Kako ravnati z Ragnar Locker Ransomware (05.20.24)

Ransomware je zelo zoprna zlonamerna programska oprema, ker napadalci zahtevajo, da žrtev plača, da bodo njeni pomembni podatki izpuščeni iz tal. Odkupnina prikradeno prizadene žrtev napravo, šifrira pomembne podatke (vključno z varnostnimi datotekami), nato pa pusti navodila, koliko odkupnine je treba plačati in kako jo je treba plačati. Po vseh teh težavah žrtev nima zagotovila, da bo napadalec dejansko izdal ključ za dešifriranje, da bo odklenil datoteke. In če se kdaj zgodi, so nekatere datoteke morda poškodovane, zaradi česar so na koncu neuporabne.

Z leti se je ransomware razširil, saj je hekerjem najbolj neposreden način zaslužka. Odložiti morajo samo zlonamerno programsko opremo, nato pa počakati, da uporabnik pošlje denar prek Bitcoina. Po podatkih Emsisofta se je število napadov izsiljevalske programske opreme leta 2019 v primerjavi s prejšnjim letom povečalo za 41%, kar je prizadelo približno 1000 ameriških organizacij. Cybersecurity Ventures so celo napovedali, da bo ransomware napadel podjetja vsakih 11 sekund.

V začetku tega leta je Ragnar Locker, nova vrsta zlonamerne programske opreme, napadel portugalsko elektroenergetsko podjetje Energias de Portugal (EDP) s sedežem v Lizboni. . Napadalci so za odkupnino zahtevali 1.580 bitcoinov, kar je približno 11 milijonov dolarjev.

Kaj je Ragnar Locker Ransomware?

Ragnar Locker je vrsta zlonamerne programske opreme, ustvarjena ne le za šifriranje podatkov, temveč tudi za uničenje nameščenih aplikacij, kot sta ConnectWise in Kaseya, ki jih običajno uporabljajo upravljani ponudniki storitev in številne storitve Windows. Ragnar Locker preimenuje šifrirane datoteke tako, da doda edinstveno pripono, sestavljeno iz besede ragnar, ki ji sledi niz naključnih števil in znakov. Datoteka z imenom A.jpg bo na primer preimenovana v A.jpg.ragnar_0DE48AAB.

Po šifriranju datotek nato z besedilno datoteko ustvari odkupno sporočilo z enako obliko zapisa imena kot z zgornjim primerom. Sporočilo o odkupnini se lahko imenuje RGNR_0DE48AAB.txt.

Ta ransomware deluje samo v računalnikih z operacijskim sistemom Windows, vendar še ni prepričan, ali so avtorji te zlonamerne programske opreme oblikovali tudi različico Ragnar Locker za Mac. Običajno cilja na procese in aplikacije, ki jih običajno uporabljajo upravljani ponudniki storitev, da ne bi zaznali in zaustavili njihovega napada. Ragnar Locker je namenjen samo angleško govorečim uporabnikom.

Ransomware Ragnar Locker je bil prvič zaznan konec decembra 2019, ko je bil uporabljen kot del napadov na ogrožena omrežja. Po mnenju varnostnih strokovnjakov je bil napad Ragnar Locker na evropskega energetskega velikana premišljen in temeljito načrtovan napad.

Tu je primer sporočila o odkupnini Ragnar Locker:

Pozdravljeni *!

********************

Če berete to sporočilo, je bilo vaše omrežje PRENOVRENO in vse vaše datoteke in podatke je ZAPISAL

RAGNAR_LOCKER!

********************

********* Kaj se zgodi z vašim sistemom? * ***********

V vaše omrežje je prodrlo, vse vaše datoteke in varnostne kopije so bile zaklenjene! Odslej vam NIHČE NE MOGOČE POMAGATI, da vrnete datoteke, RAZEN NAS.

Lahko ga poguglate, ni nobenih ŠANZ za dešifriranje podatkov brez našega TAJNEGA KLJUČA.

