Kaip elgtis su „Ragnar Locker Ransomware“ (05.19.24)

Kenkėjiškos programos

Ransomware yra labai nemaloni kenkėjiška programa, nes užpuolikai reikalauja, kad auka sumokėtų už tai, kad jo svarbūs duomenys būtų paleisti iš įkaitų. Išpirkos programa slapta užkrečia aukos įrenginį, užšifruoja svarbius duomenis (įskaitant atsarginių kopijų failus), tada palieka nurodymus, kiek ir už ką reikia sumokėti išpirką. Po visų šių vargų auka negarantuoja, kad užpuolikas iš tikrųjų atleis iššifravimo raktą, kad atrakintų failus. Jei jie kada nors padarys, kai kurie failai gali būti sugadinti, todėl galų gale jie bus nenaudingi.

Metams bėgant išpirkos programinės įrangos naudojimas populiarėjo, nes tai yra tiesioginis būdas įsilaužėliams užsidirbti pinigų. Jie tiesiog turi mesti kenkėjišką programą, tada palaukti, kol vartotojas atsiųs pinigus per „Bitcoin“. Remiantis „Emsisoft“ duomenimis, išpirkos programų išpuolių skaičius 2019 m., Palyginti su praėjusiais metais, padidėjo 41 proc., Paveikdamas maždaug 1000 JAV organizacijų. „Cybersecurity Ventures“ netgi numatė, kad išpirkos programinės įrangos užpuls verslą kas 11 sekundžių.

Šių metų pradžioje naujas kenkėjiškų programų atmaina „Ragnar Locker“ užpuolė Lisabonoje įsikūrusią Portugalijos elektros komunalinių paslaugų bendrovę „Energias de Portugal“ (EDP). . Užpuolikai pareikalavo 1580 bitkoinų kaip išpirkos, kuri atitinka maždaug 11 milijonų dolerių.

Kas yra „Ragnar Locker Ransomware“?

„Ragnar Locker“ yra kenkėjiškų programų išpirkos programa, sukurta ne tik duomenims užšifruoti, bet ir siekiant užmušti įdiegtas programas, tokias kaip „ConnectWise“ ir „Kaseya“, kurias paprastai naudoja valdomi paslaugų teikėjai ir kelios „Windows“ paslaugos. „Ragnar Locker“ pervardija užšifruotus failus pridėdamas unikalų plėtinį, sudarytą iš žodžio „ragnar“, po kurio eina atsitiktinių skaičių ir simbolių eilutė. Pvz., Failas pavadinimu A.jpg bus pervadintas į A.jpg.ragnar_0DE48AAB.

Užšifravęs failus, jis sukuria išpirkos pranešimą naudodamas tekstinį failą tokiu pačiu pavadinimo formatu kaip su aukščiau pateiktu pavyzdžiu. Išpirkos pranešimas gali būti pavadintas RGNR_0DE48AAB.txt.

Ši išpirkos programa veikia tik „Windows“ kompiuteriuose, tačiau dar nėra aišku, ar šios kenkėjiškos programos autoriai taip pat sukūrė „Ragnar Locker“ „Mac“ versiją. Paprastai jis nukreiptas į procesus ir programas, kuriuos paprastai naudoja valdomi paslaugų teikėjai, kad jų ataka nebūtų aptikta ir sustabdyta. „Ragnar Locker“ skirta tik anglakalbiams vartotojams.

„Ragnar Locker“ išpirkos programa pirmą kartą buvo aptikta maždaug 2019 m. Gruodžio pabaigoje, kai ji buvo naudojama kaip ataka prieš pažeistus tinklus. Pasak saugumo ekspertų, „Ragnar Locker“ ataka prieš Europos energetikos milžinę buvo gerai apgalvota ir kruopščiai suplanuota ataka.

Čia pateikiamas „Ragnar Locker“ išpirkos pranešimo pavyzdys:

Sveiki *!

*********************

Jei skaitėte šį pranešimą, jūsų tinklas buvo PENETRATED ir visi jūsų failai ir duomenis ENCRYPTED

RAGNAR_LOCKER!

*********************

********* Kas nutinka jūsų sistemai? * ***********

Į jūsų tinklą buvo įsiskverbta, visi failai ir atsarginės kopijos buvo užrakintos! Taigi nuo šiol NIEKAS NEGALI JUMS PAGALBIOTI susigrąžinti failus, IŠSKYRUS MES.

Galite jį „Google“ naršyti, nėra jokių šansų iššifruoti duomenis be mūsų SLAPTAUS RAKTO.

