Кортизол рансомвер

Инфекције злонамерним софтвером настављају да ескалирају у обиму и сложености, што чини неопходним да појединци и организације одржавају снажну одбрану на свим уређајима. Рансомвер, посебно, представља озбиљан ризик јер не само да угрожава поверљивост података већ и нарушава доступност тако што блокира кориснике и њихове сопствене датотеке. Једна недавно анализирана претња која илуструје ове опасности је Кортизол Рансомвер, софистицирани сој злонамерног софтвера за шифровање датотека, дизајниран да изнуди жртве путем застрашивања и техничке манипулације.

Кортизол рансомвер: Израчуната шема шифровања

Рансомвер Кортизол је идентификован током детаљних истрага злонамерног софтвера које су спровели стручњаци за безбедност информација. Једном покренут на систему, рансомвер шифрује датотеке и мења њихова имена по препознатљивом обрасцу. Свака шифрована датотека добија додатни ИД жртве, контакт адресу е-поште и екстензију „.Cortizol“. На пример, датотека која је првобитно названа „1.png“ преименована је у „1.png-id-6640599815[cortizol@atomicmail.io].Cortizol“, док „2.pdf“ постаје „2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol“.

Ова конвенција преименовања служи двема сврхама: јасно сигнализира да су датотеке узете као таоци и уграђује идентификационе детаље које нападачи користе за праћење жртава. Поред шифровања датотека, Кортизол мења позадину радне површине како би појачао видљивост напада и оставља поруку са захтевом за откуп под називом „HOW_TO_RECOVER.txt“, осигуравајући да жртва не може да превиди инцидент.

Откупнина и психолошки притисак

У поруци са захтевом за откуп тврди се да су све датотеке на компромитованом систему шифроване и да је дешифровање немогуће без јединственог приватног кључа који поседују нападачи. Жртве се упозоравају да ће сваки покушај коришћења алата за дешифровање трећих страна или преименовања шифрованих датотека резултирати трајним оштећењем података. Таква упозорења су уобичајена психолошка тактика која има за циљ да обесхрабри покушаје независног опоравка.

Кортизол налаже жртвама да пронађу датотеку под називом „key.Cortizol“, наводно сачувану у директоријуму „C:\ProgramData \“ или на другим дисковима, и да је пошаљу нападачима. У напомени се даље упозорава да се не сме поново инсталирати или модификовати оперативни систем Windows без чувања ове кључне датотеке, што прети неповратним губитком података ако се упутства не прате прецизно. Комуникациони канали укључују адресу е-поште cortizol@atomicmail.io
и Телеграм налог идентификован као Cortizol2025. Овај приступ вишеканалном контакту повећава вероватноћу да ће жртве послушати.

Иако нападачи инсистирају да је куповина приватног кључа једини начин да се обнови приступ, искуство у области сајбер безбедности доследно показује да плаћање откупнине не гарантује опоравак датотека. Сајбер криминалци можда неће испоручити функционалан алат за дешифровање или ће једноставно прекинути комуникацију након плаћања.

Вектори инфекције и технике испоруке

Кортизол рансомвер се шири коришћењем разних добро успостављених метода дистрибуције. Фишинг имејлови остају један од најефикаснијих механизама испоруке, често садрже злонамерне прилоге или уграђене линкове који покрећу преузимање корисног садржаја. Лажне шеме техничке подршке и тактике социјалног инжењеринга додатно повећавају шансе за интеракцију корисника.

Претње такође дистрибуирају ransomware путем пиратског софтвера, крекова и генератора кључева добијених са незваничних или peer-to-peer мрежа за дељење датотека. Компромитовани веб-сајтови, обмањујуће рекламе, заражени USB дискови и искоришћавање рањивости у застарелом софтверу пружају додатне улазне тачке. Злонамерни садржај је обично скривен у извршним датотекама, скриптама, компресованим архивама као што су ZIP или RAR датотеке или наизглед легитимним документима, укључујући Word, Excel и PDF датотеке. Ово мешање злонамерног кода са познатим форматима повећава стопу успеха инфекција.

Утицај и ризици након инфекције

Једном када је активан, Cortizol не само да шифрује доступне датотеке, већ може и да настави са скенирањем у потрази за додатним подацима које би угрозио. Ако се не уклони, ransomware се може ширити бочно преко повезаних система унутар исте мреже, појачавајући оперативне поремећаје и финансијску штету. Што дуже малвер остаје на уређају, већи је ризик од проширене енкрипције и потенцијалног распоређивања секундарног корисног оптерећења.

Опоравак без приватног кључа нападача је обично неизводљив осим ако не постоје безбедне, непромењене резервне копије. Из тог разлога, организације и појединачни корисници са поузданим офлајн или резервним копијама у облаку су далеко боље позиционирани да обнове операције без подлегања захтевима за изнуду.

Јачање одбране од ransomware-а

Ефикасна одбрана од претњи попут Кортизола захтева слојевити безбедносни приступ који комбинује техничке мере заштите са свесношћу корисника. Следеће праксе значајно смањују изложеност инфекцијама ransomware-ом:

• Редовно одржавајте аутоматизоване резервне копије које се чувају ван мреже или у безбедним облачним окружењима која су изолована од примарног система.
• Редовно ажурирајте оперативне системе, апликације и безбедносни софтвер како бисте исправили познате рањивости.
• Користите реномирана решења за заштиту крајњих тачака која су способна да детектују обрасце понашања ransomware-а.
• Избегавајте преузимање пиратског софтвера или датотека из незваничних извора и peer-to-peer мрежа.
• Будите опрезни при руковању прилозима е-поште или кликтању на линкове, посебно од непознатих или неочекиваних пошиљалаца.
• Онемогућите макрое у Office документима осим ако нису апсолутно неопходни и проверено је да су безбедни.

Поред ових мера, брзо уклањање откривеног ransomware-а је кључно како би се спречило даље шифровање датотека или ширење мреже. Поступци реаговања на инциденте треба да укључују изоловање погођеног система од мреже, спровођење темељног скенирања злонамерног софтвера и враћање чистих података из резервних копија где су доступне.

Кортизол рансомвер илуструје како модерни рансомвер комбинује техничке механизме шифровања са друштвеним инжењерингом и психолошким притиском. Проактивне безбедносне праксе, у комбинацији са поузданим стратегијама прављења резервних копија података, остају најефикасније контрамере против таквих еволуирајућих сајбер претњи.