Jak radzić sobie z ransomware Ragnar Locker (05.20.24)

Oprogramowanie ransomware to bardzo paskudne złośliwe oprogramowanie, ponieważ atakujący żądają od ofiary zapłaty za uwolnienie ważnych danych z bycia zakładnikiem. Oprogramowanie ransomware potajemnie infekuje urządzenie ofiary, szyfruje ważne dane (w tym pliki kopii zapasowych), a następnie pozostawia instrukcje dotyczące wysokości i sposobu zapłaty okupu. Po tych wszystkich kłopotach ofiara nie ma gwarancji, że atakujący faktycznie zwolni klucz deszyfrujący w celu odblokowania plików. A jeśli kiedykolwiek to zrobią, niektóre pliki mogą zostać uszkodzone, co ostatecznie sprawi, że staną się bezużyteczne.

Z biegiem lat korzystanie z oprogramowania ransomware zyskało na popularności, ponieważ jest to najbardziej bezpośredni sposób zarabiania pieniędzy przez hakerów. Muszą tylko usunąć złośliwe oprogramowanie, a następnie poczekać, aż użytkownik wyśle ​​pieniądze za pośrednictwem Bitcoin. Według danych Emsisoft liczba ataków ransomware w 2019 r. wzrosła o 41% w porównaniu z poprzednim rokiem, dotykając około 1000 amerykańskich organizacji. Cybersecurity Ventures przewidział nawet, że oprogramowanie ransomware będzie atakować firmy co 11 sekund.

Na początku tego roku Ragnar Locker, nowy szczep złośliwego oprogramowania, zaatakował Energias de Portugal (EDP), portugalską firmę energetyczną z siedzibą w Lizbonie . Atakujący zażądali 1580 bitcoinów jako okupu, co odpowiada około 11 milionom dolarów.

Co to jest Ragnar Locker Ransomware?

Ragnar Locker to złośliwe oprogramowanie typu ransomware stworzone nie tylko w celu szyfrowania danych, ale także zabijania zainstalowanych aplikacji, takich jak ConnectWise i Kaseya, które są zwykle używane przez dostawców usług zarządzanych i kilka usług systemu Windows. Ragnar Locker zmienia nazwy zaszyfrowanych plików, dodając unikalne rozszerzenie składające się ze słowa ragnar, po którym następuje ciąg losowych liczb i znaków. Na przykład plik o nazwie A.jpg zostanie przemianowany na A.jpg.ragnar_0DE48AAB.

Po zaszyfrowaniu plików, tworzy wiadomość z żądaniem okupu przy użyciu pliku tekstowego o takim samym formacie nazwy jak z powyższym przykładem. Wiadomość z okupem może mieć nazwę RGNR_0DE48AAB.txt.

To oprogramowanie ransomware działa tylko na komputerach z systemem Windows, ale nie jest jeszcze pewne, czy autorzy tego złośliwego oprogramowania zaprojektowali również wersję Ragnar Lockera na komputery Mac. Zazwyczaj jest on ukierunkowany na procesy i aplikacje powszechnie używane przez dostawców usług zarządzanych, aby zapobiec wykryciu i zatrzymaniu ich ataku. Ragnar Locker jest skierowany wyłącznie do użytkowników anglojęzycznych.

Oprogramowanie ransomware Ragnar Locker zostało po raz pierwszy wykryte pod koniec grudnia 2019 r., kiedy zostało użyte w ramach ataków na zhakowane sieci. Według ekspertów ds. bezpieczeństwa atak Ragnar Locker na europejskiego giganta energetycznego był dobrze przemyślanym i dokładnie zaplanowanym atakiem.

Oto przykład wiadomości z okupem Ragnar Locker:

Cześć * !

********************

Jeśli czytasz tę wiadomość, oznacza to, że Twoja sieć została PRZENIKNIĘTA i wszystkie Twoje pliki a dane zostały ZASZYFROWANE

przez RAGNAR_LOCKER!

********************

**********Co dzieje się z Twoim systemem?* ***********

Twoja sieć została przeniknięta, wszystkie Twoje pliki i kopie zapasowe zostały zablokowane! Więc od teraz NIKT NIE MOŻE POMÓC odzyskać twoich plików, OPRÓCZ NAS.

