Kā rīkoties ar Ragnar Locker Ransomware (05.19.24)

Pret ļaunprātīgu programmatūru

Ransomware ir ļoti nejauka ļaunprātīga programmatūra, jo uzbrucēji pieprasa upurim samaksāt par viņa svarīgo datu atbrīvošanu no ķīlnieka. Izpirkuma programmatūra slepeni inficē upura ierīci, šifrē svarīgos datus (ieskaitot dublējuma failus), pēc tam atstājot norādījumus par to, cik liela izpirkuma maksa ir jāmaksā. Pēc visām šīm grūtībām upurim nav garantijas, ka uzbrucējs patiešām atbrīvos atšifrēšanas atslēgu, lai atbloķētu failus. Un, ja viņi kādreiz to izdarīs, daži faili varētu būt bojāti, padarot tos galu galā bezjēdzīgus.

Gadu gaitā ransomware izmantošana ir kļuvusi arvien populārāka, jo tas ir vistiešākais veids, kā hakeriem nopelnīt naudu. Viņiem vienkārši jānomet ļaunprogrammatūra, pēc tam jāgaida, kamēr lietotājs sūta naudu caur Bitcoin. Saskaņā ar Emsisoft datiem, izpirkuma programmatūras uzbrukumu skaits 2019. gadā pieauga par 41% salīdzinājumā ar iepriekšējo gadu, ietekmējot apmēram 1000 ASV organizācijas. Cybersecurity Ventures pat paredzēja, ka izpirkumprogrammatūra uzņēmumiem uzbruks ik pēc 11 sekundēm.

Šī gada sākumā Ragnar Locker, jauna veida ļaunprātīgas programmatūras, uzbruka Energias de Portugal (EDP), Portugāles elektrotehnikas uzņēmumam, kura galvenā mītne atrodas Lisabonā. . Uzbrucēji pieprasīja 1580 bitkoinus kā izpirkuma maksu, kas atbilst aptuveni 11 miljoniem USD.

Kas ir Ragnar Locker Ransomware?

Ragnar Locker ir ļaunprātīgas programmatūras veids pret izpirkuma programmatūru, kas izveidots ne tikai datu šifrēšanai, bet arī lai nogalinātu instalētās lietojumprogrammas, piemēram, ConnectWise un Kaseya, kuras parasti izmanto pārvaldītie pakalpojumu sniedzēji un vairāki Windows pakalpojumi. Ragnar Locker pārdēvē šifrētos failus, pievienojot unikālu paplašinājumu, kas sastāv no vārda ragnar, kam seko virkne nejaušu skaitļu un rakstzīmju. Piemēram, fails ar nosaukumu A.jpg tiks pārdēvēts par A.jpg.ragnar_0DE48AAB.

Pēc failu šifrēšanas tas pēc teksta faila izveido izpirkuma ziņojumu ar tādu pašu nosaukuma formātu kā ar iepriekš minēto piemēru. Izpirkuma ziņojuma nosaukums varētu būt RGNR_0DE48AAB.txt.

Šī izpirkuma programmatūra darbojas tikai Windows datoros, taču vēl nav skaidrs, vai šīs ļaunprātīgās programmatūras autori ir izstrādājuši arī Ragnar Locker Mac versiju. Parasti tā ir vērsta uz procesiem un lietojumprogrammām, ko parasti izmanto pārvaldītie pakalpojumu sniedzēji, lai uzbrukums netiktu atklāts un apturēts. Ragnar Locker ir domāts tikai lietotājiem, kuri runā angliski.

Ragnar Locker ransomware pirmo reizi tika atklāts aptuveni 2019. gada decembra beigās, kad to izmantoja kā daļu no uzbrukumiem pret apdraudētiem tīkliem. Pēc drošības ekspertu domām, Ragnara Lokera uzbrukums Eiropas enerģētikas gigantam bija pārdomāts un rūpīgi plānots uzbrukums.

Lūk, Ragnar Locker izpirkuma ziņojuma piemērs:

Sveiki *!

*********************

Ja lasījāt šo ziņojumu, jūsu tīkls tika PENETRATED un visi jūsu faili un datus RAGNAR_LOCKER ir ENCRYPTED

*********************

********* Kas notiek ar jūsu sistēmu? * ***********

Tīkls ir iekļuvis, visi faili un dublējumkopijas ir bloķētas! Tāpēc neviens vairs NEVAR PALĪDZĒT jums atgūt failus, IZŅEMOT MUMS.

Jūs to varat googlēt, nav iespēju, lai atšifrētu datus bez mūsu SLEPENA ATSLĒGAS.

