FIND Ransomware
保護您的裝置免受惡意軟體攻擊已成為一種必需,而非一種選擇。網路犯罪分子不斷改進其攻擊手段,設計出越來越複雜的勒索軟體,甚至試圖利用微小的安全漏洞。 FIND 勒索軟體是最近發現的臭名昭著的 Dharma 勒索軟體家族的一個變種,它體現了現代勒索軟體攻擊的複雜性和持久性。
目錄
FIND勒索軟體攻擊內部
FIND 勒索軟體的運作方式與 Dharma 勒索軟體家族一樣,極其高效,也正是這種高效使得 Dharma 勒索軟體家族成為最活躍的勒索軟體家族之一。惡意軟體執行後,會開始加密受害者的文件,使其無法存取。在此過程中,它會透過附加受害者的唯一 ID、攻擊者控制的電子郵件地址以及「.FIND」副檔名來重新命名每個文件,例如,將「1.png」重命名為「1.png.id-9ECFA84E」。 [findourtxt@tuta.io]
].FIND。 ' 觀察到的此威脅的另一個變體使用“.FIND5”擴展名。
加密後,勒索軟體透過兩個管道發出勒索訊息:彈出訊息和名為「info.txt」的勒索信檔案。勒索信會告知受害者他們的文件已被加密,並指示他們使用指定的 ID 透過「findourtxt@tuta.io」或「findourtxt@mailum.com」這兩個電子郵件地址之一聯繫攻擊者。
勒索信進一步聲稱受害者的部分資料已被竊取,並警告稱,如果不遵守規定,被盜資訊將被出售或與第三方共享。勒索信也勸阻受害者不要重命名文件或嘗試使用第三方工具解密數據,聲稱此類操作可能導致永久性數據遺失或更高的贖金要求。
FIND勒索軟體的運作方式
與其他 Dharma 變種一樣,FIND 勒索軟體遵循多步驟感染過程,旨在最大限度地提高影響和持久性。一旦在系統上激活,該惡意軟體就會加密本機和網路磁碟機上的文件,攻擊範圍廣泛,甚至會刪除影集副本以防止被輕易恢復。
它還會透過停用 Windows 防火牆來篡改系統設置,透過在 %LOCALAPPDATA% 目錄中放置自身副本來建立持久性,並在「運行」註冊表項中新增條目。此外,一些基於 Dharma 的變種會收集位置數據,並可能出於操作或戰略原因將特定的系統資料夾或磁碟機排除在加密之外。
感染媒介和傳播管道
FIND 勒索軟體與其前身一樣,透過欺騙性和投機取巧的方式傳播。網路犯罪分子會利用釣魚活動、惡意附件以及嵌入電子郵件的詐騙連結來誘騙用戶啟動感染。其他常見的傳播方式包括:
- 從受感染或惡意網站進行驅動下載。
- 透過盜版軟體、虛假更新或破解應用程式安裝。
- 利用未修補的軟體漏洞和薄弱的遠端桌面協定 (RDP) 配置。
- 惡意廣告、P2P 網路和受感染的可移動磁碟機(USB)。
一旦安裝,FIND 就會加密關鍵資料並要求付款(通常以加密貨幣)以提供解密金鑰——儘管無法保證付款就能成功恢復。
保持受保護的最佳安全實踐
防禦 FIND 等勒索軟體需要採取分層主動的方法。使用者和組織可以透過實施以下基本措施來顯著降低感染風險:
- 加強設備和網路安全:
- 定期更新作業系統、瀏覽器和軟體以修補已知漏洞。
- 配置防火牆和防毒工具來偵測和阻止可疑活動。
- 如果不需要,請停用 RDP 存取或透過強密碼、多因素身份驗證和 IP 白名單來限制它。
- 養成安全瀏覽和使用電子郵件的習慣:
- 避免開啟未經請求的附件或點擊來自未知寄件者的連結。
- 僅從信譽良好的來源下載軟體,避免使用種子或破解程式。
- 回覆意外的「緊急」或「安全警報」訊息時請務必小心。
- 維護可靠的備份:
- 保留重要資料的離線或基於雲端的備份。
- 確保備份設備在使用後斷開連接,以防止在攻擊期間加密。
- 教育與準備:
- 訓練所有使用者識別網路釣魚企圖和惡意行為。
- 制定事件回應計劃,概述隔離受感染系統和復原操作的明確步驟。
最後的想法
FIND 勒索軟體是 Dharma 勒索軟體家族的另一個進化,該勒索軟體持續存在且破壞力極強。它加密寶貴資料、篡改安全設置,並透過勒索信施加心理壓力,對個人和組織構成嚴重威脅。
保持強大的網路安全衛生、對可疑的線上活動保持警惕以及定期備份資料仍然是抵禦此類勒索軟體威脅最有效的防禦措施。
System Messages
The following system messages may be associated with FIND Ransomware:
All your files has been encrypted! |
Ransom message in the text file: |