Możesz to wygooglować, nie ma SZANS na odszyfrowanie danych bez naszego TAJNEGO KLUCZA.

Ale nie martw się! Twoje pliki NIE są USZKODZONE ani UTRACONE, są po prostu ZMODYFIKOWANE. Możesz je odzyskać, gdy tylko ZAPŁACISZ.

Szukamy tylko PIENIĄDZE, więc nie ma dla nas zainteresowania gromadzeniem lub usuwaniem twoich informacji, to tylko BIZNES $-)

JEŻELI możesz sam uszkodzić swoje DANE, jeśli spróbujesz ODSZYFROWAĆ za pomocą innego oprogramowania, bez NASZEGO SZCZEGÓLNEGO KLUCZA SZYFROWANIA !!!

Ponadto wszystkie Twoje poufne i prywatne informacje zostały zebrane, a jeśli zdecydujesz się NIE płacić,

prześlemy je do publicznego widoku!

****

***********Jak odzyskać swoje pliki?******

Do odszyfruj wszystkie pliki i dane, które musisz zapłacić za klucz szyfrowania:

Portfel BTC do płatności: *

Kwota do zapłaty (w Bitcoin): 25

****

***********Ile czasu musisz zapłacić?**********

* Powinieneś skontaktować się z nami w ciągu 2 dni od zauważenia szyfrowania, aby uzyskać lepszą cenę.

* Cena zostanie zwiększona o 100% (podwójna cena) po 14 dniach, jeśli nie zostanie nawiązany kontakt.

* Klucz zostanie całkowicie usunięty w ciągu 21 dni, jeśli nie zostanie nawiązany kontakt lub żadna umowa.

Niektóre poufne informacje skradzione z serwerów plików zostaną przesłane publicznie lub do odsprzedawca.

****

***********Co zrobić, jeśli nie można przywrócić plików?******

Aby udowodnić, że naprawdę potrafimy odszyfrować Twoje dane, odszyfrujemy jeden z Twoich zablokowanych plików!

Wyślij go do nas, a otrzymasz go z powrotem ZA DARMO.

Cena za deszyfrator zależy od wielkości sieci, liczby pracowników, rocznych przychodów.

Prosimy o kontakt w sprawie kwoty BTC, którą należy zapłacić.

****

! Jeśli nie wiesz, jak zdobyć bitcoiny, doradzimy, jak wymienić pieniądze.

!!!!!!!!!!!!!

! TUTAJ JEST PROSTA INSTRUKCJA JAK SKONTAKTOWAĆ SIĘ Z NAMI!

!!!!!!!!!!!!!!!

1) Wejdź na oficjalną stronę komunikatora TOX ( hxxps://tox.chat/download.html )

2) Pobierz i zainstaluj qTOX na swoim komputerze, wybierz platformę (Windows, OS X, Linux itp.)

3) Otwórz komunikator, kliknij „Nowy profil” i utwórz profil.

4) Kliknij przycisk „Dodaj znajomych” i wyszukaj nasz kontakt *

5) W celu identyfikacji wyślij do naszego działu pomocy dane z —RAGNAR SECRET—

WAŻNE ! JEŚLI z jakichś powodów NIE MOŻESZ SKONTAKTOWAĆ SIĘ Z nami przez qTOX, oto nasza rezerwowa skrzynka pocztowa ( * ) wyślij wiadomość z danymi z —RAGNAR SECRET—

UWAGA!

-Nie próbuj odszyfrowywać plików za pomocą oprogramowania innych firm (zostanie ono trwale uszkodzone)

-Nie instaluj ponownie systemu operacyjnego, może to doprowadzić do całkowitej utraty danych i plików nie można odszyfrować. NIGDY!

-Twój TAJNY KLUCZ do odszyfrowania znajduje się na naszym serwerze, ale nie będzie przechowywany na zawsze. NIE MARNUJ CZASU !

********************

—SEKRET RAGNAR—

*

—SEKRET RAGNAR—

********************

Co robi szafka Ragnar?