A brez skrbi! Datoteke NISO POŠKODBENE ali IZGUBLJENE, SO SPREMINJENE. Dobite ga lahko NAZAJ takoj, ko PLAČATE.

Iščemo samo DENAR, zato nas ne zanima, da bi jekali ali brisali vaše podatke, to je samo POSLOVNI $ -)

VSE pa lahko poškodujete svoje podatke, če poskušate ODKRITI s katero koli drugo programsko opremo, brez NAŠEGA POSEBNEGA KLJUČA ZA KODIRANJE !!!

Prav tako so bili zbrani vsi vaši občutljivi in ​​zasebni podatki in če se odločite, da NE boste plačali,

jih bomo naložili v javni ogled!

****

*********** Kako vrniti datoteke? ******

Za dešifriraj vse svoje datoteke in podatke, ki jih moraš plačati za šifriranje KLJUČ:

BTC denarnica za plačilo: *

Znesek za plačilo (v bitcoinih): 25

****

*********** Koliko časa morate plačati? **********

* Stopite v stik z nami v dveh dneh po tem, ko ste opazili šifriranje, da dobite boljšo ceno.

* Če ne pride do nobenega stika, bi se cena po 14 dneh zvišala za 100% (dvojna cena).

* Ključ bi bil popolnoma izbrisan v 21 dneh, če ne bi prišlo do nobenega stika ali dogovora.

Nekatere smiselne informacije, ukradene z datotečnih strežnikov, bi bile naložene javno ali na preprodajalec.

****

*********** Kaj pa, če datotek ni mogoče obnoviti? ******

Da bi dokazali, da lahko resnično dešifriramo vaše podatke, bomo dešifrirali eno od vaših zaklenjenih datotek!

Pošljite nam jo in BREZPLAČNO jo boste dobili nazaj.

Cena za dešifriranje temelji na velikosti omrežja, številu zaposlenih in letnem prihodku.

Prosimo, kontaktirajte nas za znesek BTC, ki ga je treba plačati.

****

Če ne veste, kako priti do bitcoinov, vam bomo svetovali, kako zamenjati denar.

!!!!!!!!!!!!!

! TUKAJ JE PREPROSTI PRIROČNIK, KAKO SE Z NAMI PRIDOBITI!

!!!!!!!!!!!!!

1) Pojdite na uradno spletno mesto messengerja TOX (hxxps: //tox.chat/download.html)

2) Prenesite in namestite qTOX v svoj računalnik, izberite platformo (Windows, OS X, Linux itd.)

3) Odprite program za sporočanje, kliknite »Nov profil« in ustvarite profil.

4) Kliknite gumb »Dodaj prijatelje« in poiščite naš kontakt *

5) Za identifikacijo nam pošljite podatke za podporo iz —RAGNAR SECRET—

POMEMBNO ! ČE nas iz nekega razloga NE morete kontaktirati v qTOX, tukaj je naš rezervni nabiralnik (*), ki pošlje sporočilo s podatki iz —RAGNARNA TAJNA—

OPOZORILO!

-Ne poskušajte dešifrirati datotek s katero koli programsko opremo drugih proizvajalcev (trajno bo poškodovana)

-Ne nameščajte svojega OS, to lahko povzroči popolno izgubo podatkov in datotek ni mogoče dešifrirati. NIKOLI!

-VAS TAJNI KLJUČ za dešifriranje je na našem strežniku, vendar ne bo shranjen za vedno. NE TRAJITE ČASA!

********************

—RAGNARNA TAJNA—

*

—RAGNAR SECRET—

********************

Kaj počne omarica Ragnar?