Bet neuztraucieties! Jūsu faili NAV sabojāti vai Zaudēti, tie ir vienkārši PĀRVEIDOTI. To var atgūt TŪLĪT, tiklīdz jūs maksājat.

Mēs meklējam tikai NAUDU, tāpēc mums nav intereses jūsu informāciju ievietot vai dzēst, tas ir tikai BUSINESS $ -)

KĀDU jūs pats varat sabojāt savus DATUS, ja mēģināt ATCELT jebkuru citu programmatūru, bez MŪSU ĪPAŠĀS ŠĶIRŠANAS ATSLĒGAS !!!

Turklāt tika apkopota visa jūsu slepenā un privātā informācija, un, ja jūs nolemjat NEMAKSĀT,

mēs to augšupielādēsim publiskai apskatei!

****

*********** Kā atgūt failus? ******

atšifrēt visus failus un datus, kas jums jāmaksā par šifrēšanu KEY:

BTC maks maksājumam: *

Maksājamā summa (Bitcoin): 25

****

*********** Cik daudz laika jums jāmaksā? **********

* Jums vajadzētu sazināties ar mums 2 dienu laikā pēc tam, kad pamanījāt šifrēšanu, lai iegūtu labāku cenu.

* Pēc 14 dienām cena tiktu paaugstināta par 100% (dubultā cena), ja nav sazināšanās.

* Atslēga tiktu pilnībā izdzēsta 21 dienas laikā, ja nav izveidots kontakts vai nav noslēgts darījums.

Daļa sensitīva informācija, kas nozagta no failu serveriem, tiktu augšupielādēta publiski vai vietnē pārdevējs.

****

*********** Ko darīt, ja failus nevar atjaunot? ******

Lai pierādītu, ka mēs patiešām varam atšifrēt jūsu datus, mēs atšifrēsim vienu no jūsu bloķētajiem failiem!

Vienkārši nosūtiet to mums, un jūs tos atgūsiet BEZ MAKSAS.

Atšifrētāja cena ir balstīta uz tīkla lielumu, darbinieku skaitu, gada ieņēmumiem.

Lūdzu, sazinieties ar mums, lai uzzinātu BTC summu, kas būtu jāmaksā.

****

! JA nezināt, kā iegūt bitkoīnus, mēs jums ieteiksim, kā apmainīt naudu.

!!!!!!!!!!!!!

! ŠEIT IR VIENKĀRŠA ROKASGRĀMATA, KĀ SAŅEMT KONTAKTU AR MUMS!

!!!!!!!!!!!!!

1) Dodieties uz TOX Messenger oficiālo vietni (hxxps: //tox.chat/download.html)

2) Lejupielādējiet un instalējiet qTOX savā personālajā datorā, izvēlieties platformu (Windows, OS X, Linux utt.)

3) Atveriet Messenger, noklikšķiniet uz “New Profile” un izveidojiet profilu.

4) Noklikšķiniet uz pogas “Pievienot draugus” un meklējiet mūsu kontaktpersonu *

5) Lai identificētu, nosūtiet mūsu atbalsta datus no —RAGNAR SECRET—

SVARĪGI ! JA kādu iemeslu dēļ ar mums nevar sazināties qTOX, šeit ir mūsu rezerves pastkaste (*), kas nosūta ziņojumu ar datiem no —RAGNAR SECRET—

BRĪDINĀJUMS!

-Nemēģiniet atšifrēt failus, izmantojot trešo pušu programmatūru (tā tiks neatgriezeniski bojāta).

-Neinstalējiet savu OS, tas var izraisīt pilnīgu datu un failu zudumu. nevar atšifrēt. NEKAD!

-Jūsu atšifrēšanas SLEPENA atslēga ir mūsu serverī, taču tā netiks glabāta uz visiem laikiem. NEVAJADZĒT LAIKU!

********************

—RAGNĀRA SLEPENI—

—RAGNAR SECRET—

*********************

Ko dara Ragnar skapītis?

Ragnar skapītis parasti tiek piegādāts, izmantojot MSP rīkus, piemēram, ConnectWise, kur kibernoziedznieki nomet ļoti mērķtiecīgu ransomware izpildāmo failu. Šo pavairošanas paņēmienu izmantoja iepriekšējie ļoti ļaunprātīgie ransomware, piemēram, Sodinokibi. Kad notiek šāda veida uzbrukums, izpirkuma programmatūras autori iefiltrējas organizācijās vai objektos, izmantojot nenodrošinātus vai slikti drošus LAP savienojumus. Pēc tam tā izmanto rīkus, lai nosūtītu Powershell skriptus uz visiem pieejamiem galapunktiem. Pēc tam skripti, izmantojot Pastebin, lejupielādē derīgo kravu, kas paredzēta izpirkuma programmatūras izpildei un gala punktu šifrēšanai. Dažos gadījumos lietderīgā slodze ir izpildāma faila veidā, kas tiek palaists kā uzbrukums failiem. Ir arī gadījumi, kad papildu skripti tiek lejupielādēti kā daļa no uzbrukuma bez failiem.

