Как да се справим с Ragnar Locker Ransomware (05.19.24)

Ransomware е много неприятен зловреден софтуер, тъй като нападателите изискват от жертвата да плати за нейните важни данни, за да бъдат освободени от заложници. Рансъмуерът инфектира крадешком устройството на жертвата, криптира важните данни (включително архивните файлове), след което оставя инструкции колко откуп трябва да бъде платен и как трябва да бъде платен. След всички тези кавги жертвата няма гаранция, че нападателят действително ще пусне ключа за дешифриране, за да отключи файловете. И ако някога го направят, някои от файловете може да са повредени, което в крайна сметка ще ги направи безполезни.

През годините използването на рансъмуер нараства популярността си, защото това е най-прекият начин за хакери да печелят пари. Те просто трябва да пуснат зловредния софтуер, след което да изчакат потребителят да изпрати пари чрез биткойн. Според данни от Emsisoft, броят на атаките на рансъмуер през 2019 г. се е увеличил с 41% спрямо предходната година, засягайки около 1000 американски организации. Cybersecurity Ventures дори прогнозираха, че рансъмуерът ще атакува бизнеса на всеки 11 секунди.

По-рано тази година Ragnar Locker, нов щам зловреден софтуер, атакува Energias de Portugal (EDP), португалска електрическа компания със седалище в Лисабон . Нападателите поискаха 1580 биткойни като откуп, което се равнява на около 11 милиона долара.

Какво е Ragnar Locker Ransomware?

Ragnar Locker е вид зловреден софтуер, създаден не само за криптиране на данни, но и за унищожаване на инсталирани приложения, като ConnectWise и Kaseya, които обикновено се използват от управлявани доставчици на услуги и няколко услуги на Windows. Ragnar Locker преименува криптираните файлове, като добавя уникално разширение, съставено от думата ragnar, последвано от низ от произволни числа и символи. Например файл с името A.jpg ще бъде преименуван на A.jpg.ragnar_0DE48AAB.

След шифроването на файловете, той създава съобщение за откуп с текстов файл, със същия формат на име като с горния пример. Съобщението за откуп може да бъде наречено RGNR_0DE48AAB.txt.

Този рансъмуер работи само на компютри с Windows, но все още не е сигурно дали авторите на този зловреден софтуер са проектирали и Mac версия на Ragnar Locker. Обикновено той е насочен към процеси и приложения, често използвани от управлявани доставчици на услуги, за да не бъде открита и спряна атаката им. Ragnar Locker е насочен само към англоговорящи потребители.

Рансъмуерът Ragnar Locker е открит за първи път около края на декември 2019 г., когато е използван като част от атаки срещу компрометирани мрежи. Според експерти по сигурността атаката на Ragnar Locker срещу европейския енергиен гигант е била добре обмислена и добре планирана атака.

Ето пример за съобщението за откуп Ragnar Locker:

Здравейте *!

********************

Ако четете това съобщение, мрежата ви е ПЕНЕТРИРАНА и всички ваши файлове и данните са ПИШЕНИ

от RAGNAR_LOCKER!

********************

********* Какво се случва с вашата система? * ***********

Вашата мрежа беше проникната, всичките ви файлове и резервни копия бяха заключени! Така че отсега НИКОЙ НЕ МОЖЕ ДА ВИ ПОМОГНЕ ДА ВИ ПОМОГНЕТЕ да върнете вашите файлове, С изключение на нас.

Можете да го потърсите в Google, няма ШАНСОВЕ за дешифриране на данни без нашия ТАЙНЕН КЛЮЧ.

Но не се притеснявайте! Вашите файлове НЕ СА ПОЩЕНИ или ЗАГУБЕНИ, а САМО МОДИФИЦИРАНИ. Можете да го върнете обратно, веднага щом ПЛАЩАТЕ.

Ние търсим само ПАРИ, така че няма интерес да стоманим или изтрием вашата информация, това е просто БИЗНЕС $ -)

ОБАЧЕ можете сами да повредите ДАННИТЕ си, ако се опитате ДЕКРИПТИРАНЕ от друг софтуер, без НАШИЯ СПЕЦИФИЧЕН КЛЮЧ ЗА КОДИРАНЕ !!!

Също така, цялата ваша поверителна и лична информация е събрана и ако решите да НЕ плащате,

ние ще я качим за публичен преглед!

****

*********** Как да върна вашите файлове? ******

До декриптирайте всичките си файлове и данни, които трябва да платите за криптирането КЛЮЧ:

BTC портфейл за плащане: *

Сума за плащане (в биткойн): 25

****

*********** Колко време трябва да платите? **********

* Трябва да се свържете с нас в рамките на 2 дни след като сте забелязали криптирането, за да получите по-добра цена.