Ragnar Locker se običajno dostavi prek orodij MSP, kot je ConnectWise, pri čemer kiber kriminalci pustijo visoko ciljno izvedljivo datoteko odškodninske programske opreme. To tehniko širjenja so uporabljali prejšnji zelo zlonamerni izsiljevalski programi, kot je Sodinokibi. Ko se ta vrsta napada zgodi, se avtorji izsiljevalskih programov infiltrirajo v organizacije ali objekte prek nezavarovanih ali slabo zavarovanih povezav RDP. Nato uporablja orodja za pošiljanje skriptov Powershell na vse dostopne končne točke. Skripti nato prenesejo koristni tovor prek Pastebina, namenjenega zagonu odkupne programske opreme in šifriranju končnih točk. V nekaterih primerih je koristni tovor v obliki izvršljive datoteke, ki se zažene kot del datotečnega napada. Obstajajo tudi primeri, ko se dodatni skripti prenesejo kot del napada brez datotek.

Ragnar Locker posebej cilja programsko opremo, ki jo običajno izvajajo upravljani ponudniki storitev, vključno z naslednjimi nizi:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Izsiljevalec najprej krade ciljne datoteke in jih naloži na njihove strežnike. Edinstveno pri Ragnar Locker je, da datotek ne samo šifrirajo, temveč tudi ogrožajo žrtvo, da bodo podatki objavljeni javno, če odkupnina ne bo plačana, na primer v primeru EDP. Z EDP so napadalci zagrozili, da bodo sprostili domnevno 10TB ukradenih podatkov, kar bi lahko bilo eno največjih uhajanj podatkov v zgodovini. Napadalci so trdili, da bodo vsi partnerji, stranke in konkurenti obveščeni o kršitvi, njihovi uhajeni podatki pa bodo poslani img-jem novic in medijev za javno porabo. Čeprav je tiskovni predstavnik EDP sporočil, da napad ni vplival na elektroenergetsko službo in infrastrukturo, je zaskrbljujoča grožnja podatkov.

Onemogočanje storitev in zaključevanje procesov so običajne taktike, ki jih zlonamerna programska oprema uporablja za onemogočanje varnostnih programov, varnostnih kopij, baz podatkov in poštnih strežnikov. Ko so ti programi ukinjeni, se lahko njihovi podatki šifrirajo.

Ob prvem zagonu bo Ragnar Locker skeniral nastavljene jezikovne nastavitve sistema Windows. Če je jezikovna nastavitev angleščina, se zlonamerna programska oprema nadaljuje z naslednjim korakom. Če pa je Ragnar Locker zaznal, da je jezik nastavljen kot ena od držav nekdanje ZSSR, bo zlonamerna programska oprema zaključila postopek in ne s šifriranjem računalnika.

Ragnar Locker ogrozi varnostna orodja MSP, preden lahko blokirajo izsiljevalska programska oprema. Ko je zlonamerna programska oprema v notranjosti, začne postopek šifriranja. Za šifriranje pomembnih datotek uporablja vdelani ključ RSA-2048.

Ragnar Locker ne šifrira vseh datotek. Preskočil bo nekatere mape, imena datotek in končnice, na primer:

  • kernel32.dll
  • Windows
  • Windows.old
  • brskalnik Tor
  • Internet Explorer
  • Google
  • Opera
  • programska oprema Opera
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Vsi uporabniki
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Poleg dodajanja novo pripono datoteke šifriranih datotek, Ragnar Locker na koncu vsake šifrirane datoteke doda tudi označevalnik datotek 'RAGNAR'.

Ragnar Locker nato spusti odkupno sporočilo z imenom '.RGNR_ [razširitev] .txt', ki vsebuje podrobnosti o znesku odkupnine, naslovu za plačilo bitcoinov, ID-ju klepeta TOX, ki se uporablja za komunikacijo z napadalci, in nadomestnemu e-poštnemu naslovu če obstajajo težave z TOX-om. Za razliko od druge odkupne programske opreme Ragnar Locker nima določene količine odkupnine. Spreminja se glede na cilj in se izračuna individualno. V nekaterih poročilih se lahko odkupnina giblje med 200.000 in 600.000 USD. V primeru EDP je bila zahtevana odkupnina 1.580 bitcoinov ali 11 milijonov USD.

