Hogyan kell kezelni a Ragnar Locker Ransomware programot (05.20.24)

Anti-Malware

A Ransomware nagyon csúnya rosszindulatú program, mert a támadók azt követelik az áldozattól, hogy fizesse be a fontos adatait, hogy túszul ejtsék. A ransomware lopva megfertőzi az áldozat eszközét, titkosítja a fontos adatokat (beleértve a biztonsági mentési fájlokat is), majd utasításokat hagy arra vonatkozóan, hogy mennyi váltságdíjat kell fizetni és hogyan kell fizetni. Mindezen problémák után az áldozat nem garantálja, hogy a támadó valóban felengedi a visszafejtő kulcsot a fájlok feloldásához. És ha valaha is megteszik, előfordulhat, hogy egyes fájlok megsérülnek, és így végül használhatatlanná válnak.

Az évek során a ransomware használata egyre népszerűbb, mert a hackereknek ez a legközvetlenebb pénzkereseti mód. Csak el kell dobniuk a rosszindulatú programot, majd meg kell várniuk, amíg a felhasználó pénzt küld a Bitcoin-on keresztül. Az Emsisoft adatai szerint 2019-ben a ransomware-támadások száma 41% -kal nőtt az előző évhez képest, mintegy 1000 amerikai szervezetet érintve. A Cybersecurity Ventures még azt is megjósolta, hogy a ransomware 11 másodpercenként támadja meg a vállalkozásokat.

Az év elején Ragnar Locker, egy újfajta rosszindulatú program támadta az Energias de Portugal (EDP) portugál villamosenergia-társaságot, amelynek központja Lisszabonban található. . A támadók 1580 bitcoinot követeltek váltságdíjként, ami körülbelül 11 millió dollárnak felel meg.

A Ragnar Locker egy ransomware típusú rosszindulatú program, amelyet nemcsak adatok titkosítására hoztak létre, hanem olyan telepített alkalmazások megsemmisítésére is, mint a ConnectWise és a Kaseya, amelyeket általában a felügyelt szolgáltatók és számos Windows-szolgáltatás használ. Ragnar Locker átnevezi a titkosított fájlokat egy egyedi kiterjesztés hozzáadásával, amely a ragnar szóból áll, amelyet véletlenszerű számok és karakterek követnek. Például egy A.jpg nevű fájlt átnevezünk A.jpg.ragnar_0DE48AAB névre.

A fájlok titkosítása után váltságdíjas üzenetet hoz létre egy szövegfájl segítségével, ugyanazzal a névformátummal, mint a fenti példával. A váltságdíjas üzenet neve RGNR_0DE48AAB.txt lehet.

Ez a ransomware csak Windows számítógépeken fut, de még nem biztos, hogy a rosszindulatú programok készítői tervezték-e a Ragnar Locker Mac verzióját is. Általában azokat a folyamatokat és alkalmazásokat célozza meg, amelyeket a felügyelt szolgáltatók általában használnak annak megakadályozására, hogy támadásaikat észleljék és leállítsák. A Ragnar Locker csak az angolul beszélő felhasználókat célozza.

A Ragnar Locker ransomware-t először 2019 decemberének végén észlelték, amikor a támadott hálózatok elleni támadások részeként használták fel. Biztonsági szakértők szerint az európai energiaóriás elleni Ragnar Locker-támadás jól átgondolt és alaposan megtervezett támadás volt.

Íme egy példa a Ragnar Locker váltságdíjas üzenetére:

Helló *!

*********************

Ha ezt az üzenetet olvasta, akkor a hálózata PENETRATED és az összes fájlja és az adatokat RAGNAR_LOCKER BETÍTOTT

*********************

********* Mi történik a rendszerével? * ***********

A hálózatot behatolták, az összes fájlt és biztonsági másolatot zárolták! Tehát mostantól Senki sem segíthet Önt fájljainak visszaszerzésében, KIVÉTELÜNK.

Google-on kereshet, nincs esélye az adatok visszafejtésének titkos kulcsunk nélkül.

De ne aggódj! A fájlok NEM sérültek meg és nem vesznek el, csak MÓDOSÍTOTTAK. Amint fizet, azonnal visszakaphatja.

