כיצד להתמודד עם תוכנת הכופר Ragnar Locker (05.08.24)
תוכנת כופר היא תוכנה זדונית מגעילה מאוד מכיוון שהתוקפים דורשים מהקורבן לשלם על כך שהנתונים החשובים שלו ישוחררו מלהיות בני ערובה. תוכנות הכופר מדביקות בהתגנבות את מכשיר הקורבן, מצפינות את הנתונים החשובים (כולל קבצי הגיבוי) ואז משאירה הוראות כמה צריך לשלם כופר וכיצד לשלם אותו. לאחר כל הטרדות הללו, לקורבן אין כל ערובה שהתוקף ישחרר את מפתח הפענוח בפועל כדי לפתוח את הקבצים. ואם אי פעם הם יעשו זאת, חלק מהקבצים עלולים להיות פגומים, מה שהופך אותם לחסרי תועלת בסופו של דבר.
במהלך השנים, השימוש בכופר בכופר גדל לפופולריות משום שזו הדרך הישירה ביותר עבור האקרים להרוויח כסף. הם רק צריכים להוריד את התוכנה הזדונית ואז לחכות שהמשתמש ישלח כסף דרך הביטקוין. על פי נתוני Emsisoft, מספר התקפות הכופר בשנת 2019 עלה ב -41% לעומת השנה הקודמת, והשפיע על כ -1,000 ארגונים בארה"ב. חברת Cybersecurity Ventures אף חזתה כי תוכנות כופר יתקפו עסקים כל 11 שניות.
מוקדם יותר השנה, ראגנאר לוקר, זן חדש של תוכנות זדוניות, תקף את אנרג'יאס דה פורטוגל (EDP), חברת חשמל פורטוגלית, שמשרדיה הראשיים נמצאים בליסבון. . התוקפים דרשו כ -15080 ביטקוין ככופר, שווה ערך לכ -11 מיליון דולר.
מהי ראגנאר לוקר כופר?Ragnar Locker הוא סוג של תוכנות זדוניות כופר שנוצר לא רק לצורך הצפנת נתונים, אלא גם כדי להרוג יישומים מותקנים, כגון ConnectWise ו- Kaseya, המשמשים בדרך כלל ספקי שירותים מנוהלים ומספר שירותי Windows. ראגנאר לוקר משנה את שמו של הקבצים המוצפנים על ידי הוספת סיומת ייחודית המורכבת מהמילה רגרן ואחריה מחרוזת של מספרים ותווים אקראיים. לדוגמה, קובץ בשם A.jpg ישנה את שמו ל- A.jpg.ragnar_0DE48AAB.
לאחר הצפנת הקבצים, לאחר מכן הוא יוצר הודעת כופר באמצעות קובץ טקסט, באותו פורמט שם כמו עם הדוגמה לעיל. ניתן לקרוא להודעת הכופר RGNR_0DE48AAB.txt.
תוכנת כופר זו פועלת רק במחשבי Windows, אך עדיין לא בטוח אם מחברי תוכנה זדונית זו תכננו גם גרסת Mac של Ragnar Locker. זה בדרך כלל מכוון לתהליכים ויישומים הנפוצים על ידי ספקי שירותים מנוהלים כדי למנוע מהתקפה שלהם להתגלות ולעצור. Ragnar Locker מכוון רק למשתמשים דוברי אנגלית.
תוכנות כופר של Ragnar Locker זוהו לראשונה בסביבות דצמבר 2019, אז היא שימשה כחלק מהתקפות נגד רשתות שנפגעו. לדברי מומחי אבטחה, מתקפת ראגנאר לוקר על ענקית האנרגיה האירופית הייתה מתקפה מחושבת ומתוכננת היטב.
הנה דוגמה למסר הכופר של ראגנאר לוקר:
שלום *!
*******************
אם אתה קורא את ההודעה הזו, הרשת שלך הופנמה וכל הקבצים שלך והנתונים הועתקו
על ידי RAGNAR_LOCKER!
********************
********* מה קורה עם המערכת שלך? * ***********
הרשת שלך חדרה, כל הקבצים והגיבויים שלך נעולים! אז מעכשיו אין אף אחד שיכול לעזור לך להחזיר את הקבצים שלך למעט ארה"ב.