Ragnar Locker jest zwykle dostarczany za pośrednictwem narzędzi MSP, takich jak ConnectWise, w których cyberprzestępcy upuszczają wysoce ukierunkowany plik wykonywalny oprogramowania ransomware. Ta technika propagacji była wykorzystywana przez wcześniejsze wysoce złośliwe oprogramowanie ransomware, takie jak Sodinokibi. Kiedy dochodzi do tego typu ataku, autorzy ransomware infiltrują organizacje lub obiekty za pośrednictwem niezabezpieczonych lub źle zabezpieczonych połączeń RDP. Następnie używa narzędzi do wysyłania skryptów Powershell do wszystkich dostępnych punktów końcowych. Skrypty następnie pobierają ładunek za pośrednictwem Pastebin, zaprojektowanego do uruchamiania oprogramowania ransomware i szyfrowania punktów końcowych. W niektórych przypadkach ładunek ma postać pliku wykonywalnego, który jest uruchamiany w ramach ataku opartego na plikach. Zdarzają się również przypadki, w których dodatkowe skrypty są pobierane w ramach całkowicie bezplikowego ataku.

Ragnar Locker w szczególności atakuje oprogramowanie powszechnie obsługiwane przez dostawców usług zarządzanych, w tym następujące ciągi znaków:

  • kontra
  • sql
  • memty
  • mepoki
  • sophos
  • veeam
  • kopia zapasowa
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Oprogramowanie ransomware najpierw kradnie pliki celu i przesyła je na jego serwery. Wyjątkowe w Ragnar Locker jest to, że nie tylko szyfrują pliki, ale także grożą ofierze, że dane zostaną udostępnione publicznie, jeśli okup nie zostanie zapłacony, tak jak w przypadku EDP. Dzięki EDP napastnicy zagrozili uwolnieniem rzekomych 10 TB skradzionych danych, co może być jednym z największych wycieków danych w historii. Napastnicy twierdzili, że wszyscy partnerzy, klienci i konkurenci zostaną poinformowani o naruszeniu, a ich ujawnione dane zostaną przesłane do wiadomości i obrazów medialnych do publicznej konsumpcji. Chociaż rzecznik EDP ogłosił, że atak nie miał wpływu na usługi energetyczne i infrastrukturę przedsiębiorstwa, zbliżające się naruszenie danych jest czymś, o co się martwią.

Wyłączanie usług i kończenie procesów to powszechna taktyka stosowana przez złośliwe oprogramowanie do wyłączania programów zabezpieczających, systemów kopii zapasowych, baz danych i serwerów pocztowych. Po zamknięciu tych programów ich dane mogą zostać zaszyfrowane.

Po pierwszym uruchomieniu Ragnar Locker przeskanuje skonfigurowane preferencje językowe systemu Windows. Jeśli preferowanym językiem jest angielski, złośliwe oprogramowanie przejdzie do następnego kroku. Ale jeśli Ragnar Locker wykryje, że język jest ustawiony jako jeden z krajów byłego ZSRR, złośliwe oprogramowanie zakończy proces i nie zaszyfruje komputera.

Ragnar Locker narusza narzędzia bezpieczeństwa MSP, zanim będą mogły zablokować ransomware przed wykonaniem. Po wejściu do środka złośliwe oprogramowanie inicjuje proces szyfrowania. Używa wbudowanego klucza RSA-2048 do szyfrowania ważnych plików.

Ragnar Locker nie szyfruje wszystkich plików. Pominie niektóre foldery, nazwy plików i rozszerzenia, takie jak:

  • kernel32.dll
  • Windows
  • Windows.old
  • Przeglądarka Tor
  • Internet Explorer
  • Google
  • Opera
  • Oprogramowanie Opera
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • Wszyscy użytkownicy
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Poza dołączaniem nowe rozszerzenie pliku do zaszyfrowanych plików, Ragnar Locker dodaje również znacznik pliku „RAGNAR” na końcu każdego zaszyfrowanego pliku.

Ragnar Locker następnie upuszcza wiadomość o okupie o nazwie „.RGNR_[rozszerzenie].txt” zawierającą szczegóły dotyczące kwoty okupu, adres płatności bitcoin, identyfikator czatu TOX, który ma być używany do komunikacji z atakującymi, oraz zapasowy adres e-mail jeśli są problemy z TOX. W przeciwieństwie do innych ransomware, Ragnar Locker nie ma ustalonej kwoty okupu. Różni się w zależności od celu i jest obliczana indywidualnie. W niektórych raportach kwota okupu może wahać się od 200 000 do 600 000 USD. W przypadku EDP żądany okup wynosił 1580 bitcoinów lub 11 milionów dolarów.

