V (Dharma) вирус-вымогатель

Киберугрозы становятся все более изощренными, поэтому пользователям крайне важно внедрять надежные меры безопасности для защиты своих устройств. Один из особенно агрессивных штаммов вымогателей, V (Dharma) Ransomware, шифрует файлы и требует плату за расшифровку. Понимание того, как действует эта угроза, и принятие надежных мер безопасности имеют решающее значение для обеспечения безопасности.

Как вирус-вымогатель V (Dharma) шифрует файлы

Программа-вымогатель V (Dharma) принадлежит к семейству Dharma , известной группе программ-вымогателей, которая в первую очередь нацелена на системы Windows. После проникновения на устройство она шифрует файлы и изменяет их имена, добавляя уникальный идентификатор жертвы, контролируемый злоумышленником адрес электронной почты и расширение «.V». Например, файл с именем «1.png» становится «1.png.id-9ECFA84E.[vijurytos@tuta.io].V», а «2.pdf» переименовывается в «2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V».

После завершения шифрования V ransomware отображает всплывающее сообщение с требованием выкупа и создает текстовый файл с именем «info.txt» в затронутых каталогах. В сообщении с требованием выкупа жертвам предлагается связаться с злоумышленниками по электронной почте, указав свой уникальный идентификатор. Если в течение 12 часов ответ не получен, предоставляется дополнительный адрес электронной почты.

Требования выкупа и тактика

В записке с требованием выкупа жертвам сообщается, что их файлы были зашифрованы и могут быть восстановлены только путем покупки инструмента дешифрования у злоумышленников. Чтобы убедить жертв в возможности дешифрования, преступники предлагают бесплатно расшифровать до трех файлов (объемом менее 3 МБ) — при условии, что файлы не содержат ценных данных.

Кроме того, в заметке не рекомендуется жертвам переименовывать зашифрованные файлы или пытаться использовать стороннее программное обеспечение для дешифрования, предупреждая, что это может привести к постоянной потере данных или увеличению требований выкупа. Включена ссылка на покупку биткоинов, подчеркивающая, что выкуп должен быть произведен в криптовалюте.

Скрытые тактики и механизмы настойчивости

V ransomware имеет много общих черт с другими вариантами Dharma, что делает его очень эффективным в блокировке данных жертв. Помимо шифрования, он выполняет несколько действий для укрепления своего контроля над зараженной системой:

• Отключение функций безопасности: программа-вымогатель отключает системный брандмауэр, чтобы избежать обнаружения.
• Удаление резервных копий: удаляет теневые копии томов (файлы резервных копий Windows), что затрудняет восстановление данных без ключа дешифрования.
• Обеспечение сохраняемости: V копирует себя в каталог «%LOCALAPPDATA%» и изменяет ключи «Выполнить» реестра Windows для запуска при каждом запуске системы.

• Избирательное нацеливание: программа-вымогатель может избегать шифрования файлов в определенных местах, что, вероятно, обеспечивает непрерывную работу системы или позволяет избежать обнаружения.

Как распространяется вирус-вымогатель V (Dharma)

Злоумышленники используют различные методы для распространения V ransomware, нацеливаясь на пользователей, которые неосознанно подвергают свои системы рискам безопасности. Некоторые из наиболее распространенных векторов заражения включают:

• Скомпрометированные службы протокола удаленного рабочего стола (RDP): злоумышленники используют слабые учетные данные RDP, выполняя атаки методом подбора или перебора по словарю, чтобы получить несанкционированный доступ.
• Мошеннические вложения и ссылки к электронным письмам: пользователи могут получать фишинговые письма с зараженными вложениями или ссылками, ведущими на веб-сайты, на которых размещены программы-вымогатели.
• Использование уязвимостей программного обеспечения: киберпреступники используют неисправленные уязвимости безопасности для установки программ-вымогателей на уязвимые системы.
• Пиратское программное обеспечение и взломанные программы: Загрузка программного обеспечения из неофициальных источников увеличивает риск столкнуться с исполняемыми файлами, содержащими программы-вымогатели.
• Поддельные рекламные объявления и небезопасные веб-сайты: пользователи могут быть обмануты и вынуждены загрузить вирус-вымогатель с помощью обманной рекламы или взломанных веб-сайтов.
• Зараженные USB-накопители: киберпреступники иногда используют зараженные внешние накопители для распространения программ-вымогателей, подключая их к целевому устройству.

Лучшие практики по укреплению вашей безопасности

Предотвращение заражения вирусами-вымогателями требует проактивного подхода к кибербезопасности. Вот наиболее эффективные меры, которые пользователи должны предпринять для защиты своих устройств:

• Используйте сложные пароли и включите многофакторную аутентификацию (MFA) : защитите RDP и онлайн-аккаунты с помощью сложных уникальных паролей и включите MFA для предотвращения несанкционированного доступа.
• Регулярно обновляйте программное обеспечение и операционные системы : регулярно устанавливайте обновления безопасности, чтобы устранить уязвимости, которыми могут воспользоваться программы-вымогатели.
• Отключите неиспользуемые службы RDP : если доступ к удаленному рабочему столу не нужен, отключите RDP, чтобы исключить распространенный вектор атак.

• Регулярно создавайте резервные копии данных : храните резервные копии на внешних устройствах или в облачных сервисах, которые не подключены напрямую к центральной системе, чтобы предотвратить их шифрование программами-вымогателями.

• Будьте особенно бдительны с вложениями и ссылками в электронных письмах : не открывайте неожиданные вложения в электронные письма и не переходите по подозрительным ссылкам, даже если кажется, что они получены из надежных источников.

• Загружайте программное обеспечение только из официальных источников : избегайте пиратских программ и сторонних загрузчиков, так как они часто содержат вредоносный код.

• Используйте программное обеспечение безопасности с защитой от программ-вымогателей : хотя ни один инструмент не гарантирует полной защиты, решения безопасности с функциями обнаружения программ-вымогателей могут помочь предотвратить заражения.

• Включите сегментацию сети : при использовании нескольких устройств изолируйте критически важные системы от машин общего пользования, чтобы ограничить возможности программ-вымогателей распространяться по сети.

Заключительные мысли

V (Dharma) Ransomware — это крайне разрушительная угроза, которая шифрует файлы и требует от жертв выкуп. Поскольку злоумышленники намеренно удаляют резервные копии и отключают функции безопасности, восстановление зашифрованных данных без ключа дешифрования может быть крайне сложным. Лучшая мера, чтобы не стать жертвой вымогателя, — это практиковать надежные привычки кибербезопасности, хранить резервные копии важных файлов и сохранять бдительность при просмотре веб-страниц или открытии электронных писем.