Bet nesijaudinkite! Jūsų failai NEPAŽEISTI ir NEPAMESTI, jie tiesiog PAKEISTI. Galite ją grąžinti atgal, kai tik sumokėsite.

Mes ieškome tik PINIGŲ, todėl mes nesame suinteresuoti plinti ar ištrinti jūsų informacijos, tai tik VERSLAS $ -)

KADA jūs patys galite sugadinti savo DUOMENIS, jei bandysite NUTRAUKTI bet kurią kitą programinę įrangą be MŪSŲ KONKREČIO Šifravimo rakto !!!

Be to, buvo surinkta visa jūsų neskelbtina ir privati informacija. Jei nuspręsite nemokėti,

mes ją įkelsime viešai peržiūrėti!

****

*********** Kaip atkurti failus? ******

iššifruoti visus failus ir duomenis, kuriuos turite sumokėti už šifravimą RAKTAS:

BTC piniginė, skirta mokėjimui: *

Mokėtina suma (Bitcoin): 25

****

*********** Kiek laiko turite mokėti? **********

* Turėtumėte susisiekti su mumis per 2 dienas po to, kai pastebėsite šifravimą, kad gautumėte geresnę kainą.

* Po 14 dienų kaina būtų padidinta 100% (dviguba kaina), jei nebus susisiekta.

* Raktas bus visiškai ištrintas per 21 dieną, jei nebus susisiekta ar nebus susitarta.

Kai kuri iš failų serverių pavogta jautri informacija būtų įkelta viešai arba į perpardavėjas.

****

*********** Ką daryti, jei failų atkurti nepavyksta? ******

Norėdami įrodyti, kad tikrai galime iššifruoti jūsų duomenis, iššifruosime vieną iš jūsų užrakintų failų!

Tiesiog atsiųskite mums ir jūs juos atgausite NEMOKAMAI.

Dešifruotojo kaina priklauso nuo tinklo dydžio, darbuotojų skaičiaus, metinių pajamų.

Jei norite sumokėti BTC sumą, nedvejodami susisiekite su mumis.

****

! JEI nežinote, kaip gauti bitkoinų, mes jums patarsime, kaip išsikeisti pinigus.

!!!!!!!!!!!!!

! ČIA PAPRASTAS VADOVAS, KAIP MES KONTAKTĄ SU Mumis!

!!!!!!!!!!!!!

1) Eikite į oficialią „TOX Messenger“ svetainę (hxxps: //tox.chat/download.html)

2) Atsisiųskite ir įdiekite „qTOX“ į savo kompiuterį, pasirinkite platformą („Windows“, „OS X“, „Linux“ ir kt.)

3) Atidarykite „Messenger“, spustelėkite „Naujas profilis“ ir sukurkite profilį.

4) Spustelėkite mygtuką „Pridėti draugų“ ir ieškokite mūsų kontakto *

5) Norėdami identifikuoti, siųskite savo palaikymo duomenis iš „RAGNAR SECRET—“

SVARBU ! JEI dėl kokių nors priežasčių negalite susisiekti su mumis per qTOX, čia yra mūsų rezervinė pašto dėžutė (*) siųsti pranešimą su duomenimis iš „RAGNAR SECRET“

ĮSPĖJIMAS!

-Nebandykite iššifruoti failų naudodamiesi jokia trečiosios šalies programine įranga (ji bus visam laikui sugadinta).

-Netieskite iš naujo savo OS, tai gali visiškai prarasti duomenis ir failus negalima iššifruoti. NIEKADA!

-Jūsų SLAPTAS RAKTAS iššifravimui yra mūsų serveryje, tačiau jis nebus saugomas amžinai. NEGAIŠK LAIKO !

********************

—RAGNARŲ PASLAPTIS—

—RAGNAR PASLAPTIS—

*********************

Ką veikia „Ragnar“ spintelė?

„Ragnar Locker“ paprastai pristatomas naudojant MSP įrankius, pvz., „ConnectWise“, kur kibernetiniai nusikaltėliai numeta labai tikslingą išpirkos programų vykdomąjį failą. Šią skleidimo techniką naudojo ankstesnės labai kenkėjiškos išpirkos programos, tokios kaip Sodinokibi. Kai įvyksta tokio tipo ataka, išpirkos programos autoriai įsiskverbia į organizacijas ar objektus per nesaugius ar blogai apsaugotus KPP ryšius. Tada jis naudoja įrankius, norėdamas siųsti „Powershell“ scenarijus į visus pasiekiamus galinius taškus. Tada scenarijai atsisiunčia naudingąją apkrovą per „Pastebin“, skirtą paleisti išpirkos programą ir užšifruoti galinius taškus. Kai kuriais atvejais naudingoji apkrova yra vykdomojo failo pavidalu, kuris paleidžiamas kaip failais pagrįstos atakos dalis. Taip pat yra atvejų, kai papildomi scenarijai yra atsisiunčiami kaip atakos be failų dalis.