Ragnar Locker mērķauditorija ir programmatūra, kuru parasti vada pārvaldītie pakalpojumu sniedzēji, tostarp šādas virknes:

vss
sql
memtas
mepocs
sophos
komanda
dublējums
pulseway
logme
logmein
connectwise
šļakatas
kaseya

Atpirkšanas programmatūra vispirms nozog mērķa failus un augšupielādē tos viņu serveros. Ragnar Locker unikālais ir tas, ka tie ne tikai šifrē failus, bet arī draud upurim, ka dati tiks publiskoti, ja izpirkuma maksa nav samaksāta, piemēram, gadījums ar EDP. Ar EDP uzbrucēji draudēja atbrīvot domājamos 10 TB nozagtos datus, kas varētu būt viena no lielākajām datu noplūdēm vēsturē. Uzbrucēji apgalvoja, ka visi partneri, klienti un konkurenti tiks informēti par pārkāpumu un viņu nopludinātie dati tiks nosūtīti ziņu un plašsaziņas līdzekļu pārstāvjiem publiskam patēriņam. Lai gan EDP pārstāvis ir paziņojis, ka uzbrukums neietekmēja komunālo pakalpojumu servisu un infrastruktūru, draudošais datu pārkāpums ir tas, par ko viņi uztraucas.

Pakalpojumu atspējošana un procesu pārtraukšana ir izplatīta taktika, ko ļaunprātīga programmatūra izmanto, lai atspējotu drošības programmas, dublēšanas sistēmas, datu bāzes un pasta serverus. Kad šīs programmas ir pārtrauktas, to datus var šifrēt.

Pēc pirmās palaišanas Ragnar Locker skenēs konfigurētās Windows valodas preferences. Ja valodas izvēle ir angļu valoda, ļaunprātīgā programmatūra turpinās ar nākamo soli. Bet, ja Ragnar Locker konstatēja, ka valoda ir iestatīta kā viena no bijušajām PSRS valstīm, ļaunprātīgā programmatūra pārtrauks procesu, nevis ar datora šifrēšanu.

Ragnar Locker pirms to bloķēšanas apdraud kompānijas MSP drošības rīkus. izpirkuma programmatūras izpilde. Iekļuvusi ļaunprātīgā programmatūra sāk šifrēšanas procesu. Svarīgo failu šifrēšanai tiek izmantota iegulta RSA-2048 atslēga.

Ragnar Locker nešifrē visus failus. Tas izlaidīs dažas mapes, failu nosaukumus un paplašinājumus, piemēram:

kernel32.dll
Windows
Windows.old
Tor pārlūks
Internet Explorer
Google
Opera
Opera programmatūra
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Visi lietotāji
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Papildus pievienošanai jauns šifrēto failu paplašinājums, Ragnar Locker katra šifrētā faila beigās pievieno arī faila marķieri RAGNAR.

Pēc tam Ragnar Locker nomet izpirkuma ziņojumu ar nosaukumu “.RGNR_ [paplašinājums] .txt”, kurā ir sīkāka informācija par izpirkuma summu, Bitcoin maksājuma adresi, TOX tērzēšanas ID, kas jāizmanto saziņai ar uzbrucējiem, un rezerves e-pasta adresi. ja ir problēmas ar TOX. Atšķirībā no citām izpirkuma programmām, Ragnar Locker nav noteikta izpirkuma summa. Tas mainās atkarībā no mērķa un tiek aprēķināts individuāli. Dažos ziņojumos izpirkuma summa varētu svārstīties no 200 000 līdz 600 000 USD. EDP gadījumā pieprasītā izpirkuma maksa bija 1 580 bitcoin vai 11 miljoni USD.

Kā noņemt Ragnar Locker

Ja jūsu datoram nav paveicies inficēties ar Ragnar Locker, pirmā lieta, kas jums jādara, ir pārbaudīt ja visi jūsu faili ir šifrēti. Jums arī jāpārbauda, vai arī jūsu dublējuma faili ir šifrēti. Šādi uzbrukumi uzsver svarīgu datu dublēšanas nozīmi, jo jums vismaz nebūs jāuztraucas par piekļuves zaudēšanu saviem failiem.