Csak a PÉNZT keressük, ezért nem érdekelt bennünket, hogy acélozzuk vagy töröljük az adatait, ez csak egy BUSINESS $ -)

MÉG azonban saját maga is károsíthatja az ADATOKAT, ha bármilyen más szoftverrel megpróbálja DECRYPT-et DECRYPT-ozni, KÜLÖNLEGES TÍPUSKULCSUNK nélkül !!!

Ezenkívül összes bizalmas és személyes adatait összegyűjtöttük, és ha úgy dönt, hogy NEM fizet,

feltesszük nyilvános megtekintés céljából!

****

*********** Hogyan lehet visszaállítani a fájlokat? ******

visszafejteni az összes fájlt és adatot, amelyet a titkosításért fizetnie kell KEY:

BTC pénztárca fizetéshez: *

Fizetendő összeg (Bitcoin-ban): 25

****

*********** Mennyi időt kell fizetnie? **********

* A jobb ár elérése érdekében 2 napon belül kapcsolatba kell lépnie velünk, miután észrevette a titkosítást.

* Az ár 14 nap elteltével 100% -kal (dupla ár) emelkedne, ha nincs kapcsolatfelvétel.

* A kulcs 21 nap alatt teljesen kitörlődik, ha nincs kapcsolat vagy üzlet.

A fájlszerverekről ellopott bizonyos érzékeny információkat nyilvános vagy újraeladó.

****

*********** Mi van, ha a fájlokat nem lehet visszaállítani? ******

Annak bizonyítására, hogy valóban visszafejtjük az adatait, visszafejtjük az egyik lezárt fájlját!

Csak küldje el nekünk, és INGYEN kapja vissza.

A visszafejtő ára a hálózat méretén, az alkalmazottak számán és az éves bevételen alapul.

Kérjük, forduljon hozzánk bizalommal a fizetendő BTC összegével kapcsolatban.

****

! HA nem tudja, hogyan lehet bitcoinokat szerezni, akkor tanácsot adunk a pénzcserére.

!!!!!!!!!!!!!

! ITT A HASZNÁLATI KÉZIKÖNYV, HOGYAN KELL KAPCSOLATBAN VELÜNK!

1) Lépjen a TOX Messenger hivatalos webhelyére (hxxps: //tox.chat/download.html)

2) Töltse le és telepítse a qTOX-ot a számítógépére, válassza ki a platformot (Windows, OS X, Linux stb.)

3) Nyissa meg a Messenger alkalmazást, kattintson az „Új profil” gombra, és hozzon létre profilt.

4) Kattintson az „Ismerősök hozzáadása” gombra, és keresse meg elérhetőségünket. ! HA valamilyen oknál fogva NEM VONATKOZNAK kapcsolatba lépni velünk a qTOX-ban, akkor itt van a tartalék postafiókunk (*) üzenetet küldhet a —RAGNAR SECRET— adatokkal.

-Ne próbálja meg visszafejteni a fájlokat semmilyen harmadik féltől származó szoftverrel (az véglegesen megsérül).

-Ne telepítse újra az operációs rendszert, ez teljes adatvesztéshez és fájlokhoz vezethet nem dekódolható. SOHA!

-A visszafejtés titkos kulcsa a szerverünkön van, de nem fogja örökké tárolni. NE PAZAROLD AZ IDŐT !

****************** *****

—RAGNAR TITOK—

*********************

Mit csinál a Ragnar Locker?

A Ragnar Locker rendszerint olyan MSP eszközökön keresztül érkezik, mint a ConnectWise, ahol a kiberbűnözők eldobnak egy nagyon célzott ransomware futtatható fájlt. Ezt a szaporítási technikát korábbi erősen rosszindulatú ransomware-ek, például a Sodinokibi használták. Amikor ilyen típusú támadás történik, a ransomware szerzői nem biztonságos vagy rosszul biztosított RDP-kapcsolatokon keresztül hatolnak be a szervezetekbe vagy létesítményekbe. Ezután eszközöket használ Powershell-parancsfájlok küldésére az összes elérhető végpontra. Ezután a parancsfájlok letöltenek egy hasznos terhet a Pastebin-en keresztül, amelynek célja a ransomware végrehajtása és a végpontok titkosítása. Bizonyos esetekben a hasznos terhelés futtatható fájl formájában érkezik, amelyet fájlalapú támadás részeként indítanak. Vannak olyan esetek is, amikor egy teljesen szkript nélküli támadás részeként további szkripteket töltenek le.