„Ragnar Locker“ skirta programinei įrangai, kurią paprastai valdo valdomi paslaugų teikėjai, įskaitant šias eilutes:

vss

sql

memtas

mepocs

sophos

veeam

atsarginė kopija

pulseway

logme

logmein

connectwise

splashtop

kaseya

Išpirkos programa pirmiausia pavagia taikinio failus ir įkelia juos į jų serverius. „Ragnar Locker“ išskirtinumas yra tas, kad jie ne tik užšifruoja failus, bet ir grasina aukai, kad duomenys bus paskelbti viešai, jei neišmokėta išpirkos, pavyzdžiui, atveju su EDP. Su EDP užpuolikai grasino išleisti tariamą 10 TB pavogtų duomenų, o tai gali būti vienas didžiausių duomenų nutekėjimų istorijoje. Užpuolikai teigė, kad visi partneriai, klientai ir konkurentai bus informuoti apie pažeidimą, o jų nutekinti duomenys bus siunčiami naujienų ir žiniasklaidos priemonėms viešam vartojimui. Nors EDP atstovas pranešė, kad ataka neturėjo įtakos komunalinių paslaugų energijai ir infrastruktūrai, dėl gresiančio duomenų pažeidimo jie jaudinasi.

Paslaugų išjungimas ir procesų nutraukimas yra įprasta kenkėjiškų programų taktika, leidžianti išjungti saugos programas, atsarginių kopijų sistemas, duomenų bazes ir pašto serverius. Kai šios programos bus nutrauktos, jų duomenys bus užšifruoti.

Pirmą kartą paleidus „Ragnar Locker“ nuskaitys sukonfigūruotas „Windows“ kalbos nuostatas. Jei pageidaujama kalba yra anglų kalba, kenkėjiška programa bus tęsiama atliekant kitą veiksmą. Bet jei Ragnaras Locker nustatė, kad kalba nustatyta kaip viena iš buvusių SSRS šalių, kenkėjiška programa nutrauks procesą, o ne šifruodama kompiuterį. išpirkos programa nėra įvykdyta. Įėjusi į kenkėjišką programą, pradedamas šifravimo procesas. Svarbiems failams užšifruoti naudojamas įdėtas RSA-2048 raktas.

„Ragnar Locker“ nešifruoja visų failų. Jis praleis kai kuriuos aplankus, failų pavadinimus ir plėtinius, tokius kaip:

kernel32.dll
Windows
Windows.old
„Tor“ naršyklė
„Internet Explorer“
„Google“
„Opera“
„Opera“ programinė įranga
„Mozilla“
„Mozilla Firefox“
$ Recycle.Bin
ProgramData
Visi vartotojai
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Be pridėjimo naują šifruotų failų plėtinį, Ragnaras Locker taip pat kiekvieno šifruoto failo pabaigoje prideda „RAGNAR“ failo žymeklį.

Tada „Ragnar Locker“ numeta išpirkos pranešimą pavadinimu „.RGNR_ [pratęsimas] .txt“, kuriame pateikiama išsami informacija apie išpirkos sumą, bitkoino mokėjimo adresą, TOX pokalbio ID, naudojamą bendraujant su užpuolikais, ir atsarginį el. pašto adresą jei yra problemų su TOX. Skirtingai nuo kitų išpirkos programų, „Ragnar Locker“ neturi nustatyto dydžio išpirkos. Jis skiriasi pagal tikslą ir yra apskaičiuojamas atskirai. Kai kuriose ataskaitose išpirkos suma gali svyruoti nuo 200 000 iki 600 000 USD. EDP atveju prašoma išpirkos buvo 1 580 bitkoinų arba 11 milijonų dolerių.

Kaip pašalinti „Ragnar Locker“ spintelę

Jei jūsų kompiuteryje nepasisekė užkrėsti „Ragnar Locker“, pirmiausia turite patikrinti, ar jei visi jūsų failai buvo užšifruoti. Taip pat turite patikrinti, ar jūsų atsarginės kopijos failai taip pat buvo užšifruoti. Tokie išpuoliai pabrėžia svarbių duomenų atsarginės kopijos kūrimo svarbą, nes bent jau nereikės jaudintis, kad neteksite prieigos prie failų.

