Як мати справу з вимогами Ragnar Locker (05.20.24)

Вимога-шкідливе програмне забезпечення є дуже неприємним шкідливим програмним забезпеченням, оскільки зловмисники вимагають від жертви сплатити за її важливі дані, звільнені від заручників. Вимагач невидимо заражає пристрій жертви, шифрує важливі дані (включаючи файли резервних копій), а потім залишає вказівки щодо того, скільки потрібно виплатити викуп і як його сплатити. Після всіх цих клопотів жертва не має жодних гарантій, що зловмисник насправді випустить ключ розшифровки, щоб розблокувати файли. І якщо вони коли-небудь виявляться, деякі файли можуть бути пошкоджені, що зрештою зробить їх марними.

З роками використання програми-вимагателя зростало в популярності, оскільки це найпряміший спосіб хакерів заробляти гроші. Їм просто потрібно скинути шкідливе програмне забезпечення, а потім почекати, поки користувач надішле гроші через біткойн. За даними Emsisoft, кількість атак-вимоглювачів у 2019 році зросла на 41% порівняно з попереднім роком, торкнувшись близько 1000 американських організацій. Cybersecurity Ventures навіть передбачали, що програми-вимагателі атакуватимуть підприємства кожні 11 секунд.

На початку цього року Ragnar Locker, новий штам зловмисного програмного забезпечення, атакував португальську компанію з енергоспоживання Energias de Portugal (EDP) із головним офісом у Лісабоні . Зловмисники вимагали 1580 біткойнів як викуп, що еквівалентно приблизно 11 мільйонам доларів.

Що таке Ragnar Locker Ransomware?

Ragnar Locker - це тип шкідливого програмного забезпечення для випробувань, створений не просто для шифрування даних, а й для знищення встановлених програм, таких як ConnectWise та Kaseya, якими зазвичай користуються керовані провайдери послуг та кілька служб Windows. Ragnar Locker перейменовує зашифровані файли, додаючи унікальне розширення, що складається зі слова ragnar, за яким слідує рядок випадкових чисел та символів. Наприклад, файл з іменем A.jpg буде перейменовано на A.jpg.ragnar_0DE48AAB.

Після шифрування файлів він створює повідомлення про викуп за допомогою текстового файлу з тим же форматом імені, що і з прикладом вище. Повідомлення про викуп може мати ім'я RGNR_0DE48AAB.txt.

Це програмне забезпечення-вимога виконується лише на комп’ютерах з ОС Windows, проте поки невідомо, чи автори цього шкідливого програмного забезпечення також розробили версію Ragnar Locker для Mac. Зазвичай він націлений на процеси та програми, які зазвичай використовуються керованими постачальниками послуг, щоб уникнути виявлення та припинення їхньої атаки. Ragnar Locker орієнтована лише на англомовних користувачів.

Вимагальне програмне забезпечення Ragnar Locker було вперше виявлено наприкінці грудня 2019 року, коли воно було використано в рамках атак на скомпрометовані мережі. На думку експертів з безпеки, напад Ragnar Locker на європейського енергетичного гіганта був продуманою і ретельно спланованою атакою.

Ось приклад повідомлення про викуп Ragnar Locker:

Привіт *!

********************

Якщо ви читаєте це повідомлення, ваша мережа була ПЕНЕТРИРОВАНА і дані були ЗАШИФРОВАНІ

користувачем RAGNAR_LOCKER!

********************

********* Що відбувається з вашою системою? * ***********

Ваша мережа проникла, усі ваші файли та резервні копії були заблоковані! Тож відтепер НІХТО НЕ МОЖЕ ВИ ДОПОМОГТИ ВАМ ДОПОМОГТИ повернути ваші файли, ЗА КРОМОМ НАС.

Ви можете погуглити, немає ШАНСІВ для дешифрування даних без нашого СЕКРЕТНОГО КЛЮЧА.

Але не хвилюйтеся! Ваші файли НЕ ПОШКОДЖЕНІ або ВТРАЧЕНІ, вони просто МОДІФІКОВАНІ. Ви можете повернути його, як тільки заплатите.

Ми шукаємо лише ГРОШІ, тож нам не цікаво обробляти або видаляти вашу інформацію, це просто БІЗНЕС $ -)

Втім, ви можете самостійно пошкодити ДАНІ, якщо спробуєте ДЕКРИТУВАТИ будь-яким іншим програмним забезпеченням, без НАШОГО СПЕЦИФІЧНОГО КЛЮЧУ КОДУ !!!

Крім того, була зібрана вся ваша конфіденційна та приватна інформація, і якщо ви вирішите НЕ платити,

ми завантажимо її для загального огляду!

****

*********** Як повернути свої файли? ******

Кому розшифруйте всі свої файли та дані, які потрібно заплатити за шифрування КЛЮЧ:

BTC-гаманець для оплати: *

Сума до сплати (у біткойнах): 25

****

*********** Скільки часу вам потрібно заплатити? **********

* Вам слід зв’язатися з нами протягом 2 днів після того, як ви помітили шифрування, щоб отримати вищу ціну.

