Рисен Рансомваре

У данашњем дигиталном добу, заштита уређаја од претњи малвера је кључна. Малвер, као што је рансомваре, може имати разорне ефекте и на појединце и на организације, што доводи до значајног губитка података, финансијске штете и прекида рада. Једна од најновијих претњи у овој области је Рисен Рансомваре, претећи софтвер који шифрује датотеке корисника и захтева плаћање откупнине за њихов опоравак. Разумевање начина на који Рисен Рансомваре функционише и како да се заштитите од таквих претњи је од суштинског значаја за одржавање сајбер безбедности.

Преглед насталог Рансомваре-а

Рисен Рансомваре су открили истраживачи сајбер безбедности који су идентификовали његове јединствене карактеристике и методе рада. Након заразе система, Рисен шифрира датотеке и преименује их додавањем адресе е-поште и корисничког ИД-а њиховим екстензијама. На пример, '1.пнг' се преименује у '1.пнг.Дефаулт@фиремаил.де].Е86ЕКНТПТТ', а '2.пдф' постаје '2.пдф.Дефаулт@фиремаил.де].Е86ЕКНТПТТ'.

Напомене о откупнини и претње

Рисен Рансомваре креира две белешке о откупнини: „$Рисен_Ноте.ткт“ и „$Рисен_Гуиде.хта“. Поред тога, мења позадину радне површине и приказује поруку на екрану пре пријављивања, обезбеђујући да је жртва свесна повреде. У белешкама о откупнини се тврди да су нападачи инфилтрирали целу мрежу жртве због безбедносних пропуста и да су шифровали све датотеке користећи јак алгоритам. Они такође тврде да су критични подаци, као што су документи, слике, инжењерски подаци, рачуноводствене информације и детаљи о клијентима, украдени.

Ектортион Тацтицс

У белешкама о откупнини се прети да ће, ако жртве не сарађују у неодређеном року, нападачи процурети или продати прикупљене податке. У белешкама се наводи да су резервне копије такође шифроване и да су недоступне, што имплицира да је једини начин да се опораве датотеке путем специфичног алата за дешифровање који су обезбедили нападачи. Жртвама је дозвољено да пошаљу до три тест фајла ради бесплатног дешифровања и морају да користе дате адресе е-поште, дефаулт1@тутамаил.цом и дефаулт@фиремаил.де, да контактирају нападаче, укључујући њихов ИД машине у насловној линији. Ако нема одговора у року од 72 сата, жртвама се каже да контактирају нападаче путем обезбеђеног ТОР блога.

Ризици плаћања откупнине

Упркос обећањима нападача, плаћање откупнине је веома обесхрабрено. Постоји значајан ризик да будете преварени, јер нападачи можда неће обезбедити алат за дешифровање чак ни након уплате. Штавише, рансомваре може наставити да шифрује датотеке и шири се широм мреже док је активан, узрокујући даљу штету.

Безбедносне мере за спречавање инфекције рансомвером

Заштита од рансомваре-а као што је Рисен захтева вишеструки приступ. Ево неколико критичних безбедносних мера које корисници треба да примене:

• Редовне резервне копије : Редовно подешавајте резервну копију важних података и осигурајте да се резервне копије чувају ван мреже или у безбедном решењу заснованом на облаку. Ово осигурава опоравак података у случају напада.
• Ажурирани софтвер : Задржите сав софтвер, укључујући апликације и оперативне системе, надограђен најновијим безбедносним закрпама да бисте затворили рањивости које рансомваре може да искористи.
• Јака заштита од малвера : Користите реномирана решења против малвера да бисте открили и блокирали рансомваре пре него што он може да нанесе штету. Уверите се да се ови алати редовно ажурирају.
• Филтрирање е-поште и веба : Имплементирајте решења за филтрирање е-поште и веба да бисте блокирали лажне е-поруке и веб локације које могу да испоруче рансомваре садржаје.
• Обука корисника : Образујте кориснике о опасностима рансомваре-а и безбедним онлајн праксама. Нагласите важност не отварања сумњивих прилога е-поште или кликања на непознате везе.
• Сегментација мреже : Сегментирајте своју мрежу да бисте регулисали ширење рансомваре-а. Ово може помоћи у сузбијању инфекције и спречити да утиче на целу мрежу.
• Контроле приступа : Спроведите строге контроле приступа да бисте ограничили корисничке дозволе и блокирали неовлашћени приступ осетљивим подацима и системима.

Рисен Рансомваре представља значајну претњу у окружењу сајбер претњи. Разумевање његовог рада и важности проактивног безбедносног поступка може помоћи у смањењу ризика од инфекције. Применом јаких пракси сајбер безбедности, корисници могу да заштите своје податке и мреже од разорних утицаја рансомваре-а.

Текст на поруци о откупнини остављеној жртвама Рисен Рансомваре-а је:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Текстуална датотека коју генерише Рисен Рансомваре садржи следећу поруку од нападача:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'