A Ragnar Locker kifejezetten a kezelt szolgáltatók által általában futtatott szoftvereket célozza meg, beleértve a következő karakterláncokat:

vss
sql
memtas
mepocsok
sophos
veeam
mentés
pulseway
logme
logmein
connectwise
splashtop
kaseya

A ransomware először ellopja a cél fájljait, és feltölti azokat a szervereikre. A Ragnar Locker egyedülállója, hogy nem egyszerűen titkosítják a fájlokat, hanem azzal is fenyegetik az áldozatot, hogy az adatokat nyilvánosan közzéteszik, ha a váltságdíjat nem fizették be, például az EDP esetében. Az EDP-vel a támadók azzal fenyegetőztek, hogy felszabadítják a feltételezett 10 TB lopott adatokat, ami a történelem egyik legnagyobb adatszivárgását jelentheti. A támadók azt állították, hogy az összes partnert, ügyfelet és versenytársat tájékoztatják a jogsértésről, és kiszivárgott adataikat a hírek és a média képeihez eljuttatják nyilvános fogyasztásra. Noha az EDP szóvivője bejelentette, hogy a támadásnak nincs hatása a közüzemi áramszolgáltatásra és infrastruktúrára, a fenyegető adatszegés aggasztja őket.

A szolgáltatások letiltása és a folyamatok leállítása a taktikák általánosan alkalmazott taktikája a biztonsági programok, biztonsági mentési rendszerek, adatbázisok és levelezőszerverek letiltásához. Miután ezek a programok leálltak, adataikat titkosítani lehet.

Az első indításkor a Ragnar Locker átvizsgálja a Windows konfigurált nyelvi beállításait. Ha a nyelvi preferencia angol, akkor a kártevő a következő lépéssel folytatódik. De ha Ragnar Locker azt észleli, hogy a nyelvet a volt Szovjetunió egyik országának állítják be, akkor a rosszindulatú program leállítja a folyamatot, és nem a számítógép titkosításával. a ransomware végrehajtását. Belépve a kártevő elindítja a titkosítási folyamatot. Beágyazott RSA-2048 kulcsot használ a fontos fájlok titkosításához.

A Ragnar Locker nem titkosítja az összes fájlt. Kihagy néhány mappát, fájlnevet és kiterjesztést, például:

kernel32.dll
Windows
Windows.old
Tor böngésző
Internet Explorer
Google
Opera
Opera szoftver
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Minden felhasználó
autorun.inf
boot.ini
bootfont.bin
bootect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

A hozzáfűzésen kívül egy új fájlkiterjesztés a titkosított fájlokhoz, Ragnar Locker egy „RAGNAR” fájljelzőt is hozzáad minden titkosított fájl végéhez.

Ragnar Locker ezután eldob egy '.RGNR_ [extension] .txt' nevű váltságdíjas üzenetet, amely részleteket tartalmaz a váltságdíj összegéről, a bitcoin fizetési címről, a támadókkal való kommunikációhoz használandó TOX csevegési azonosítóról és egy tartalék e-mail címről ha problémák vannak a TOX-szal. Más ransomware-től eltérően a Ragnar Locker nem rendelkezik fix összegű váltságdíjjal. A céltól függően változik, és egyénileg kerül kiszámításra. Egyes jelentésekben a váltságdíj összege 200 000 és 600 000 USD között változhat. Az EDP esetében a kért váltságdíj 1 580 bitcoin vagy 11 millió dollár volt.

Hogyan távolítsuk el a Ragnar Locker-et? Ha a számítógéped nem volt szerencsés a Ragnar Locker fertőzésére, akkor először meg kell tenned ha az összes fájl titkosítva van. Azt is ellenőriznie kell, hogy a biztonsági mentési fájljait is titkosították-e. Az ilyen támadások kiemelik a fontos adatok biztonsági mentésének fontosságát, mert legalább nem kell aggódnia a fájljaihoz való hozzáférés elvesztése miatt.