אתה יכול לחפש בגוגל, אין סיכויים לפענוח נתונים ללא מפתח סודי שלנו.
אבל אל תדאג! הקבצים שלך לא ניזוקו או אבדו, הם פשוט השתנו. אתה יכול לקבל את זה בחזרה ברגע שאתה משלם.
אנו מחפשים רק כסף, כך שאין לנו עניין לגבש או למחוק את המידע שלך, זה רק עסק $ -)
עם זאת, אתה יכול לפגוע בעצמך בנתונים שלך אם תנסה לפענח על ידי תוכנה אחרת כלשהי, ללא מפתח ההצפנה הספציפי שלנו !!!
כמו כן, כל המידע הרגיש והפרטי שלך נאסף ואם תחליט לא לשלם,
אנו מעלים אותו לצפייה ציבורית!
****
*********** כיצד להחזיר את הקבצים שלך? ******
אל לפענח את כל הקבצים והנתונים שאתה צריך לשלם עבור הצפנת מפתח:
ארנק BTC לתשלום: *
סכום התשלום (בביטקוין): 25
****
*********** כמה זמן אתה צריך לשלם? **********
* עליך ליצור איתנו קשר תוך יומיים לאחר ששמת לב להצפנה כדי לקבל מחיר טוב יותר.
* המחיר יוגדל ב- 100% (מחיר כפול) לאחר 14 יום אם לא נוצר קשר.
* המפתח יימחק לחלוטין תוך 21 יום אם לא נוצר קשר או לא נעשה שום עסקה.
מידע חושי כלשהו שנגנב משרתי הקבצים יעלה בציבור או מוכר מחדש.
****
*********** מה אם לא ניתן לשחזר קבצים? ******
כדי להוכיח שאנחנו באמת יכולים לפענח את הנתונים שלך, אנו נפענח את אחד הקבצים הנעולים שלך!
פשוט שלח אלינו אותם ותקבל אותם בחינם.
המחיר למפענח מבוסס על גודל הרשת, מספר העובדים, ההכנסות השנתיות.
אל תהסס לפנות אלינו לקבלת סכום BTC שיש לשלם.
****
! אם אינך יודע להשיג ביטקוין, אנו נעניק לך ייעוץ כיצד להחליף את הכסף.
!!!!!!!!!!!!!
! הנה המדריך הפשוט כיצד ליצור קשר עם ארה"ב!
!!!!!!!!!!!!!
1) עבור אל האתר הרשמי של TOX messenger (hxxps: //tox.chat/download.html)
2) הורד והתקן את qTOX במחשב האישי שלך, בחר בפלטפורמה (Windows, OS X, Linux וכו ')
3) פתח את Messenger, לחץ על "פרופיל חדש" וצור פרופיל.
4) לחץ על כפתור "הוסף חברים" וחפש את איש הקשר שלנו *
5) לזיהוי, שלח לנתוני התמיכה שלנו מאת —RAGNAR SECRET—
חשוב ! אם מסיבות כלשהן אינך יכול ליצור איתנו קשר ב- qTOX, הנה תיבת הדואר השמורה שלנו (*) שלח הודעה עם נתונים מאת —RAGNAR SECRET—
אזהרה!
- אל תנסה לפענח קבצים עם תוכנת צד שלישי כלשהי (היא תיפגע לצמיתות)
- אל תתקין מחדש את מערכת ההפעלה שלך, זה יכול להוביל לאובדן נתונים מלא ולקבצים לא ניתן לפענח. לעולם!
-מפתח הסודי שלך לפענוח נמצא בשרת שלנו, אך הוא לא יישמר לנצח. אל תבזבז זמן !