Nebandykite sumokėti išpirkos, nes ji bus nenaudinga. Nėra jokios garantijos, kad užpuolikas atsiųs jums tinkamą iššifravimo raktą ir kad jūsų failai niekada nebus nutekinti viešai. Tiesą sakant, labai gali būti, kad užpuolikai ir toliau plėš iš jūsų pinigus, nes žino, kad esate pasirengęs mokėti.

Ką galite padaryti, tai pirmiausia ištrinkite išpirkos programą iš savo kompiuterio, prieš bandydami iššifruoti. tai. Galite naudoti savo antivirusinę arba antivirusinę programą, kad patikrintumėte, ar kompiuteryje nėra kenkėjiškų programų, ir vykdydami instrukcijas ištrinkite visas aptiktas grėsmes. Tada pašalinkite visas įtartinas programas ar plėtinius, kurie gali būti susiję su kenkėjiška programa.

Galiausiai ieškokite iššifravimo įrankio, kuris atitiktų „Ragnar Locker“. Yra keli iššifruotojai, skirti failams, užšifruotiems išpirkos programine įranga, tačiau pirmiausia turėtumėte patikrinti savo saugos programinės įrangos gamintoją, jei toks yra. Pavyzdžiui, „Avast“ ir „Kaspersky“ turi savo iššifravimo įrankį, kurį vartotojai gali naudoti. Čia yra sąrašas kitų iššifravimo įrankių, kuriuos galite išbandyti.

Kaip apsisaugoti nuo „Ragnar Locker“

Ransomware gali būti gana varginantis, ypač jei nėra jokio iššifravimo įrankio, galinčio panaikinti kenkėjiškos programos šifravimą. . Norėdami apsaugoti savo įrenginį nuo išpirkos, ypač „Ragnar Locker“, pateikiame keletą patarimų, kuriuos turite nepamiršti:

naudokite griežtą slaptažodžių politiką naudodami dvigubą arba daugiaspalvį autentifikavimą (URM), jei įmanoma. Jei tai neįmanoma, sugeneruokite atsitiktinius, unikalius slaptažodžius, kuriuos bus sunku atspėti.
Išeidami iš stalo būtinai užrakinkite kompiuterį. Nesvarbu, ar einate pietauti, ar trumpai pailsite, ar tiesiog einate į tualetą, užrakinkite kompiuterį, kad išvengtumėte neteisėtos prieigos.
Sukurkite duomenų atsarginių kopijų kūrimo ir atkūrimo planą, ypač jei reikia svarbios informacijos apie savo kompiuteris. Jei įmanoma, saugokite svarbiausią informaciją, saugomą už tinklo ribų arba išoriniame įrenginyje. Reguliariai išbandykite šias atsargines kopijas, kad įsitikintumėte, jog jos tinkamai veikia ištikus tikrai krizei.
Atnaujinkite ir įdiekite savo sistemas su naujausiais saugos pataisomis. Išpardavimo programos dažniausiai naudojasi jūsų sistemos pažeidžiamumais, todėl įsitikinkite, kad jūsų įrenginio sauga yra nepralaidi orui.
Būkite atsargūs dėl bendrų sukčiavimo vektorių, kurie yra labiausiai paplitęs išpirkos sukūrimo programų platinimo būdas. Spustelėkite atsitiktines nuorodas ir visada nuskaitykite el. Pašto priedus prieš atsisiųsdami juos į savo kompiuterį.
Įrenginyje turite įdiegti patikimą saugos programinę įrangą ir nuolat atnaujinkite duomenų bazę su naujausiomis grėsmėmis.

"YouTube" vaizdo įrašas: Kaip elgtis su „Ragnar Locker Ransomware“

05, 2024

Kaip elgtis su „Ragnar Locker Ransomware“ (05.19.24)

"YouTube" vaizdo įrašas: Kaip elgtis su „Ragnar Locker Ransomware“

Straipsniai

„Merge Dragons Grimshire 2: Complete Guide“

3 būdai, kaip pataisyti „Fortnite“, negalima išimti kuprinės

4 būdai, kaip išspręsti „Roblox“ svetainės įkėlimą

Negalima žaisti „WoW Cutscenes“: 3 būdai, kaip išspręsti problemą

„Golf Clash“: šaudymo skylės ir kaip laimėti

Naujausi straipsniai

5 populiariausi žaidimai, tokie kaip „Exteel“ („Exteel“ alternatyvos)

5 geriausi medžioklės žaidimai garuose, kuriuos turėtumėte žaisti

3 būdai, kaip išspręsti „Minecraft“ reidą, kuris nesibaigia

Kaip neišeiti į AFK „WoW Classic“ (3 būdai)

„Legionfall“ čempionai nerodomi WoW: 3 pataisymai