Draugu izspiedējvīruss

Ierīču aizsardzība pret ļaunprogrammatūru ir svarīgāka nekā jebkad agrāk, jo mūsdienu kiberdraudi var šifrēt vērtīgus datus, traucēt uzņēmējdarbības darbību un atklāt sensitīvu informāciju. Jo īpaši izspiedējvīrusi joprojām ir viens no viskaitīgākajiem ļaunprogrammatūras veidiem, jo tie apvieno datu šifrēšanu ar izspiešanas taktiku, kas paredzēta, lai piespiestu upurus maksāt lielas naudas summas. Viens ievērojams piemērs ir Friends izspiedējvīruss — sarežģīts drauds, kas ir vērsts pret plašu failu tipu klāstu, vienlaikus izmantojot datu zādzību, lai palielinātu maksājuma iespējamību.

Draugu izspiedējvīruss: divkārša izspiešana kiberdraudājumā

Friends Ransomware ir kiberdrošības pētnieku atklāta ļaunprātīga programma, kas šifrē failus apdraudētās sistēmās un pieprasa izpirkuma maksu apmaiņā pret atšifrēšanas atslēgu. Papildus failu šifrēšanai šī apdraudējuma operatori apgalvo, ka pirms datu bloķēšanas zog konfidenciālu informāciju no upuriem. Šī taktika, kas plašāk pazīstama kā dubultā izspiešana, ļauj uzbrucējiem apdraudēt gan datu zudumu, gan sensitīvas informācijas publiskošanu.

Kad Friends izspiedējvīruss ir palaists sistēmā, tas skenē daudzus failu tipus un šifrē tos. Šī procesa laikā tas pievieno ietekmētajiem failiem paplašinājumu “.friends124”. Piemēram, fails ar nosaukumu “1.png” tiek pārveidots par “1.png.friends124”, savukārt “2.pdf” kļūst par “2.pdf.friends124”. Šis paplašinājums kalpo kā skaidrs rādītājs, ka failus ir apstrādājusi ļaunprogrammatūra un tie vairs nav pieejami, izmantojot parastos līdzekļus.

Šifrēšanas process un izpirkuma maksas pieprasījumi

Pēc šifrēšanas rutīnas pabeigšanas izspiedējvīruss izveido failu ar nosaukumu “RANSOM_NOTE.html”, kurā ir norādījumi upurim. Piezīme informē lietotājus, ka viņu faili ir šifrēti, un sniedz kontaktinformāciju izpirkuma maksas sarunu uzsākšanai. Upuriem tiek dots norādījums sazināties ar uzbrucējiem, izmantojot e-pasta adreses “recovery1@salamati.vip” un “recovery1@amniyat.xyz”. Tiek minēta arī alternatīva saziņas metode, izmantojot Tor tīklu.

Izpirkuma paziņojumā apgalvots, ka uzbrucēju kontrolētā privātā serverī ir apkopoti un glabāti konfidenciāli un personiski dati. Saskaņā ar ziņojumu šī informācija tiks publicēta vai pārdota trešajām personām, ja upuris atteiksies izpildīt izpirkuma prasības. Lai pārliecinātu upurus, ka failu atgūšana ir iespējama, noziedznieki piedāvā bez maksas atšifrēt divus vai trīs nebūtiskus failus. Paziņojumā tālāk brīdināts, ka izpirkuma summa palielināsies, ja 72 stundu laikā netiks nodibināts kontakts, un ieteikts upuriem pirms saziņas izveidot ProtonMail kontu.

Kāpēc izpirkuma maksas maksāšana ir riskants lēmums

Upuri bieži apsver izpirkuma maksāšanu, ja kritiski svarīgi faili kļūst nepieejami. Tomēr maksāšana kibernoziedzniekiem negarantē veiksmīgu atgūšanu. Daudzas izspiedējvīrusu operācijas ir iekasējušas maksājumus, nenodrošinot funkcionējošus atšifrēšanas rīkus, vai ir piegādājušas utilītas, kas nav spējušas atjaunot visus skartos datus.

Pat ja uzbrucēji nodrošina atšifrēšanas rīku, maksājums atbalsta noziedzīgas darbības un veicina turpmākus uzbrukumus citām personām un organizācijām. Šo iemeslu dēļ kiberdrošības speciālisti stingri neiesaka pieprasīt izpirkuma maksu. Vairumā gadījumu šifrētus failus nevar atjaunot bez uzbrucēju atšifrēšanas atslēgas, ja vien izspiedējvīrusam nav būtisku ieviešanas trūkumu, ko pētnieki var izmantot, lai izstrādātu bezmaksas atšifrētāju.

Atgūšana un incidentu reaģēšana

Pēc inficēšanās tūlītēja prioritāte ir noņemt Friends Ransomware no skartās sistēmas. Ļaunprogrammatūras likvidēšana palīdz novērst papildu failu šifrēšanu un samazina turpmāku ļaunprātīgu darbību risku. Tomēr ļaunprogrammatūras noņemšana vien neatjauno jau šifrētos datus.