Jak usunąć Ragnar Locker

Jeśli Twój komputer miał pecha i został zainfekowany Ragnar Locker, pierwszą rzeczą, którą musisz zrobić, to sprawdzić jeśli wszystkie twoje pliki zostały zaszyfrowane. Musisz również sprawdzić, czy pliki kopii zapasowej również zostały zaszyfrowane. Takie ataki podkreślają znaczenie posiadania kopii zapasowej ważnych danych, ponieważ przynajmniej nie musisz się martwić utratą dostępu do swoich plików.

Nie próbuj płacić okupu, ponieważ będzie on bezużyteczny. Nie ma gwarancji, że osoba atakująca wyśle ​​Ci prawidłowy klucz deszyfrujący i że Twoje pliki nigdy nie zostaną ujawnione publicznie. W rzeczywistości jest bardzo prawdopodobne, że atakujący będą nadal wyłudzać od ciebie pieniądze, ponieważ wiedzą, że jesteś gotów zapłacić.

Możesz najpierw usunąć oprogramowanie ransomware z komputera przed próbą odszyfrowania to. Możesz użyć aplikacji antywirusowej lub chroniącej przed złośliwym oprogramowaniem, aby przeskanować komputer w poszukiwaniu złośliwego oprogramowania i postępować zgodnie z instrukcjami, aby usunąć wszystkie wykryte zagrożenia. Następnie odinstaluj wszelkie podejrzane aplikacje lub rozszerzenia, które mogą być powiązane ze złośliwym oprogramowaniem.

Na koniec poszukaj narzędzia do deszyfrowania, które pasuje do szafki Ragnar. Istnieje kilka deszyfratorów, które zostały zaprojektowane dla plików zaszyfrowanych przez oprogramowanie ransomware, ale powinieneś najpierw sprawdzić producenta oprogramowania zabezpieczającego, czy jest on dostępny. Na przykład Avast i Kaspersky mają własne narzędzie do deszyfrowania, z którego mogą korzystać użytkownicy. Oto lista innych narzędzi deszyfrujących, które możesz wypróbować.

Jak chronić się przed Ragnar Locker

Oprogramowanie ransomware może być dość kłopotliwe, zwłaszcza jeśli nie ma istniejącego narzędzia deszyfrującego, które mogłoby cofnąć szyfrowanie wykonane przez złośliwe oprogramowanie . Aby chronić swoje urządzenie przed oprogramowaniem ransomware, w szczególności Ragnar Locker, oto kilka wskazówek, o których musisz pamiętać:

  • Zastosuj silną politykę haseł, używając uwierzytelniania dwuskładnikowego lub wieloskładnikowego (MSZ), jeśli to możliwe. Jeśli nie jest to możliwe, wygeneruj losowe, unikalne hasła, które będą trudne do odgadnięcia.
  • Pamiętaj o zablokowaniu komputera, gdy odchodzisz od biurka. Niezależnie od tego, czy wychodzisz na lunch, robisz krótką przerwę, czy po prostu idziesz do toalety, zablokuj komputer, aby zapobiec nieautoryzowanemu dostępowi.
  • Utwórz plan tworzenia kopii zapasowych i odzyskiwania danych, zwłaszcza w przypadku krytycznych informacji na komputer. Przechowuj najważniejsze informacje przechowywane poza siecią lub, jeśli to możliwe, na urządzeniu zewnętrznym. Regularnie testuj te kopie zapasowe, aby upewnić się, że działają poprawnie w przypadku rzeczywistego kryzysu.
  • Spraw, aby Twoje systemy były aktualizowane i instalowane z najnowszymi poprawkami bezpieczeństwa. Ransomware zwykle wykorzystuje luki w Twoim systemie, więc upewnij się, że zabezpieczenia Twojego urządzenia są szczelne.
  • Uważaj na popularne wektory ataków phishingowych, które są najczęstszą metodą dystrybucji oprogramowania ransomware. Nie klikaj losowych linków i zawsze skanuj załączniki do wiadomości e-mail przed pobraniem ich na komputer.
  • Zainstaluj na swoim urządzeniu solidne oprogramowanie zabezpieczające i aktualizuj bazę danych o najnowsze zagrożenia.

Wideo YouTube.: Jak radzić sobie z ransomware Ragnar Locker

05, 2024