Nemēģiniet maksāt izpirkuma maksu, jo tā būs bezjēdzīga. Nav garantijas, ka uzbrucējs nosūtīs jums pareizo atšifrēšanas atslēgu un ka jūsu faili nekad netiks nopludināti sabiedrībai. Faktiski ir ļoti iespējams, ka uzbrucēji turpinās no jums izspiest naudu, jo viņi zina, ka esat gatavs maksāt.

Pirms mēģināt atšifrēt, vispirms varat no sava datora izdzēst izpirkuma programmu. to. Varat izmantot pretvīrusu vai pretvīrusu programmu, lai pārbaudītu, vai datorā nav ļaunprātīgas programmatūras, un izpildiet norādījumus, lai dzēstu visus atklātos draudus. Pēc tam atinstalējiet visas aizdomīgās lietotnes vai paplašinājumus, kas varētu būt saistīti ar ļaunprātīgu programmatūru.

Visbeidzot, meklējiet atšifrēšanas rīku, kas atbilst Ragnar skapītim. Ir vairāki atšifrētāji, kas paredzēti failiem, kurus šifrē ransomware, taču vispirms jāpārbauda drošības programmatūras ražotājs, ja viņiem tāds ir pieejams. Piemēram, Avast un Kaspersky ir savs atšifrēšanas rīks, kuru lietotāji var izmantot. Šeit ir saraksts ar citiem atšifrēšanas rīkiem, kurus varat izmēģināt.

Kā pasargāt sevi no Ragnar Locker

Ransomware var būt diezgan apgrūtinoša, it īpaši, ja nav esoša atšifrēšanas rīka, kas varētu atcelt ļaunprogrammatūras veikto šifrēšanu . Lai pasargātu ierīci no pretizolācijas programmatūras, īpaši no Ragnar Locker, šeit ir daži padomi, kas jāpatur prātā:

izmantojiet stingru paroļu politiku, izmantojot divkāršu vai daudzfaktoru autentifikāciju (MFA), ja iespējams. Ja tas nav iespējams, ģenerējiet nejaušas, unikālas paroles, kuras būs grūti uzminēt.
Izejot no galda, noteikti nofiksējiet datoru. Neatkarīgi no tā, vai dodaties pusdienās, veicat nelielu pauzi vai vienkārši dodaties uz tualeti, bloķējiet datoru, lai novērstu nesankcionētu piekļuvi.
Izveidojiet datu dublēšanas un atkopšanas plānu, jo īpaši kritiskai informācijai par jūsu vietni. dators. Ja iespējams, uzglabājiet vissvarīgāko informāciju, kas tiek glabāta ārpus tīkla vai ārējā ierīcē. Regulāri pārbaudiet šīs dublējumkopijas, lai pārliecinātos, vai tās darbojas pareizi reālas krīzes gadījumā.
Pārliecinieties, ka jūsu sistēmas tiek atjauninātas un instalētas ar jaunākajiem drošības ielāpiem. Ransomware parasti izmanto jūsu sistēmas ievainojamības, tāpēc pārliecinieties, ka ierīces drošība ir hermētiska.
Esiet piesardzīgs attiecībā uz izplatītākajiem pikšķerēšanas vektoriem, kas ir visizplatītākā izpirkumprogrammatūru izplatīšanas metode. Neklikšķiniet uz nejaušām saitēm un vienmēr lejupielādējiet e-pasta pielikumus, pirms lejupielādējat tos savā datorā.
Ierīcē ir jāinstalē izturīga drošības programmatūra un jāatjaunina datu bāze ar jaunākajiem draudiem.

YouTube video: Kā rīkoties ar Ragnar Locker Ransomware

05, 2024

Kā rīkoties ar Ragnar Locker Ransomware (05.19.24)

YouTube video: Kā rīkoties ar Ragnar Locker Ransomware

Raksti

Minecraft bruņu izturība (paskaidrots)

Tukui Client Cant Find WoW.exe: 3 veidi, kā novērst

Minecraft Modpacks nedarbojas ar Twitch: 4 labojumi

Pārskatīt marķieru skaitītājus: 5 rakstzīmes, kas var novērst marķieri

Minecraft šajā servera kļūdā nav iespējoti 3 veidi, kā novērst lidošanu

Jaunākie raksti

Kas ir RunAsDate.exe un ko tas dara

Minecraft Ray Tracing Mod (paskaidrots)

3 veidi, kā novērst Sabertron neaktivizēšanu

Kā izvairīties no Android pārkaršanas jautājumiem

Disks pret Svēto BFA WoW - labāka izvēle