FIND-вымогатели

Защита устройств от вредоносных программ стала необходимостью, а не выбором. Киберпреступники продолжают совершенствовать свою тактику, создавая всё более сложные виды программ-вымогателей, способные использовать даже незначительные уязвимости системы безопасности. FIND Ransomware, недавно обнаруженный вариант печально известного семейства Dharma, демонстрирует изощрённость и устойчивость современных программ-вымогателей.

Внутри атаки вируса-вымогателя FIND

Программа-вымогатель FIND действует с той же безжалостной эффективностью, которая сделала Dharma одним из самых активных семейств программ-вымогателей. После запуска вредоносная программа начинает шифровать файлы жертвы, делая их недоступными. В процессе она переименовывает каждый файл, добавляя уникальный идентификатор жертвы, контролируемый злоумышленником адрес электронной почты и расширение .FIND, например, переименовывая «1.png» в «1.png.id-9ECFA84E.[findourtxt@tuta.io».
].FIND. Другой наблюдаемый вариант этой угрозы использует расширение «. FIND5».

После шифрования вирус-вымогатель отправляет свои требования по двум каналам — через всплывающее сообщение и файл с требованием выкупа под названием «info.txt». В записке жертвам сообщается, что их файлы зашифрованы, и предлагается связаться со злоумышленниками по одному из двух адресов электронной почты — «findourtxt@tuta.io» или «findourtxt@mailum.com», используя назначенный идентификатор.

В записке с требованием выкупа также утверждается, что часть данных жертвы была украдена, и предупреждается, что невыполнение этого требования приведёт к продаже или передаче украденной информации третьим лицам. В ней также настоятельно рекомендуется не переименовывать файлы или пытаться расшифровать данные с помощью сторонних инструментов, поскольку такие действия могут привести к безвозвратной потере данных или более высоким требованиям выкупа.

Как работает программа-вымогатель FIND

Как и другие варианты Dharma, вирус-вымогатель FIND использует многоэтапный процесс заражения, призванный обеспечить максимальное воздействие и устойчивость. Попав в систему, вредоносная программа шифрует файлы как на локальных, так и на сетевых дисках, поражая широкий спектр типов данных и даже удаляя теневые копии томов, чтобы предотвратить их легкое восстановление.

Он также вмешивается в системные настройки, отключая брандмауэр Windows, обеспечивая себе постоянное присутствие, размещая свои копии в каталоге %LOCALAPPDATA% и добавляя записи в разделы реестра «Выполнить». Кроме того, некоторые варианты на основе Dharma собирают данные о местоположении и могут исключать определённые системные папки или диски из шифрования, вероятно, по операционным или стратегическим причинам.

Векторы инфекции и каналы распространения

Вредоносное ПО FIND, как и его предшественники, распространяется, комбинируя обманные и оппортунистические методы. Киберпреступники используют фишинговые кампании, вредоносные вложения и мошеннические ссылки, встроенные в электронные письма, чтобы обманом заставить пользователей начать заражение. Другие распространённые методы распространения включают:

1. Скрытые загрузки со взломанных или вредоносных веб-сайтов.
2. Установка через пиратское ПО, поддельные обновления или взломанные приложения.
3. Эксплуатация неисправленных уязвимостей программного обеспечения и слабых конфигураций протокола удаленного рабочего стола (RDP).
4. Вредоносная реклама, P2P-сети и зараженные съемные носители (USB).

После установки FIND шифрует критически важные данные и требует оплату (часто в криптовалюте) за предоставление ключа расшифровки. Однако нет никаких гарантий, что оплата приведет к успешному восстановлению данных.

Лучшие методы безопасности, чтобы оставаться защищенными

Защита от программ-вымогателей, таких как FIND, требует многоуровневого и проактивного подхода. Пользователи и организации могут значительно снизить риск заражения, внедрив следующие важные меры:

1. Укрепите безопасность устройств и сетей :

• Регулярно обновляйте операционные системы, браузеры и программное обеспечение для устранения известных уязвимостей.
• Настройте брандмауэры и антивирусные инструменты для обнаружения и блокировки подозрительных действий.
• Отключите доступ по RDP, если он не нужен, или ограничьте его с помощью надежных паролей, многофакторной аутентификации и белого списка IP-адресов.

2. Практикуйте безопасный просмотр веб-страниц и привычки использования электронной почты :

• Избегайте открытия нежелательных вложений или перехода по ссылкам от неизвестных отправителей.
• Загружайте программное обеспечение только из надежных источников и избегайте торрентов или взломанных программ.
• Будьте осторожны, реагируя на неожиданные «срочные» или «предупреждающие сообщения безопасности».

3. Поддерживайте надежные резервные копии :

• Сохраняйте резервные копии важных данных в автономном режиме или в облаке.

• Убедитесь, что устройства резервного копирования отключены после использования, чтобы предотвратить шифрование во время атаки.

4. Обучение и подготовка :

• Обучите всех пользователей распознавать попытки фишинга и вредоносное поведение.
• Разработайте план реагирования на инциденты, в котором будут изложены четкие шаги по изоляции зараженных систем и восстановлению работы.

Заключительные мысли

Вредоносное ПО FIND представляет собой очередной этап эволюции семейства вредоносных программ-вымогателей Dharma. Шифруя ценные данные, изменяя настройки безопасности и оказывая психологическое давление с помощью записок с требованием выкупа, это вредоносное ПО представляет серьёзную угрозу как для отдельных лиц, так и для организаций.

Поддержание строгой гигиены кибербезопасности, бдительность в отношении подозрительной активности в Интернете и регулярное резервное копирование данных остаются наиболее эффективными мерами защиты от подобных угроз программ-вымогателей.