Kuidas Ragnar Locker lunavara lahendada (05.20.24)

Lunavara on väga vastik pahavara, kuna ründajad nõuavad ohvrilt kinni maksmist selle eest, et tema olulised andmed vabastatakse pantvangist. Lunavara nakatab vargsi ohvri seadet, krüpteerib olulised andmed (sealhulgas varukoopiad), seejärel jätab juhised selle kohta, kui palju lunaraha tuleks maksta ja kuidas tasuda. Pärast kõiki neid vaevusi pole ohvril mingit garantiid, et ründaja vabastab failide avamiseks dekrüpteerimisvõtme. Ja kui nad seda kunagi teevad, võivad mõned failid olla rikutud, muutes need lõpuks kasutuks.

Aastate jooksul on lunavara kasutamise populaarsus kasvanud, kuna see on häkkerite jaoks kõige otsesem viis teenida. Nad peavad lihtsalt pahavara maha viskama ja seejärel ootama, kuni kasutaja Bitcoini kaudu raha saadab. Emsisofti andmetel kasvas lunavara rünnakute arv 2019. aastal eelmise aastaga võrreldes 41%, mõjutades umbes 1000 USA organisatsiooni. Cybersecurity Ventures ennustas isegi, et lunavara ründab ettevõtteid iga 11 sekundi järel.

Selle aasta alguses ründas uus pahavara tüvi Ragnar Locker Portugali elektrivarustuse ettevõtet Energias de Portugal (EDP), mille peakontor asub Lissabonis. . Ründajad nõudsid lunarahaks 1580 bitcoini, mis võrdub umbes 11 miljoni dollariga.

Mis on Ragnar Lockeri lunavara?

Ragnar Locker on lunavara tüüpi pahavara, mis on loodud mitte ainult andmete krüptimiseks, vaid ka selleks, et tappa installitud rakendusi, näiteks ConnectWise ja Kaseya, mida tavaliselt kasutavad hallatud teenusepakkujad ja mitmed Windowsi teenused. Ragnar Locker nimetab krüptitud failid ümber, lisades unikaalse laiendi, mis koosneb sõnast ragnar, millele järgneb juhuslike arvude ja tähemärkide string. Näiteks nimetatakse fail nimega A.jpg ümber nimeks A.jpg.ragnar_0DE48AAB.

Pärast failide krüpteerimist loob see tekstifaili abil lunarataseteatise, mis on sama nimega ülaltoodud näitega. Lunaraha teate võiks nimetada RGNR_0DE48AAB.txt.

See lunavara töötab ainult Windowsi arvutites, kuid pole veel kindel, kas selle pahavara autorid on kujundanud ka Ragnar Lockeri Maci versiooni. Tavaliselt on see suunatud protsessidele ja rakendustele, mida hallatud teenusepakkujad tavaliselt kasutavad, et rünnakut ei avastataks ega peatataks. Ragnar Locker on suunatud ainult ingliskeelsetele kasutajatele.

Ragnar Lockeri lunavara avastati esmakordselt 2019. aasta detsembri lõpus, kui seda kasutati rikutud võrkude vastu suunatud rünnakute osana. Turvaekspertide sõnul oli Ragnar Lockeri rünnak Euroopa energiahiiglase vastu läbimõeldud ja põhjalikult kavandatud rünnak.

Siin on näide Ragnar Lockeri lunaratasest:

Tere *!

ja andmed on RYPNAR_LOCKER ENCRYPTED

!

*********************

********* Mis juhtub teie süsteemiga? * ***********

Teie võrku tungiti, kõik teie failid ja varukoopiad olid lukus! Nii et nüüd ei saa keegi, kes aitaks teid failide taastamisel, VÄLJA MEIE.

Saate seda googeldada, ilma meie salajase võtmeta pole andmete šifreerimiseks võimalusi.

Kuid ärge muretsege! Teie faile EI OLE kahjustatud ega kadunud, neid lihtsalt muudetakse. Saate selle TAGASI tagasi, kui maksate.

Otsime ainult RAHA, nii et meil pole huvi teie teavet lisada või kustutada, see on lihtsalt BUSINESS $ -)

KUIDAS võite oma andmeid ka ise kahjustada, kui proovite DECRYPT-i teha mõne muu tarkvara abil, ilma MEIE SPETSIIFILISE KIRJUTAMISVÕTMETA !!!

Samuti koguti kogu teie tundlik ja privaatne teave ning kui otsustate maksmata jätta,

laadime selle avalikuks vaatamiseks üles!

****

*********** Kuidas oma faile tagasi saada? ******

dekrüpteerida kõik teie failid ja andmed, mida peate krüptimise eest maksma. KEY:

BTC rahakott maksmiseks: *

Maksmisele kuuluv summa (Bitcoin): 25

****

*********** Kui palju peate maksma? **********

* Parema hinna saamiseks peaksite meiega ühendust võtma 2 päeva jooksul pärast krüptimise märkamist.