* Ціна не буде збільшена на 100% (подвійна ціна) через 14 днів, якщо контакт не встановлений.

* Ключ буде повністю стертий через 21 день, якщо немає контакту або угоди.

Деякі сенсовані відомості, викрадені з файлових серверів, будуть завантажені загальнодоступно перепродавець.

****

*********** Що робити, якщо файли неможливо відновити? ******

Щоб довести, що ми дійсно можемо розшифрувати ваші дані, ми розшифруємо один із ваших заблокованих файлів!

Просто надішліть нам його, і ви отримаєте його БЕЗКОШТОВНО.

Ціна дешифрувача залежить від розміру мережі, кількості працівників, річного доходу.

Будь ласка, зв'яжіться з нами щодо суми BTC, яку слід сплатити.

****

ЯКЩО ви не знаєте, як отримати біткойни, ми дамо вам пораду, як обміняти гроші.

!!!!!!!!!!!!!

! ОТЕ ПРОСТИЙ КЕРІВНИК, ЯК ПІДТРИМАТИСЯ З НАМИ!

!!!!!!!!!!!!!

1) Перейдіть на офіційний веб-сайт месенджера TOX (hxxps: //tox.chat/download.html)

2) Завантажте та встановіть qTOX на свій ПК, виберіть платформу (Windows, OS X, Linux тощо)

3) Відкрийте месенджер, натисніть “Новий профіль” і створіть профіль.

4) Натисніть кнопку «Додати друзів» та виконайте пошук у нашого контакту *

5) Для ідентифікації надішліть нашій службі підтримки дані із —RAGNAR SECRET—

ВАЖЛИВО ! ЯКЩО з якихось причин ви НЕ МОЖЕТЕ ЗВ'ЯЗАТИСЯ з нами в qTOX, ось наша резервна поштова скринька (*) надішле повідомлення з даними —RAGNAR SECRET—

ПОПЕРЕДЖЕННЯ!

-Не намагайтеся розшифрувати файли за допомогою сторонніх програм (воно буде пошкоджено назавжди)

-Не перевстановлюйте свою ОС, це може призвести до повної втрати даних та файлів неможливо розшифрувати. НІКОЛИ!

-ВАШ СЕКРЕТНИЙ КЛЮЧ для дешифрування є на нашому сервері, але він не буде зберігатися назавжди. НЕ МАРКУЙТЕ ЧАС!

********************

—РАГНАРНА ТАЄМНА— ​​

*

—RAGNAR SECRET—

********************

Що робить шафка Ragnar?

Ragnar Locker зазвичай постачається за допомогою інструментів MSP, таких як ConnectWise, в якому кіберзлочинці видаляють цілеспрямований виконуваний файл-вимагатель. Цей прийом розповсюдження використовувався попередніми зловмисними програмами-вимогами, такими як Sodinokibi. Коли трапляється такий тип атаки, автори програми-вимагателя проникають в організації чи об'єкти через незахищені або погано захищені з'єднання RDP. Потім він використовує інструменти для надсилання скриптів Powershell до всіх доступних кінцевих точок. Потім сценарії завантажують корисне навантаження через Pastebin, призначену для запуску програми-вимагателя та шифрування кінцевих точок. У деяких випадках корисне навантаження має форму виконуваного файлу, який запускається як частина атаки на основі файлів. Бувають також випадки, коли додаткові сценарії завантажуються як частина повністю безфайлової атаки.

Ragnar Locker спеціально націлений на програмне забезпечення, яке зазвичай запускається керованими постачальниками послуг, включаючи такі рядки:

  • vss
  • sql
  • memtas
  • мепока
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Вимагальник спочатку викрадає цільові файли та завантажує їх на їх сервери. Унікальним для Ragnar Locker є те, що вони не просто шифрують файли, а й погрожують жертві, що дані будуть оприлюднені публічно, якщо викуп не буде сплачено, як, наприклад, справа з EDP. За допомогою EDP зловмисники погрожували випустити передбачувані 10 ТБ викрадених даних, що може стати одним з найбільших витоків даних в історії. Зловмисники заявляли, що всі партнери, клієнти та конкуренти будуть проінформовані про порушення, а їхні дані, що просочуються, будуть надсилатися до новин та засобів масової інформації для загального споживання. Хоча прес-секретар EDP заявив, що атака не вплинула на енергетичну службу та інфраструктуру енергосистеми, їхнє занепокоєння насувається.

Вимкнення служб і завершення процесів - це загальна тактика, яка використовується шкідливим програмним забезпеченням для відключення програм безпеки, систем резервного копіювання, баз даних та поштових серверів. Після припинення дії цих програм їхні дані можуть бути зашифровані.

При першому запуску Ragnar Locker сканує налаштовані мовні налаштування Windows. Якщо мовною перевагою є англійська, зловмисне програмне забезпечення продовжить наступний крок. Але якщо Ragnar Locker виявить, що мова встановлена ​​як одна з країн колишнього СРСР, шкідливе програмне забезпечення припинить процес, а не шифруванням комп'ютера.