Ne próbálja kifizetni a váltságdíjat, mert az haszontalan lesz. Nincs garancia arra, hogy a támadó a megfelelő visszafejtési kulcsot küldi el Önnek, és hogy a fájljai soha nem kerülnek a nyilvánosság elé. Valójában nagyon lehetséges, hogy a támadók továbbra is pénzt fognak kicsikarni tőled, mert tudják, hogy hajlandó vagy fizetni.

Amit megtehetsz, hogy először töröld a ransomware programot a számítógépedről, mielőtt megpróbálnád visszafejteni azt. A víruskereső vagy a rosszindulatú program elleni alkalmazás segítségével átkutathatja számítógépét rosszindulatú programok ellen, és az összes észlelt fenyegetés törléséhez kövesse az utasításokat. Ezután távolítsa el azokat a gyanús alkalmazásokat vagy bővítményeket, amelyek a rosszindulatú programhoz kapcsolódhatnak.

Végül keressen egy olyan dekódoló eszközt, amely megfelel a Ragnar Locker-nek. Számos dekódolót terveztek a ransomware által titkosított fájlok számára, de először ellenőrizze a biztonsági szoftver gyártóját, ha van ilyen. Például az Avast és a Kaspersky rendelkezik saját visszafejtő eszközzel, amelyet a felhasználók használhatnak. Itt van egy lista a további kipróbálható visszafejtő eszközökről.

Hogyan védekezhetünk a Ragnar Lockerrel szemben . Az eszköz megvédése érdekében a ransomware, különösen a Ragnar Locker ellen, az alábbiakban felsorolunk néhány tippet, amelyet szem előtt kell tartanod:

Használjon erős jelszószabályzatot kettős vagy többtényezős hitelesítéssel (MFA), ha lehetséges. Ha ez nem lehetséges, generáljon véletlenszerű, egyedi jelszavakat, amelyeket nehéz lesz kitalálni.
Ne felejtse el lezárni a számítógépet, amikor elhagyja az íróasztalt. Akár ebédelni megy, egy rövid szünetet tart, akár csak a mellékhelyiségbe megy, zárolja be a számítógépet az illetéktelen hozzáférés megakadályozása érdekében.
Hozzon létre egy adatmentési és helyreállítási tervet, különösen a kritikus információkért számítógép. Ha lehetséges, tárolja a hálózaton kívül vagy külső eszközön tárolt legkritikusabb információkat. Rendszeresen tesztelje ezeket a biztonsági mentéseket, hogy megbizonyosodjon arról, hogy valódi válság esetén megfelelően működnek-e.
Frissítse és telepítse rendszereit a legújabb biztonsági javításokkal. A Ransomware általában kihasználja a rendszer biztonsági réseit, ezért ügyeljen arra, hogy készüléke biztonsága légzáró legyen.
Vigyázzon az adathalászat általános vektoraira, amely a ransomware leggyakoribb terjesztési módszere. Ne kattintson a véletlenszerű linkekre, és mindig olvassa be az e-mail mellékleteket, mielőtt letöltené őket a számítógépére.
Telepítsen egy robusztus biztonsági szoftvert az eszközére, és frissítse az adatbázist a legújabb fenyegetésekkel.

Youtube videó: Hogyan kell kezelni a Ragnar Locker Ransomware programot

05, 2024

Hogyan kell kezelni a Ragnar Locker Ransomware programot (05.20.24)

Youtube videó: Hogyan kell kezelni a Ragnar Locker Ransomware programot

Árucikkek

5 legjobb Roblox Pizza játék, amelyet el kell játszanod

A WoW Notify rendszer engedélyezve van

4 módszer a nem megfelelő biztonsági másolat-kódok kijavítására

Mennyire magas a Fortnite tanulási görbéje (magyarázat)

Változtassa meg a Mee6 előtagot a viszályon: Lehetséges-e

Legfrissebb cikkek

Praktikus módszerek a Skype nevének megváltoztatására

Megéri-e játszani a Fortnite Single Player módot

Mennyire nehéz feltörni a WhatsApp-ot telefonszám alapján

Hogyan kell használni az Android készüléket második monitorként

A Samsung # szenzorainak diagnosztizálása a * # 0 * # használatával