FIND Ransomware

Заштита ваших уређаја од злонамерног софтвера постала је нужност, а не избор. Сајбер криминалци настављају да развијају своје тактике, стварајући све сложеније врсте ransomware-а дизајниране да искористе чак и мање безбедносне слабости. FIND Ransomware, недавно откривена варијанта из озлоглашене породице Dharma, пример је софистицираности и упорности модерних ransomware операција.

Унутар FIND напада рансомвера

FIND рансомвер делује са истом немилосрдном ефикасношћу која је учинила Dharma једном од најактивнијих породица рансомвера. Након извршавања, злонамерни софтвер почиње да шифрује датотеке жртве, чинећи их недоступним. У том процесу, преименује сваку датотеку додавањем јединственог ИД-а жртве, адресе е-поште коју контролише нападач и екстензије „.FIND“ — на пример, преименовањем „1.png“ у „1.png.id-9ECFA84E.[findourtxt@tuta.io
].FIND.' Друга примећена варијанта ове претње користи екстензију '.FIND5'.

Након шифровања, рансомвер испоручује своје захтеве путем два канала — искачуће поруке и датотеке са захтевом за откуп под називом „info.txt“. Порука обавештава жртве да су њихове датотеке шифроване и налаже им да контактирају нападаче путем једне од две имејл адресе — „findourtxt@tuta.io“ или „findourtxt@mailum.com“ — користећи свој додељени ИД.

У поруци са захтевом за откуп даље се тврди да су неки од података жртве украдени и упозорава се да ће непоштовање захтева резултирати продајом или дељењем украдених информација са трећим лицима. Такође се жртве обесхрабрују од преименовања датотека или покушаја дешифровања података помоћу алата трећих страна, наводећи да би такве радње могле довести до трајног губитка података или већих захтева за откуп.

Како функционише FIND Ransomware

Као и друге варијанте Dharma вируса, FIND Ransomware прати вишестепени процес инфекције осмишљен да максимизира утицај и трајност. Једном активан на систему, малвер шифрује датотеке на локалним и мрежним дисковима, циљајући широк спектар типова података и чак бришући Volume Shadow Copys како би спречио лак опоравак.

Такође мења системска подешавања тако што онемогућава Windows заштитни зид, успоставља перзистентност постављањем својих копија у директоријум %LOCALAPPDATA% и додаје уносе у кључеве регистра Run. Поред тога, неке варијанте засноване на Dharma-и прикупљају податке о локацији и могу искључити одређене системске фасцикле или дискове из шифровања, вероватно из оперативних или стратешких разлога.

Вектори инфекције и канали дистрибуције

FIND Ransomware, као и његови претходници, шири се комбинацијом обмањујућих и опортунистичких метода. Сајбер криминалци користе фишинг кампање, злонамерне прилоге и лажне линкове уграђене у имејлове како би преварили кориснике да покрену инфекцију. Остале уобичајене методе дистрибуције укључују:

1. Успутна преузимања са компромитованих или злонамерних веб локација.
2. Инсталација путем пиратског софтвера, лажних ажурирања или крекованих апликација.
3. Искоришћавање неисправљених софтверских рањивости и слабих конфигурација протокола за удаљену радну површину (RDP).
4. Злонамерне рекламе, P2P мреже и заражени преносиви дискови (USB).

Једном инсталиран, FIND шифрује критичне податке и захтева плаћање, често у криптовалути, како би се обезбедио кључ за дешифровање — иако не постоји гаранција да ће плаћање довести до успешног опоравка.

Најбоље безбедносне праксе за заштиту

Одбрана од ransomware-а попут FIND-а захтева слојевит и проактиван приступ. Корисници и организације могу значајно смањити ризик од инфекције применом следећих основних пракси:

1. Ојачајте безбедност уређаја и мреже :

• Редовно ажурирајте оперативне системе, прегледаче и софтвер како бисте исправили познате рањивости.
• Конфигуришите заштитне зидове и антивирусне алате да бисте открили и блокирали сумњиве активности.
• Онемогућите RDP приступ ако није потребан или га ограничите помоћу јаких лозинки, вишефакторске аутентификације и стављања IP адреса на белу листу.

2. Вежбајте навике безбедног прегледања и слања имејлова :

• Избегавајте отварање непожељних прилога или кликтање на линкове од непознатих пошиљалаца.
• Преузимајте софтвер само из поузданих извора и избегавајте торент програме или крековане програме.
• Будите опрезни када одговарате на неочекиване „хитне“ или „безбедносне упозорења“.

3. Одржавајте поуздане резервне копије :

• Чувајте резервне копије важних података ван мреже или у облаку.

• Уверите се да су резервни уређаји искључени након употребе како бисте спречили шифровање током напада.

4. Образујте се и припремите се :

• Обучите све кориснике о препознавању покушаја фишинга и злонамерног понашања.
• Развијте план реаговања на инцидент који јасно описује кораке за изоловање заражених система и обнављање рада.

Завршне мисли

FIND Ransomware представља још једну еволуцију у упорној и деструктивној породици Dharma. Шифровањем вредних података, манипулисањем безбедносним подешавањима и коришћењем психолошког притиска путем порука са захтевом за откуп, овај малвер представља озбиљну претњу и појединцима и организацијама.

Одржавање јаке хигијене сајбер безбедности, будност због сумњивих онлајн активности и редовно прављење резервних копија података остају најефикаснија одбрана од таквих претњи ransomware-а.