********************
—RAGNAR SECRET—
*
—RAGNAR SECRET—
*******************
מה עושה ראגנאר לוקר?Ragnar Locker מועבר בדרך כלל באמצעות כלי MSP כגון ConnectWise, שבו פושעי הרשת מפילים קובץ הפעלה ממוקד מאוד של תוכנות כופר. טכניקת התפשטות זו שימשה תוכנות כופר זדוניות קודמות, כמו Sodinokibi. כאשר מתקפה מסוג זה מתרחשת, מחברי תוכנת הכופר חודרים לארגונים או למתקנים דרך חיבורי RDP לא מאובטחים או מאובטחים בצורה גרועה. לאחר מכן היא משתמשת בכלים כדי לשלוח סקריפטים של Powershell לכל נקודות הקצה הנגישות. לאחר מכן התסריטים מורידים מטען באמצעות Pastebin שנועד לבצע את תוכנת הכופר ולהצפין את נקודות הקצה. במקרים מסוימים המטען מגיע בצורת קובץ הפעלה שמושק כחלק מהתקפה מבוססת קבצים. ישנם גם מקרים בהם מורידים סקריפטים נוספים כחלק מהתקפה חסרת קבצים לחלוטין.
Ragnar Locker מכוון ספציפית לתוכנות המופעלות בדרך כלל על ידי ספקי שירות מנוהלים, כולל המחרוזות הבאות:
תוכנת הכופר גונבת תחילה את קבצי היעד ומעלה אותה לשרתים שלהם. הייחודי ברגנאר לוקר הוא שהם לא פשוט מצפינים את הקבצים אלא גם מאיימים על הקורבן שהנתונים ישוחררו בפומבי אם הכופר לא שולם, כמו המקרה עם EDP. עם EDP, התוקפים איימו לשחרר את 10TB כביכול של נתונים גנובים, מה שיכול להיות אחת מדליפות הנתונים הגדולות בהיסטוריה. התוקפים טענו כי כל השותפים, הלקוחות והמתחרים יידעו על ההפרה והנתונים שהודלפו שלהם יישלחו לחדשות ותמונות תקשורת לצריכה ציבורית. למרות שדובר ה- EDP הודיע כי לתקיפה אין השפעה על שירות החשמל והתשתית של השירות, הפרת הנתונים המתקרבת היא דבר שהם חוששים ממנו.
השבתת שירותים וסיום תהליכים הן טקטיקות נפוצות המשמשות תוכנות זדוניות כדי להשבית תוכניות אבטחה, מערכות גיבוי, מסדי נתונים ושרתי דואר. לאחר סיום התוכניות הללו, ניתן להצפין את הנתונים שלהן.
עם ההשקה הראשונה, Ragnar Locker יסרוק את העדפות השפה המוגדרות של Windows. אם העדפת השפה היא אנגלית, התוכנה הזדונית תמשיך בשלב הבא. אך אם ראגנאר לוקר זיהה כי השפה מוגדרת כאחת ממדינות ברית המועצות לשעבר, התוכנה הזדונית תסיים את התהליך ולא באמצעות הצפנת המחשב.
ראגנאר לוקר מתפשר על כלי האבטחה של ה- MSP לפני שהם יכולים לחסום. תוכנת הכופר מביצועה. לאחר שנכנס, התוכנה הזדונית מתחילה את תהליך ההצפנה. הוא משתמש במפתח RSA-2048 מוטבע כדי להצפין את הקבצים החשובים.
Ragnar Locker אינו מצפין את כל הקבצים. היא תדלג על כמה תיקיות, שמות קבצים ותוספים, כגון:
- kernel32.dll
- Windows
- Windows.old
- דפדפן Tor
- Internet Explorer
- Opera
- Opera Software
- Mozilla
- Mozilla Firefox
- $ Recycle.Bin
- ProgramData
- כל המשתמשים
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr .efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
מלבד המצורף סיומת קובץ חדשה לקבצים המוצפנים, Ragnar Locker מוסיף גם סמן קבצים 'RAGNAR' בסוף כל קובץ מוצפן.
לאחר מכן, Ragnar Locker מפיל הודעת כופר בשם '. אם יש בעיות עם TOX. שלא כמו תוכנות כופר אחרות, לרגנאר לוקר אין כמות כופר קבועה. זה משתנה בהתאם ליעד והוא מחושב בנפרד. בחלק מהדיווחים סכום הכופר יכול לנוע בין 200,000 ל -600,000 $. במקרה של EDP, הכופר נשאל היה 1,580 ביטקוין או 11 מיליון דולר.