Visuzticamākā atkopšanas metode ietver failu atjaunošanu no dublējumiem, kas izveidoti pirms inficēšanās. Dublējumi jāuzglabā atsevišķi no primārās sistēmas, lai uzbrukuma laikā tie paliktu neskarti. Ja dublējumi ir savienoti ar to pašu tīklu vai ir nepārtraukti pieejami, izspiedējvīrusi var mēģināt tos arī šifrēt, atstājot upurus bez atkopšanas iespējas.

Kā izplatās draugu izspiedējvīruss

Tāpat kā daudzas citas izspiedējvīrusu saimes, arī Friends izspiedējvīruss izmanto vairākus izplatīšanas kanālus, lai sasniegtu potenciālos upurus. Pikšķerēšanas e-pasti joprojām ir viena no visefektīvākajām piegādes metodēm. Šie ziņojumi bieži satur ļaunprātīgus pielikumus vai saites, kas, atverot, sāk ļaunprogrammatūras lejupielādi. Uzbrucēji parasti izmanto dokumentu failus, kas satur ļaunprātīgus makro, saspiestus arhīvus, izpildāmos failus, PDF failus un uz JavaScript balstītas slodzes.

Papildu inficēšanās vektori ir Trojas zirgi, kas nemanāmi instalē izspiedējvīrusus, viltus programmatūras atjaunināšanas mehānismi, ļaunprātīgas reklāmas, apdraudētas tīmekļa vietnes un lejupielādes, kas iegūtas no neuzticamiem avotiem. Bezmaksas programmatūras portāli, vienādranga failu koplietošanas tīkli un citas neoficiālas izplatīšanas platformas bieži vien mitina ļaunprātīgus failus, kas maskēti kā likumīga programmatūra. Inficēti USB diski var arī veicināt izspiedējvīrusu izplatīšanos starp sistēmām.

Īpaši izplatīts inficēšanās scenārijs ir saistīts ar programmatūras plaisām un pirātiskiem aktivizācijas rīkiem. Kibernoziedznieki bieži maskē ļaunprogrammatūru kā bezmaksas alternatīvas maksas programmatūrai, izmantojot lietotājus, kuri ir gatavi apiet oficiālos izplatīšanas kanālus. Kad šīs šķietami nekaitīgās programmas ir izpildītas, tās var instalēt izspiedējvīrusu bez brīdinājuma.

Aizsardzības stiprināšana pret izspiedējvīrusu

Efektīvai aizsardzībai pret izspiedējvīrusu ir nepieciešama daudzslāņu drošības stratēģija, kas apvieno tehniskos drošības pasākumus ar drošu lietotāju uzvedību. Organizācijām un privātpersonām ir jāuztur cienījama drošības programmatūra, jānodrošina, lai operētājsistēmas un lietojumprogrammas regulāri saņemtu atjauninājumus, un jāatspējo nevajadzīgas funkcijas, kuras uzbrucēji varētu ļaunprātīgi izmantot. E-pasta pielikumi un saites no nezināmiem vai negaidītiem avotiem vienmēr jāuztver piesardzīgi, pat ja tās šķiet likumīgas.

Regulāras datu dublējumkopijas ir vieni no svarīgākajiem aizsardzības pasākumiem. Vairāku dublējumkopiju uzturēšana atsevišķās vietās, piemēram, bezsaistes ārējos diskos un drošos attālās glabāšanas risinājumos, ievērojami uzlabo atkopšanas iespējas pēc uzbrukuma. Regulāri jāveic arī dublējumkopiju testēšana, lai pārliecinātos, ka datus var veiksmīgi atjaunot, kad tas nepieciešams.

Galvenās drošības prakses ietver:

• Pilnībā atjauniniet operētājsistēmas, pārlūkprogrammas un lietojumprogrammas ar jaunākajiem drošības ielāpiem.
• Izmantojiet cienījamu galapunktu aizsardzības programmatūru ar reāllaika apdraudējumu noteikšanas iespējām.
• Saglabājiet vairākas dublējumkopijas, tostarp vismaz vienu bezsaistes vai citādi izolētu kopiju.
• Izvairieties atvērt nevēlamus e-pasta pielikumus vai noklikšķināt uz aizdomīgām saitēm.
• Lejupielādējiet programmatūru tikai no oficiāliem un uzticamiem avotiem.
• Atturieties no pirātiskas programmatūras, kreku vai neatļautu aktivizācijas rīku lietošanas.
• Ierobežojiet administratora privilēģijas, kad vien iespējams.
• Izglītojiet lietotājus par pikšķerēšanas taktiku un sociālās inženierijas uzbrukumiem.

Galīgais novērtējums

Friends izspiedējvīruss ir nopietns kiberdrošības apdraudējums, kas apvieno failu šifrēšanu ar datu zādzību un izspiešanu. Pievienojot failiem paplašinājumu “.friends124”, nosūtot izpirkuma pieprasījumu ar nosaukumu “RANSOM_NOTE.html” un draudot atklāt nozagto informāciju, tā operatori cenšas maksimāli palielināt spiedienu uz upuriem. Lai gan atkopšanas iespējas bieži vien ir ierobežotas bez uzticamām dublējumkopijām, spēcīgas kiberdrošības prakses, regulāras dublējumkopijas, savlaicīgi programmatūras atjauninājumi un piesardzīga uzvedība tiešsaistē var ievērojami samazināt veiksmīga izspiedējvīrusa uzbrukuma iespējamību un mazināt ietekmi infekcijas gadījumā.