia ypač didelę grėsmę, nes užrakina svarbius duomenis po neįveikiamu šifravimu ir verčia aukas priimti skubotus finansinius sprendimus. Tokių grėsmių kaip išpirkos reikalaujanti programinė įranga atsiradimas rodo, kaip greitai viena infekcija gali sutrikdyti veiklą, pažeisti slaptą informaciją ir padaryti ilgalaikę žalą, jei nėra tinkamos apsaugos.

Išpirkos reikalaujančios programinės įrangos grėsmės apžvalga

Informacijos saugumo tyrėjai, tirdami didelės rizikos kenkėjiškų programų atmainas, identifikavo išpirkos reikalaujančią programinę įrangą „ransoomed“. Analizė patvirtino, kad ši grėsmė veikia kaip failus šifruojanti išpirkos reikalaujanti programa, skirta neleisti aukoms pasiekti savo duomenų. Aktyvi sistemoje ji užšifruoja tikslinius failus ir prie kiekvieno paveikto elemento prideda plėtinį „.ransoomed“, aiškiai pažymėdama žalą ir padarydama failus netinkamus naudoti be iššifravimo.

Lygiagrečiai su šifravimu kenkėjiška programa sugeneruoja išpirkos raštelį pavadinimu „!!!READ_ME!!!.txt“ ir rodo iššokantįjį įspėjimą su panašiomis instrukcijomis. Pažymėtina, kad pats tekstinis išpirkos raštelio failas yra užšifruotas kartu su kitais failais, todėl aukos negali jo atidaryti pasibaigus atakai. Ši taktika padidina painiavą ir sustiprina užpuoliko kontrolę situacijoje.

Šifravimo metodai ir turto prievartavimo strategija

Išpirkos pranešime teigiama, kad „Ransoomed“ naudoja RSA-2048 ir AES-256 šifravimo algoritmų derinį, kurie abu yra plačiai pripažįstami kaip kriptografiškai stiprūs, jei teisingai įdiegti. Aukos informuojamos, kad tik užpuolikai turi privatų iššifravimo raktą, todėl rankiniu būdu atkurti duomenis neturint šio rakto neįmanoma.

Reikalavimas iššaukti pinigus reikalauja sumokėti 2,5 bitkoino nurodytu piniginės adresu, o po to išsiųsti operacijos ID adresu „recovery@onionmail.org“. Aukos gauna mokėjimo įrodymą, todėl joms žadama iššifravimo programa. Žinutėje taip pat daromas psichologinis spaudimas nustatant 72 valandų terminą ir teigiant, kad iššifravimo raktai bus sunaikinti po septynių dienų, jei nebus sumokėta. Siekiant atgrasyti nuo bandymų taisyti klaidas, įtraukiami įspėjimai nekeisti užšifruotų failų ar nenaudoti trečiųjų šalių atkūrimo įrankių.

Išpirkos mokėjimo rizika

Nors aukoms dažnai sakoma, kad mokėjimas yra vienintelė išeitis, atitikties reikalavimai kelia rimtą riziką. Nėra jokios garantijos, kad užpuolikai pateiks veikiantį iššifravimo įrankį arba apskritai sureaguos. Net ir pristačius įrankį, jis gali sugesti arba įdiegti papildomą kenkėjišką programinę įrangą. Be to, jei išpirkos reikalaujanti programa lieka sistemoje, ji gali toliau šifruoti naujus arba atkurtus failus, taip padidindama žalą. Todėl, norint išvengti tolesnės žalos, labai svarbu nedelsiant pašalinti grėsmę.

Dažni infekcijos vektoriai ir pasiskirstymo būdai

„Ransoomed“, kaip ir daugelis išpirkos reikalaujančių programų šeimų, labai priklauso nuo socialinės inžinerijos ir nesaugios programinės įrangos praktikos. Infekcijos paprastai suaktyvėja, kai vartotojai atidaro kenkėjiškus failus arba vykdo užmaskuotas programas. Platinimo kanalai yra įvairūs ir apima apgaulingus el. laiškų priedus, pažeistas ar netikras svetaines, klaidinančias reklamas, tarpusavio tinklus, užkrėstus USB įrenginius ir trečiųjų šalių diegimo programas. Kenkėjiški dokumentai „Word“, „Excel“ ir PDF formatais, taip pat archyvai, scenarijai ir vykdomieji failai dažnai naudojami infekcijos grandinei inicijuoti. Piratinė programinė įranga, raktų generatoriai ir įsilaužimo įrankiai išlieka ypač įprastais pristatymo mechanizmais dėl padidintų privilegijų, dažnai suteikiamų diegimo metu.

Geriausios saugumo praktikos, skirtos sustiprinti apsaugą nuo kenkėjiškų programų

Efektyvi apsauga nuo išpirkos reikalaujančių programų, tokių kaip „Ransoomed“, priklauso nuo daugiasluoksnio saugumo ir informuoto naudotojų elgesio. Tvirtos gynybos priemonės žymiai sumažina užkrėtimo tikimybę ir apriboja galimą žalą atakos atveju.

Pagrindinė praktika, kurią vartotojai turėtų įgyvendinti, yra ši:

• Reguliariai kurkite neprisijungus ir debesijos pagrindu veikiančias atsargines kopijas, kurios yra izoliuotos nuo pagrindinės sistemos ir patikrintos dėl vientisumo.
• Nuolat atnaujinti operacines sistemas, programas ir programinę-aparatinę įrangą, kad būtų pašalintos žinomos saugumo spragos, kuriomis naudojasi kenkėjiškos programos.
• Naudojama patikima saugos programinė įranga su apsauga realiuoju laiku ir išpirkos reikalaujančių programų aptikimo galimybėmis.
• Būkite atsargūs su el. pašto priedais, nuorodomis ir atsisiuntimais, ypač kai pranešimai yra skubūs arba atkeliauja iš nežinomų šaltinių.
• Venkite piratinės programinės įrangos, neoficialių diegimo programų ir įrankių, skirtų apeiti licencijavimo ar saugumo kontrolę.

Be šių priemonių, bendrą atsparumą dar labiau sustiprina vartotojų privilegijų apribojimas, nereikalingų makrokomandų išjungimas ir vartotojų mokymas apie įprastą atakų taktiką. Kartu šie veiksmai sudaro praktinę gynybos sistemą, kuri gali užkirsti kelią išpirkos reikalaujančių programų infekcijoms arba gerokai sumažinti jų poveikį.

Baigiamoji perspektyva

Išpirkos reikalaujanti programinė įranga yra šiuolaikinio išpirkos reikalaujančių programų modelio pavyzdys: stiprus šifravimas, agresyvi turto prievartavimo taktika ir platus plitimas per kasdienius vartotojų veiksmus. Nors atkūrimas be atsarginių kopijų dažnai yra sudėtingas, prevencija ir pasirengimas išlieka patikimiausiomis apsaugos priemonėmis. Nuosekli saugumo higiena kartu su informacija pagrįstu sprendimų priėmimu suteikia stipriausią apsaugą nuo išpirkos reikalaujančių programų grėsmių ir rimtų jų pasekmių.