כיצד להסיר את ראגנאר לוקראם לא היה מזל שלמחשב שלך להיות נגוע ברגנר לוקר, הדבר הראשון שאתה צריך לעשות הוא לבדוק אם כל הקבצים שלך הוצפנו. אתה צריך גם לבדוק אם קבצי הגיבוי שלך הוצפנו גם כן. התקפות כאלה מדגישות את החשיבות שיש לגיבוי של הנתונים החשובים שלך מכיוון שלפחות, לא תצטרך לדאוג לאבד את הגישה לקבצים שלך.
אל תנסה לשלם את הכופר מכיוון שהוא יהיה חסר תועלת. אין כל ערובה שהתוקף ישלח לך את מפתח הפענוח הנכון וכי הקבצים שלך לעולם לא יודלפו לציבור. למעשה, יתכן מאוד שהתוקפים ימשיכו לסחוט מכם כסף מכיוון שהם יודעים שאתה מוכן לשלם.
מה שאתה יכול לעשות זה למחוק את תוכנת הכופר תחילה מהמחשב שלך לפני שתנסה לפענח. זה. אתה יכול להשתמש באפליקציית האנטי-וירוס או האנטי-תוכנה הזדונית שלך כדי לסרוק את המחשב אחר תוכנות זדוניות ולבצע את ההוראות למחיקת כל האיומים שזוהו. בשלב הבא, הסר את ההתקנה של כל היישומים או התוספים החשודים שקשורים לתוכנה זדונית.
לבסוף, חפש כלי פענוח שתואם את Ragnar Locker. ישנם מספר מפענחים שתוכננו עבור קבצים המוצפנים על ידי תוכנת כופר, אך עליך לבדוק תחילה את יצרן תוכנת האבטחה אם יש להם אחד זמין. לדוגמה, ל- Avast ו- Kaspersky יש כלי פענוח משלהם שמשתמשים יכולים להשתמש בו. הנה רשימה של כלי פענוח אחרים שתוכלו לנסות.
כיצד להגן על עצמכם מפני Ragnar Lockerתוכנת כופר יכולה להיות די מטרידה, במיוחד אם אין כלי פענוח קיים המסוגל לבטל את ההצפנה שנעשתה על ידי התוכנה הזדונית. . כדי להגן על המכשיר שלך מפני תוכנות כופר, במיוחד Ragnar Locker, הנה כמה טיפים שאתה צריך לזכור:
- השתמש במדיניות סיסמאות חזקה, באמצעות אימות כפול גורמים או רב גורמים (MFA) אם אפשר. אם זה לא אפשרי, צור סיסמאות אקראיות וייחודיות שקשה לנחש.
- הקפד לנעול את המחשב שלך כשעוזבים את שולחן העבודה שלך. בין אם אתה יוצא לארוחת צהריים, לוקח הפסקה קצרה או סתם הולך לשירותים, נעל את המחשב שלך כדי למנוע גישה לא מורשית.
- צור תוכנית גיבוי ושחזור נתונים, במיוחד למידע קריטי על מַחשֵׁב. אחסן את המידע הקריטי ביותר המאוחסן מחוץ לרשת או בהתקן חיצוני במידת האפשר. בדוק גיבויים אלה באופן קבוע כדי לוודא שהם פועלים כראוי במקרה של משבר אמיתי.
- ודא שהמערכות שלך מעודכנות ומותקנות עם תיקוני האבטחה האחרונים. תוכנות כופר בדרך כלל מנצלות נקודות תורפה במערכת שלכם, לכן וודאו כי אבטחת המכשיר שלכם אטומה לאוויר.
- היזהרו מהווקטורים הנפוצים לדיוג, שהיא שיטת ההפצה הנפוצה ביותר של תוכנות כופר. אל תלחץ על קישורים אקראיים ותסרוק תמיד קבצים מצורפים לדוא"ל לפני שתוריד אותם למחשב שלך.
- התקן תוכנת אבטחה חזקה בהתקן שלך והעדכן את מסד הנתונים עם האיומים האחרונים.
סרטון יוטיוב: כיצד להתמודד עם תוכנת הכופר Ragnar Locker
05, 2024