Ragnar Locker ставить під загрозу засоби безпеки MSP, перш ніж вони можуть заблокувати вимога-програма від виконання. Потрапивши всередину, зловмисне програмне забезпечення ініціює процес шифрування. Він використовує вбудований ключ RSA-2048 для шифрування важливих файлів.

Ragnar Locker не шифрує всі файли. Він пропустить деякі папки, імена файлів та розширення, такі як:

  • kernel32.dll
  • Windows
  • Windows.old
  • Tor browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Усі користувачі
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Окрім додавання нове розширення файлу до зашифрованих файлів, Ragnar Locker також додає маркер файлу "RAGNAR" до кінця кожного зашифрованого файлу.

Потім Ragnar Locker видає повідомлення про викуп під назвою '.RGNR_ [розширення] .txt', що містить детальну інформацію про суму викупу, платіжну адресу біткойна, ідентифікатор чату TOX, який буде використовуватися для зв’язку з нападниками, та резервну електронну адресу якщо є проблеми з TOX. На відміну від інших програм-вимог, Ragnar Locker не має фіксованої кількості викупу. Він варіюється залежно від цільового показника і розраховується індивідуально. У деяких звітах сума викупу може коливатися від 200 000 до 600 000 доларів. У разі EDP викуп вимагав 1580 біткойнів або $ 11 млн.

Як видалити Ragnar Locker

Якщо вашому комп'ютеру не пощастило заразитися Ragnar Locker, перше, що вам потрібно зробити, це перевірити якщо всі ваші файли були зашифровані. Вам також потрібно перевірити, чи також були зашифровані ваші резервні файли. Такі атаки підкреслюють важливість резервного копіювання важливих даних, оскільки, принаймні, вам не доведеться турбуватися про втрату доступу до своїх файлів.

Не намагайтеся заплатити викуп, оскільки він буде марним. Немає гарантії, що зловмисник надішле вам правильний ключ дешифрування і що ваші файли ніколи не будуть передані загальнодоступним. Насправді, цілком можливо, що зловмисники продовжуватимуть вимагати у вас гроші, бо знають, що ви готові заплатити.

Що ви можете зробити, це спершу видалити програм-вимагачів з вашого комп’ютера перед спробою розшифрувати це. Ви можете використовувати свій антивірус або додаток для зловмисного програмного забезпечення для сканування комп’ютера на наявність зловмисного програмного забезпечення та дотримуйтесь інструкцій, щоб видалити всі виявлені загрози. Далі видаліть усі підозрілі програми або розширення, які можуть бути пов’язані зі шкідливим програмним забезпеченням.

Нарешті, знайдіть інструмент дешифрування, який відповідає шафці Рагнар. Існує декілька дешифрувачів, розроблених для файлів, зашифрованих вимогами, але спочатку слід перевірити виробника програмного забезпечення для захисту, чи є у них такий. Наприклад, Avast і Kaspersky мають власний інструмент розшифровки, яким користувачі можуть користуватися. Ось перелік інших інструментів розшифровки, які ви можете спробувати.

Як захистити себе від Ragnar Locker

Вимагальна програма може бути досить клопітною, особливо якщо не існує жодного інструменту розшифровки, здатного скасувати шифрування шкідливим програмним забезпеченням. . Щоб захистити свій пристрій від програми-вимогателя, зокрема Ragnar Locker, ось кілька порад, про які потрібно пам’ятати:

  • Використовуйте чітку політику щодо паролів, використовуючи двофакторну або багатофакторну автентифікацію (МЗС), якщо це можливо. Якщо це неможливо, генеруйте випадкові унікальні паролі, про які буде важко вгадати.
  • Не забудьте заблокувати комп’ютер, виходячи з робочого столу. Незалежно від того, ви ходите на обід, робите невелику перерву або просто ходите до туалету, заблокуйте комп’ютер, щоб уникнути несанкціонованого доступу.
  • Створіть план резервного копіювання та відновлення даних, особливо для критичної інформації про комп'ютер. Зберігайте найбільш важливу інформацію, що зберігається поза мережею або на зовнішньому пристрої, якщо це можливо. Регулярно перевіряйте ці резервні копії, щоб переконатися, що вони працюють правильно у випадку справжньої кризи.
  • Зробіть ваші системи оновленими та встановленими за допомогою найновіших виправлень безпеки. Зазвичай програмне забезпечення-вимога використовує вразливі місця у вашій системі, тому переконайтесь, що безпека вашого пристрою не пропускає повітря.
  • Будьте обережні щодо загальних векторів фішингу, який є найпоширенішим методом розповсюдження викупних програм. Не натискайте випадкові посилання і завжди скануйте вкладення електронної пошти, перш ніж завантажувати їх на свій комп’ютер.
  • На вашому пристрої встановіть надійне програмне забезпечення безпеки та регулярно оновлюйте базу даних з урахуванням останніх загроз.

Відео YouTube: Як мати справу з вимогами Ragnar Locker

05, 2024