* Цената ще бъде увеличена със 100% (двойна цена) след 14 дни, ако няма установен контакт.

* Ключът ще бъде напълно изтрит след 21 дни, ако не е осъществен контакт или не е сключена сделка.

Някои смислени данни, откраднати от файловите сървъри, ще бъдат качени публично или на препродавач.

****

*********** Ами ако файловете не могат да бъдат възстановени? ******

За да докажем, че наистина можем да дешифрираме вашите данни, ще дешифрираме един от вашите заключени файлове!

Просто ни го изпратете и ще го върнете БЕЗПЛАТНО.

Цената за декриптора се основава на размера на мрежата, броя на служителите, годишните приходи.

Моля, не се колебайте да се свържете с нас за размера на BTC, който трябва да бъде платен.

****

! АКО не знаете как да получите биткойни, ние ще ви дадем съвет как да обменяте парите.

!!!!!!!!!!!!!

! ТУК Е ПРОСТОТО РЪКОВОДСТВО ЗА КОНТАКТ С НАС!

!!!!!!!!!!!!!

1) Отидете на официалния уебсайт на TOX messenger (hxxps: //tox.chat/download.html)

2) Изтеглете и инсталирайте qTOX на вашия компютър, изберете платформата (Windows, OS X, Linux и т.н.)

3) Отворете messenger, щракнете върху „New Profile“ и създайте профил.

4) Щракнете върху бутона „Добавяне на приятели“ и потърсете в нашия контакт *

5) За идентификация изпратете на нашите данни за поддръжка от —RAGNAR SECRET—

ВАЖНО ! АКО по някакви причини НЕ МОЖЕТЕ ДА СЕ СВЪРЖАТЕ с нас в qTOX, ето нашата резервна пощенска кутия (*) изпраща съобщение с данни от —RAGNAR SECRET—

ПРЕДУПРЕЖДЕНИЕ!

-Не се опитвайте да дешифрирате файлове с който и да е софтуер на трети страни (той ще бъде повреден за постоянно)

-Не преинсталирайте вашата операционна система, това може да доведе до пълна загуба на данни и файлове не може да бъде дешифриран. НИКОГА!

- ВАШИЯТ ТАЙНЕН КЛЮЧ за дешифриране е на нашия сървър, но няма да се съхранява завинаги. НЕ ГУБИ ВРЕМЕ !

********************

—РАГНАРНА ТАЙНА—

*

—RAGNAR SECRET—

********************

Какво прави шкафчето Ragnar?

Ragnar Locker обикновено се доставя чрез MSP инструменти като ConnectWise, при което киберпрестъпниците пускат високо насочен изпълним файл за рансъмуер. Тази техника на разпространение е била използвана от предишни силно зловредни рансъмуери, като Sodinokibi. Когато се случи този тип атака, авторите на рансъмуера проникват в организации или съоръжения чрез незащитени или лошо защитени връзки RDP. След това използва инструменти за изпращане на скриптове на Powershell до всички достъпни крайни точки. След това скриптовете изтеглят полезен товар чрез Pastebin, предназначен за изпълнение на рансъмуера и криптиране на крайните точки. В някои случаи полезният товар се предлага под формата на изпълним файл, който се стартира като част от файлова атака. Има и случаи, когато допълнителни скриптове се изтеглят като част от напълно безфайлова атака.

Ragnar Locker специално насочва към софтуер, често управляван от управлявани доставчици на услуги, включително следните низове:

  • vss
  • sql
  • memtas
  • мепоци
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Рансъмуерът първо открадва файловете на целта и ги качва на техните сървъри. Уникалното при Ragnar Locker е, че те не просто криптират файловете, но също така заплашват жертвата, че данните ще бъдат публикувани публично, ако откупът не е платен, какъвто е случаят с EDP. С EDP, нападателите заплашиха да освободят предполагаемите 10TB откраднати данни, което може да бъде един от най-големите изтичания на данни в историята. Нападателите твърдяха, че всички партньори, клиенти и конкуренти ще бъдат информирани за нарушението и техните изтекли данни ще бъдат изпращани до новини и медийни изображения за обществено потребление. Въпреки че говорителят на EDP обяви, че атаката не е оказала въздействие върху енергийната услуга и инфраструктурата на помощната програма, задаващото се нарушение на данните е нещо, от което те се притесняват.

Деактивирането на услуги и прекратяването на процеси са често срещани тактики, използвани от зловредния софтуер за деактивиране на програми за сигурност, системи за архивиране, бази данни и пощенски сървъри. След като тези програми бъдат прекратени, данните им могат да бъдат криптирани.

При първото стартиране Ragnar Locker ще сканира конфигурираните езикови предпочитания на Windows. Ако предпочитанието за език е английски, зловредният софтуер ще продължи със следващата стъпка. Но ако Ragnar Locker установи, че езикът е зададен като една от страните от бившия СССР, зловредният софтуер ще прекрати процеса, а не с криптиране на компютъра.

