FIND Ransomware
保护您的设备免受恶意软件攻击已成为一种必需,而非一种选择。网络犯罪分子不断改进其攻击手段,设计出越来越复杂的勒索软件,甚至试图利用微小的安全漏洞。FIND 勒索软件是最近发现的臭名昭著的 Dharma 勒索软件家族的一个变种,它体现了现代勒索软件攻击的复杂性和持久性。
目录
FIND勒索软件攻击内部
FIND 勒索软件的运作方式与 Dharma 勒索软件家族一样,极其高效,也正是这种高效使得 Dharma 勒索软件家族成为最活跃的勒索软件家族之一。恶意软件执行后,会开始加密受害者的文件,使其无法访问。在此过程中,它会通过附加受害者的唯一 ID、攻击者控制的电子邮件地址以及“.FIND”扩展名来重命名每个文件,例如,将“1.png”重命名为“1.png.id-9ECFA84E”。[findourtxt@tuta.io]
].FIND。' 观察到的此威胁的另一个变体使用“.FIND5”扩展名。
加密后,勒索软件通过两个渠道发出勒索信息:弹出消息和名为“info.txt”的勒索信文件。勒索信会告知受害者他们的文件已被加密,并指示他们使用指定的 ID 通过“findourtxt@tuta.io”或“findourtxt@mailum.com”这两个电子邮件地址之一联系攻击者。
勒索信进一步声称受害者的部分数据已被窃取,并警告称,如果不遵守规定,被盗信息将被出售或与第三方共享。勒索信还劝阻受害者不要重命名文件或尝试使用第三方工具解密数据,声称此类操作可能导致永久性数据丢失或更高的赎金要求。
FIND勒索软件的运作方式
与其他 Dharma 变种一样,FIND 勒索软件遵循多步骤感染过程,旨在最大限度地提高影响和持久性。一旦在系统上激活,该恶意软件就会加密本地和网络驱动器上的文件,攻击范围广泛,甚至会删除卷影副本以防止被轻易恢复。
它还会通过禁用 Windows 防火墙来篡改系统设置,通过在 %LOCALAPPDATA% 目录中放置自身副本来建立持久性,并在“运行”注册表项中添加条目。此外,一些基于 Dharma 的变种会收集位置数据,并可能出于操作或战略原因将特定的系统文件夹或驱动器排除在加密之外。
感染媒介和传播渠道
FIND 勒索软件与其前身一样,通过欺骗性和投机取巧的方式进行传播。网络犯罪分子会利用钓鱼活动、恶意附件以及嵌入电子邮件的欺诈链接来诱骗用户启动感染。其他常见的传播方式包括:
- 从受感染或恶意网站进行驱动下载。
- 通过盗版软件、虚假更新或破解应用程序安装。
- 利用未修补的软件漏洞和薄弱的远程桌面协议 (RDP) 配置。
- 恶意广告、P2P 网络和受感染的可移动驱动器(USB)。
一旦安装,FIND 就会加密关键数据并要求付款(通常以加密货币)以提供解密密钥——尽管不能保证付款就能成功恢复。
保持受保护的最佳安全实践
防御 FIND 等勒索软件需要采取分层主动的方法。用户和组织可以通过实施以下基本措施来显著降低感染风险:
- 加强设备和网络安全:
- 定期更新操作系统、浏览器和软件以修补已知漏洞。
- 配置防火墙和防病毒工具来检测和阻止可疑活动。
- 如果不需要,请禁用 RDP 访问或通过强密码、多因素身份验证和 IP 白名单来限制它。
- 养成安全浏览和使用电子邮件的习惯:
- 避免打开未经请求的附件或点击来自未知发件人的链接。
- 仅从信誉良好的来源下载软件,避免使用种子或破解程序。
- 回复意外的“紧急”或“安全警报”消息时请务必小心。
- 维护可靠的备份:
- 保留重要数据的离线或基于云的备份。
- 确保备份设备在使用后断开连接,以防止在攻击期间加密。
- 教育和准备:
- 培训所有用户识别网络钓鱼企图和恶意行为。
- 制定事件响应计划,概述隔离受感染系统和恢复操作的明确步骤。
最后的想法
FIND 勒索软件是 Dharma 勒索软件家族的又一次进化,该勒索软件持续存在且破坏力极强。它加密宝贵数据、篡改安全设置,并通过勒索信施加心理压力,对个人和组织构成严重威胁。
保持强大的网络安全卫生、对可疑的在线活动保持警惕以及定期备份数据仍然是抵御此类勒索软件威胁最有效的防御措施。
System Messages
The following system messages may be associated with FIND Ransomware:
All your files has been encrypted! |
Ransom message in the text file: |
