V (Dharma) løsepengevare

Cybertrusler har blitt stadig mer sofistikerte, noe som gjør det avgjørende for brukere å implementere sterke sikkerhetstiltak for å beskytte enhetene sine. En spesielt aggressiv ransomware-stamme, V (Dharma) Ransomware, krypterer filer og krever betaling for dekryptering. Å forstå hvordan denne trusselen fungerer og å ta i bruk robuste sikkerhetspraksis er avgjørende for å være trygg.

Hvordan V (Dharma) Ransomware krypterer filer

V (Dharma) Ransomware tilhører Dharma- familien, en velkjent løsepengevaregruppe som primært retter seg mot Windows-systemer. Når den infiltrerer en enhet, krypterer den filer og endrer navnene deres ved å legge til en unik offer-ID, en angriperkontrollert e-postadresse og utvidelsen ".V". For eksempel blir en fil med navnet '1.png' '1.png.id-9ECFA84E.[vijurytos@tuta.io].V,' mens '2.pdf' får nytt navn til '2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V.'

Når krypteringen er fullført, viser V ransomware et popup-notat for løsepenger og oppretter en tekstfil kalt 'info.txt' i berørte kataloger. Løsepengene ber ofrene kontakte angriperne via e-post, inkludert deres unike ID. Hvis det ikke mottas svar innen 12 timer, oppgis en sekundær e-postadresse.

Løsepengekrav og taktikk

Løsepengene advarer ofrene om at filene deres er kryptert og bare kan gjenopprettes ved å kjøpe et dekrypteringsverktøy fra angriperne. For å overbevise ofrene om at dekryptering er mulig, tilbyr kriminelle å dekryptere opptil tre filer (under 3 MB) gratis – forutsatt at filene ikke inneholder verdifulle data.

I tillegg fraråder notatet ofre fra å gi nytt navn til krypterte filer eller forsøke å bruke tredjeparts dekrypteringsprogramvare, og advarer om at dette kan føre til permanent tap av data eller økt krav om løsepenger. En lenke for å kjøpe Bitcoin er inkludert, som understreker at løsepenger må gjøres i kryptovaluta.

Stealthy taktikk og utholdenhetsmekanismer

V-ransomware deler mange egenskaper med andre Dharma-varianter, noe som gjør den svært effektiv til å låse ofre ute fra dataene deres. Utover kryptering utfører den flere handlinger for å styrke grepet på et infisert system:

• Deaktivering av sikkerhetsfunksjoner: løsepengevaren slår av systemets brannmur for å unngå oppdagelse.
• Slette sikkerhetskopier: Det fjerner Volume Shadow Copies (Windows-sikkerhetskopier), noe som gjør datagjenoppretting uten dekrypteringsnøkkel vanskelig.
• Sikre utholdenhet: V kopierer seg selv til '%LOCALAPPDATA%'-katalogen og endrer Windows-registrets kjørenøkler for å starte hver gang systemet starter.

• Selektiv målretting: Ransomware kan unngå å kryptere filer på spesifikke steder, noe som sannsynligvis vil sikre fortsatt systemfunksjonalitet eller unngå gjenkjenning.

Hvordan V (Dharma) Ransomware sprer seg

Angripere bruker ulike metoder for å distribuere V-ransomware, rettet mot brukere som ubevisst utsetter systemene sine for sikkerhetsrisikoer. Noen av de vanligste infeksjonsvektorene inkluderer:

• Compromised Remote Desktop Protocol (RDP)-tjenester: Trusselaktører utnytter svak RDP-legitimasjon ved å utføre brute-force eller ordbokangrep for å få uautorisert tilgang.
• Uredelige e-postvedlegg og koblinger: Brukere kan motta phishing-e-poster med infiserte vedlegg eller lenker som fører til nettsteder som distribuerer løsepengeprogramvare.
• Utnyttelse av programvaresårbarheter: Nettkriminelle utnytter uoppdaterte sikkerhetsfeil for å installere løsepengeprogramvare på sårbare systemer.
• Piratkopiert programvare og knekkede programmer: Nedlasting av programvare fra uoffisielle kilder øker risikoen for å møte løsepengeprogramvare.
• Falske annonser og usikre nettsteder: Brukere kan bli lurt til å laste ned løsepengevare gjennom villedende annonser eller kompromitterte nettsteder.
• Infiserte USB-stasjoner: Nettkriminelle bruker noen ganger infiserte eksterne stasjoner for å spre løsepenger når de er koblet til en målenhet.

Beste praksis for å styrke sikkerheten din

Forebygging av ransomware-infeksjoner krever en proaktiv tilnærming til cybersikkerhet. Her er de mest effektive tiltakene brukere bør ta for å sikre enhetene sine:

• Bruk passord som er vanskelige å bryte, og aktiver multifaktorautentisering (MFA) : Beskytt RDP og nettkontoer med komplekse, unike passord og aktiver MFA for å forhindre uautorisert tilgang.
• Hold programvare og operativsystemer oppdatert : Installer regelmessig sikkerhetsoppdateringer for å korrigere sårbarheter som løsepengeprogramvare kan utnytte.
• Deaktiver ubrukte RDP-tjenester : Hvis ekstern skrivebordstilgang er unødvendig, deaktiver RDP for å eliminere en vanlig angrepsvektor.

• Sikkerhetskopier data regelmessig : Lagre sikkerhetskopier på eksterne enheter eller skytjenester som ikke er direkte koblet til sentralsystemet for å forhindre at løsepengeprogramvare krypterer dem.

• Vær forsiktig med e-postvedlegg og koblinger : Unngå tilgang til uventede e-postvedlegg eller klikk på mistenkelige lenker, selv om de ser ut til å komme fra pålitelige kilder.

• Last ned programvare kun fra offisielle kilder : Unngå piratkopierte programmer og tredjepartsnedlastere, siden de ofte inneholder ondsinnet kode.

• Bruk sikkerhetsprogramvare med ransomware-beskyttelse : Selv om ingen verktøy garanterer fullstendig beskyttelse, kan sikkerhetsløsninger med ransomware-deteksjonsfunksjoner bidra til å forhindre infeksjoner.

• Aktiver nettverkssegmentering : Hvis du bruker flere enheter, isoler kritiske systemer fra maskiner for generell bruk for å begrense muligheten for løsepengeprogramvare til å spre seg over et nettverk.

Siste tanker

V (Dharma) Ransomware er en svært forstyrrende trussel som krypterer filer og krever løsepenger fra ofrene. Siden angripere bevisst fjerner sikkerhetskopier og deaktiverer sikkerhetsfunksjoner, kan det være ekstremt vanskelig å gjenopprette krypterte data uten en dekrypteringsnøkkel. Det beste tiltaket for å unngå å bli offer for løsepengevare er å praktisere sterke nettsikkerhetsvaner, ta sikkerhetskopi av viktige filer og være på vakt når du surfer på nettet eller åpner e-poster.