Kako odstraniti Ragnar Locker

Če je bil vaš računalnik nesrečen, da je bil okužen z Ragnar Lockerjem, morate najprej preveriti če so vse vaše datoteke šifrirane. Prav tako morate preveriti, ali so bile tudi varnostne datoteke šifrirane. Takšni napadi poudarjajo pomembnost varnostne kopije pomembnih podatkov, saj vam vsaj ne bo treba skrbeti, da boste izgubili dostop do svojih datotek.

Ne poskušajte plačati odkupnine, ker bo neuporabna. Nobenega zagotovila ni, da vam bo napadalec poslal pravilen ključ za dešifriranje in da vaše datoteke ne bodo nikoli objavljene v javnosti. Pravzaprav je zelo verjetno, da bodo napadalci še naprej izsiljevali denar od vas, ker vedo, da ste pripravljeni plačati.

Kar lahko storite, je, da najprej izbrišete ransomware iz računalnika, preden poskusite dešifrirati to. S protivirusno aplikacijo ali aplikacijo proti zlonamerni programski opremi lahko računalnik poiščete na zlonamerno programsko opremo in sledite navodilom za brisanje vseh zaznanih groženj. Nato odstranite vse sumljive aplikacije ali razširitve, ki so lahko povezane z zlonamerno programsko opremo.

Na koncu poiščite orodje za dešifriranje, ki se ujema z omarico Ragnar. Obstaja več dešifrirnikov, ki so bili zasnovani za datoteke, ki jih šifrira ransomware, vendar morate najprej preveriti proizvajalca varnostne programske opreme, če je na voljo. Avast in Kaspersky imata na primer lastno orodje za dešifriranje, ki ga lahko uporabljajo uporabniki. Tu je seznam drugih orodij za dešifriranje, ki jih lahko preizkusite.

Kako se zaščititi pred omarico Ragnar

Ransomware je lahko precej težaven, še posebej, če ni obstoječega orodja za dešifriranje, ki bi lahko razveljavilo šifriranje, ki ga je povzročila zlonamerna programska oprema . Če želite svojo napravo zaščititi pred izsiljevalsko programsko opremo, zlasti Ragnar Locker, je nekaj nasvetov, ki jih morate upoštevati:

  • Uporabite strogo politiko gesla z dvojno ali večfaktorsko overitvijo (MZZ), če je mogoče. Če to ni mogoče, ustvarite naključna, enolična gesla, ki jih bo težko uganiti.
  • Ko zapustite mizo, zaklenite računalnik. Ne glede na to, ali greste na kosilo, si vzamete kratek oddih ali greste samo v stranišče, zaklenite računalnik, da preprečite nepooblaščen dostop.
  • Ustvarite načrt za varnostno kopiranje in obnovitev podatkov, zlasti za kritične informacije o vašem računalnik. Shranite najpomembnejše informacije, shranjene zunaj omrežja ali zunanje naprave, če je mogoče. Redno preizkušajte te varnostne kopije in se prepričajte, da pravilno delujejo v primeru resnične krize.
  • Poskrbite, da bodo vaši sistemi posodobljeni in nameščeni z najnovejšimi varnostnimi popravki. Ransomware običajno izkorišča ranljivosti v vašem sistemu, zato poskrbite, da je varnost vaše naprave neprepustna.
  • Bodite previdni pri običajnih vektorjih za lažno predstavljanje, ki je najpogostejši način distribucije odkupne programske opreme. Ne kliknite naključnih povezav in vedno preglejte priloge e-pošte, preden jih naložite v računalnik.
  • V napravi naj bo nameščena zanesljiva varnostna programska oprema in naj bo baza posodobljena z najnovejšimi grožnjami.

YouTube Video.: Kako ravnati z Ragnar Locker Ransomware

05, 2024