* Kui kontakti pole, tõuseb hind 14 päeva pärast 100% (kahekordne hind).

edasimüüja.

****

*********** Mis siis, kui faile ei saa taastada? ******

Tõestamaks, et suudame teie andmeid tõesti dešifreerida, dekrüpteerime ühe teie lukustatud failidest!

Saatke see meile lihtsalt ja saate selle TASUTA tagasi.

****

! KUI te ei tea, kuidas bitcoine hankida, anname teile nõu, kuidas raha vahetada.

!!!!!!!!!!!!!

! SIIN on lihtne käsiraamat, kuidas meiega suhelda!

!!!!!!!!!!!!!

1) Minge TOX messengeri ametlikule veebisaidile (hxxps: //tox.chat/download.html)

2) Laadige alla ja installige qTOX oma arvutisse, valige platvorm (Windows, OS X, Linux jne)

3) Avage messenger, klõpsake nuppu „Uus profiil” ja looge profiil.

4) Klõpsake nuppu „Lisa sõpru” ja otsige meie kontakti * ! KUI mingil põhjusel EI SAA meiega qTOX-is ühendust võtta, siis siin on meie reservpostkast (*) saata sõnum andmetega päringust —RAGNAR SECRET—

HOIATUS!

-Ärge proovige faile dekrüpteerida ühegi kolmanda osapoole tarkvaraga (see kahjustatakse jäädavalt).

-Ärge installige oma operatsioonisüsteemi uuesti, see võib põhjustada täieliku andmete kadumise ja failide ei saa dešifreerida. MITTE KUNAGI!

-Sinu salajane võti dekrüpteerimiseks on meie serveris, kuid seda ei salvestata igavesti. ÄRA RAISKA AEGA !

********************

—RAGNARISALADUS -

*

—RAGNARISALADUS -

*********************

Mida teeb Ragnari kapp?

Ragnar Locker tarnitakse tavaliselt MSP-i tööriistade kaudu, näiteks ConnectWise, kus küberkurjategijad viskavad lunavara käivitatava käivitatava faili väga täpselt alla. Seda levitamisvõtet on kasutanud varasemad ülipahatahtlikud lunavara, näiteks Sodinokibi. Seda tüüpi rünnakute korral tungivad lunavara autorid organisatsiooni või rajatistesse tagamata või halvasti turvatud RDP-ühenduste kaudu. Seejärel kasutab see tööriistu Powershelli skriptide saatmiseks kõigile juurdepääsetavatele lõpp-punktidele. Seejärel laadivad skriptid lunavara käivitamiseks ja lõpp-punktide krüptimiseks mõeldud Pastebini kaudu alla kasuliku koormuse. Mõnel juhul on kasulik koormus käivitatava faili kujul, mis käivitatakse failipõhise rünnaku osana. On ka juhtumeid, kus täiendava skripti allalaadimine toimub täielikult failivaba rünnaku osana.

Ragnar Locker sihib spetsiaalselt hallatud teenusepakkujate tavaliselt hallatavat tarkvara, sealhulgas järgmisi stringe:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • koopia
  • pulss
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Lunavara varastab kõigepealt sihtmärgi failid ja laadib selle üles nende serveritesse. Ragnar Lockeri ainulaadne on see, et nad ei krüpteeri lihtsalt faile, vaid ähvardavad ohvrit ka andmete avalikustamisega, kui lunaraha pole tasutud, näiteks EDP puhul. EDP ​​abil ähvardasid ründajad vabastada oletatava 10 TB varastatud andmeid, mis võib olla ajaloo üks suurimaid andmelekkeid. Ründajad väitsid, et rikkumisest teavitatakse kõiki partnereid, kliente ja konkurente ning nende lekitatud andmed saadetakse avalikuks tarbimiseks uudiste ja meedia kuvadele. Ehkki EDP pressiesindaja on teatanud, et rünnak ei mõjutanud utiliidi elektriteenust ja infrastruktuuri, on ähvardav andmete rikkumine nende pärast mures.

Teenuste keelamine ja protsesside lõpetamine on tavaline taktika, mida pahavara kasutab turbeprogrammide, varundussüsteemide, andmebaaside ja meiliserverite keelamiseks. Kui need programmid on lõpetatud, saab nende andmed krüptida.

Esmakordsel käivitamisel skannib Ragnar Locker seadistatud Windowsi keele-eelistused. Kui keele-eelistus on inglise keel, jätkub pahavara järgmise sammuga. Kuid kui Ragnar Locker tuvastas, et keel on seatud endise NSV Liidu riigi hulka, lõpetab pahavara protsessi ja arvuti krüpteerimisega mitte.