Ragnar Locker компрометира инструментите за сигурност на MSP, преди да могат да блокират рансъмуерът от изпълнение. Веднъж попаднал вътре, зловредният софтуер инициира процеса на криптиране. Той използва вграден ключ RSA-2048 за криптиране на важните файлове.

Ragnar Locker не криптира всички файлове. Тя ще пропусне някои папки, имена на файлове и разширения, като:

  • kernel32.dll
  • Windows
  • Windows.old
  • Tor browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Всички потребители
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Освен добавяне ново разширение на файла към криптираните файлове, Ragnar Locker също добавя маркер на файл „RAGNAR“ в края на всеки криптиран файл.

След това Ragnar Locker пуска съобщение за откуп с име „.RGNR_ [разширение] .txt“, съдържащо подробности за сумата на откупа, адрес за плащане на биткойн, идентификационен номер на чат TOX, който да се използва за комуникация с нападателите и резервен имейл адрес ако има проблеми с TOX. За разлика от други изкупвачи, Ragnar Locker няма фиксирано количество откуп. Тя варира в зависимост от целта и се изчислява индивидуално. В някои доклади размерът на откупа може да варира между 200 000 и 600 000 долара. В случай на EDP, исканият откуп е 1580 биткойна или 11 милиона долара.

Как да премахнете Ragnar Locker

Ако вашият компютър нямаше късмет да бъде заразен с Ragnar Locker, първото нещо, което трябва да направите, е да ако всичките ви файлове са криптирани. Също така трябва да проверите дали вашите архивни файлове също са криптирани. Атаки като тази подчертават важността на резервното копие на вашите важни данни, защото поне няма да се притеснявате, че ще загубите достъп до файловете си.

Не се опитвайте да платите откупа, защото той ще бъде безполезен. Няма гаранция, че нападателят ще ви изпрати правилния ключ за дешифриране и че вашите файлове никога няма да бъдат публикувани. Всъщност е много възможно нападателите да продължат да изнудват пари от вас, защото знаят, че сте готови да платите.

Това, което можете да направите, е първо да изтриете рансъмуера от компютъра си, преди да се опитате да дешифрирате то. Можете да използвате вашето антивирусно или анти-зловредно приложение, за да сканирате компютъра си за злонамерен софтуер и да следвате инструкциите, за да изтриете всички открити заплахи. След това деинсталирайте всички подозрителни приложения или разширения, които може да са свързани със зловредния софтуер.

И накрая, потърсете инструмент за дешифриране, който съответства на Ragnar Locker. Има няколко декриптора, които са проектирани за файлове, криптирани от ransomware, но първо трябва да проверите производителя на софтуера си за сигурност дали има такъв. Например Avast и Kaspersky имат свой собствен инструмент за дешифриране, който потребителите могат да използват. Ето списък с други инструменти за дешифриране, които можете да опитате.

Как да се предпазите от Ragnar Locker

Ransomware може да бъде доста обезпокоителен, особено ако няма съществуващ инструмент за дешифриране, способен да отмени криптирането, извършено от зловредния софтуер . За да защитите устройството си от рансъмуер, по-специално Ragnar Locker, ето някои от съветите, които трябва да имате предвид:

  • Използвайте строга политика за пароли, като използвате двойно или многофакторно удостоверяване (MFA), ако е възможно. Ако това не е възможно, генерирайте произволни, уникални пароли, които ще бъдат трудни за отгатване.
  • Не забравяйте да заключите компютъра си, когато напускате бюрото си. Независимо дали излизате на обяд, правите кратка почивка или просто отивате до тоалетната, заключете компютъра си, за да предотвратите неоторизиран достъп.
  • Създайте план за архивиране и възстановяване на данни, особено за критична информация за компютър. Съхранявайте най-важната информация, съхранявана извън мрежата или на външно устройство, ако е възможно. Тествайте тези архиви редовно, за да се уверите, че функционират правилно в случай на истинска криза.
  • Уверете се, че вашите системи се актуализират и инсталират с най-новите корекции за сигурност. Ransomware обикновено използва уязвимости във вашата система, така че се уверете, че защитата на устройството ви е херметична.
  • Внимавайте с общите вектори за фишинг, който е най-разпространеният метод за разпространение на рансъмуера. Не щракайте произволни връзки и винаги сканирайте прикачени файлове към имейл, преди да ги изтеглите на компютъра си.
  • Инсталирайте на вашето устройство надежден софтуер за защита и поддържайте базата данни актуализирана с най-новите заплахи.

YouTube Video.: Как да се справим с Ragnar Locker Ransomware

05, 2024