Ragnar Locker ohustab MSP turvavahendeid enne, kui need blokeerida saavad lunavara hukkamisest. Kui pahavara sees on, algatab krüptimisprotsessi. See kasutab oluliste failide krüptimiseks sisseehitatud võtit RSA-2048.

Ragnar Locker ei krüpteeri kõiki faile. See jätab vahele mõned kaustad, failinimed ja laiendused, näiteks:

  • kernel32.dll
  • Windows
  • Windows.old
  • Tor brauser
  • Internet Explorer
  • Google
  • Opera
  • Opera tarkvara
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Kõik kasutajad
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Lisaks lisamisele krüpteeritud failidele uue faililaiendi lisab Ragnar Locker iga krüpteeritud faili lõppu ka failimarkeri RAGNAR.

Seejärel viskab Ragnar Locker lunaratasõnumi nimega '.RGNR_ [extension] .txt', mis sisaldab üksikasju lunaraha summa, bitcoini makseaadressi, ründajatega suhtlemiseks kasutatava TOX-i vestlus-ID ja varundusmeili kui TOXiga on probleeme. Erinevalt teistest lunavara pole Ragnar Lockeril kindlat lunaraha. See varieerub vastavalt sihtmärgile ja arvutatakse individuaalselt. Mõnes aruandes võib lunaraha summa varieeruda vahemikus 200 000 kuni 600 000 dollarit. EDP ​​puhul oli küsitud lunaraha 1580 bitcoini ehk 11 miljonit dollarit.

Kuidas eemaldada Ragnar Locker

Kui teie arvutil ei õnnestunud Ragnar Lockeri nakatada, peate kõigepealt kontrollima kui kõik teie failid on krüptitud. Samuti peate kontrollima, kas teie varundusfailid on samuti krüptitud. Sellised rünnakud rõhutavad oluliste andmete varundamise tähtsust, sest vähemalt ei pea te muretsema oma failidele juurdepääsu kaotamise pärast.

Ärge proovige lunaraha maksta, sest see on kasutu. Pole mingit garantiid, et ründaja saadab teile õige dešifreerimisvõtme ja et teie faile ei lekitata kunagi avalikkuse ees. Tegelikult on vägagi võimalik, et ründajad jätkavad teilt raha väljapressimist, kuna teavad, et olete nõus maksma.

Mida saate teha, on enne dekrüpteerimise proovimist enne lunavara arvutist kustutada. seda. Võite oma viirusetõrje- või pahavaratõrjerakenduse abil oma arvutist pahavara otsida ja kõigi tuvastatud ohtude kustutamiseks järgige juhiseid. Seejärel desinstallige kõik kahtlased rakendused või laiendused, mis võivad olla seotud pahavaraga.

Lõpuks otsige dekrüptimisriist, mis sobib Ragnari kappi. On mitmeid dekrüpteerijaid, mis on mõeldud lunavara abil krüpteeritud failide jaoks, kuid enne kui peaksite neid turvatarkvara tootma, peaksite neid kontrollima. Näiteks on Avastil ja Kasperskyl oma dekrüptimisriist, mida kasutajad saavad kasutada. Siin on loetelu muudest dekrüpteerimistööriistadest, mida saate proovida.

Kuidas ennast Ragnari kappi eest kaitsta . Oma seadme lunavara, eriti Ragnar Lockeri kaitsmiseks on siin mõned näpunäited, mida peate meeles pidama:

  • Kasutage tugevat paroolipoliitikat, kasutades kahekordse või mitme teguri autentimist (MFA) kui võimalik. Kui see pole võimalik, genereerige juhuslikke unikaalseid paroole, mida on raske ära arvata.
  • Laualt lahkudes lukustage kindlasti oma arvuti. Sõltumata sellest, kas lähete lõunasöögile, teete väikese pausi või lähete lihtsalt tualetti, lukustage arvuti volitamata juurdepääsu vältimiseks.
  • Looge andmete varundamise ja taastamise kava, eriti kriitilise teabe saamiseks arvuti. Kui võimalik, salvestage kõige olulisem teave, mis on salvestatud väljaspool võrku või välisseadmesse. Testige neid varukoopiaid regulaarselt ja veenduge, et need toimiksid tõelise kriisi korral õigesti.
  • Tehke oma süsteemide värskendamiseks ja installimiseks uusimad turvapaigad. Lunavara kasutab tavaliselt ära teie süsteemi haavatavusi, seega veenduge, et teie seadme turvalisus oleks õhutihe.
  • Olge ettevaatlik andmepüügi levinud vektorite suhtes, mis on lunavara levinum levitamisviis. Ärge klõpsake juhuslinkidel ja skannige alati e-posti manuseid enne nende arvutisse allalaadimist.
  • Laske oma seadmele installida kindel turbetarkvara ja värskendage andmebaasi uusimate ohtudega.

Youtube video: Kuidas Ragnar Locker lunavara lahendada

05, 2024