Ako sa vysporiadať s Ragnar Locker Ransomware (05.19.24)

Ransomvér je veľmi nepríjemný malware, pretože útočníci požadujú, aby obeť zaplatila za to, že jej dôležité údaje boli z rukojemníka oslobodené. Ransomvér nenápadne infikuje zariadenie obete, zašifruje dôležité údaje (vrátane záložných súborov) a potom nechá pokyny, koľko výkupného treba zaplatiť a ako by sa malo platiť. Po všetkých týchto problémoch obeť nemá žiadnu záruku, že útočník skutočne uvoľní dešifrovací kľúč na odomknutie súborov. A ak sa to niekedy stane, niektoré súbory môžu byť poškodené, čo ich nakoniec urobí zbytočnými.

V priebehu rokov si popularita využívania ransomvéru narastala, pretože ide o najpriamejší spôsob hackerov, ako si zarobiť peniaze. Musia iba opustiť malware a potom počkať, kým používateľ pošle peniaze prostredníctvom bitcoinu. Podľa údajov spoločnosti Emsisoft sa počet útokov ransomvéru v roku 2019 zvýšil o 41% oproti predchádzajúcemu roku, čo ovplyvnilo približne 1 000 amerických organizácií. Spoločnosť Cybersecurity Ventures dokonca predpovedala, že ransomvér zaútočí na podniky každých 11 sekúnd.

Začiatkom tohto roka Ragnar Locker, nový kmeň malvéru, zaútočil na portugalskú spoločnosť zaoberajúcu sa energetickými službami Energias de Portugal (EDP) so sídlom v Lisabone. . Útočníci požadovali ako výkupné 1 580 bitcoinov, čo je v prepočte asi 11 miliónov dolárov.

Čo je to Ragnar Locker Ransomware?

Ragnar Locker je ransomvérový typ škodlivého softvéru, ktorý sa nevytvára iba na šifrovanie údajov, ale aj na ničenie nainštalovaných aplikácií, ako sú ConnectWise a Kaseya, ktoré zvyčajne používajú poskytovatelia spravovaných služieb a niekoľko služieb Windows. Ragnar Locker premenuje šifrované súbory pripojením jedinečnej prípony zloženej zo slova ragnar, za ktorou nasleduje reťazec náhodných čísel a znakov. Napríklad súbor s názvom A.jpg bude premenovaný na A.jpg.ragnar_0DE48AAB.

Po zašifrovaní súborov potom vytvorí výkupnú správu pomocou textového súboru s rovnakým formátom názvu ako s príkladom vyššie. Výkupná správa by mohla mať názov RGNR_0DE48AAB.txt.

Tento ransomvér sa spúšťa iba v počítačoch so systémom Windows, ale zatiaľ si nie je isté, či autori tohto škodlivého softvéru navrhli aj verziu Ragnar Locker pre počítače Mac. Zvyčajne sa zameriava na procesy a aplikácie, ktoré bežne používajú poskytovatelia spravovaných služieb, aby zabránili odhaleniu a zastaveniu útoku. Ragnar Locker je zameraný iba na anglicky hovoriacich používateľov.

Ransomvér Ragnar Locker bol prvýkrát zistený koncom decembra 2019, keď bol použitý ako súčasť útokov na napadnuté siete. Podľa bezpečnostných expertov bol útok Ragnar Locker na európskeho energetického giganta premysleným a dôkladne naplánovaným útokom.

Tu je príklad výkupnej správy Ragnar Locker:

Ahoj *!

*********************

Ak čítate túto správu, bola vaša sieť PENETROVANÁ a všetky vaše súbory a dáta boli ŠIFROVANÉ

spoločnosťou RAGNAR_LOCKER!

*********************

********* Čo sa stane s vašim systémom? * ***********

Vaša sieť bola preniknutá, všetky vaše súbory a zálohy boli uzamknuté! Takže odteraz VÁM NIKTO NEMôže POMOCI získať vaše súbory späť, OKREM NÁS.

Môžete si to vygoogliť, bez nášho TAJNÉHO KĽÚČA neexistujú ŠANCY na dešifrovanie údajov.

Ale nebojte sa! Vaše súbory NIE SÚ POŠKODENÉ ani STRATENÉ, sú iba MODIFIKOVANÉ. Získate ho SPÄŤ, akonáhle zaplatíte.

Hľadáme iba PENIAZE, takže už nemáme záujem oceňovať alebo mazať vaše informácie, je to len OBCHODNÝ $ -)

AKÉKOĽVEK však môžete svoje DATA poškodiť, ak sa pokúsite DESKRIPTOVAŤ iným softvérom bez NAŠEHO ŠPECIFICKÉHO ŠIFROVACÍHO KLÁVESU !!!

Taktiež boli zhromaždené všetky vaše citlivé a súkromné ​​informácie a ak sa rozhodnete NEPLATIŤ,

nahráme ich na verejné zobrazenie!

****

*********** Ako dostať späť svoje súbory? ******

Do dešifrujte všetky svoje súbory a údaje, ktoré musíte zaplatiť za šifrovanie KĽÚČ:

BTC peňaženka na platbu: *

Suma na zaplatenie (v bitcoinoch): 25

****

*********** Koľko času musíte zaplatiť? **********

* Mali by ste nás kontaktovať do 2 dní od zistenia šifrovania, aby ste dosiahli lepšiu cenu.

* Cena by sa zvýšila o 100% (dvojnásobná cena) po 14 dňoch, ak nedôjde k nijakému kontaktu.

* Kľúč nebude úplne vymazaný do 21 dní, pokiaľ nedôjde k nadviazaniu kontaktu alebo k nedohodnutiu.

Niektoré citlivé informácie ukradnuté zo súborových serverov by boli nahrané verejne alebo na opätovný predajca.

****

*********** Čo keď súbory nemožno obnoviť? ******

Aby sme preukázali, že vaše údaje skutočne dokážeme dešifrovať, dešifrujeme jeden z vašich uzamknutých súborov!

Stačí nám ich poslať a získate ich ZADARMO späť.

Cena decryptoru závisí od veľkosti siete, počtu zamestnancov, ročných výnosov.

Ak chcete zaplatiť BTC, neváhajte nás kontaktovať.

****

! AK neviete, ako získať bitcoiny, poradíme vám, ako si peniaze vymeniť.

!!!!!!!!!!!!!!

! TU JE JEDNODUCHÝ MANUÁL AKO SA S NÁMI ZABEZPEČIŤ!

!!!!!!!!!!!!!

1) Prejdite na oficiálnu webovú stránku TOX messenger (hxxps: //tox.chat/download.html)

2) Stiahnite a nainštalujte si qTOX na svoj počítač, vyberte platformu (Windows, OS X, Linux atď.)

3) Otvorte Messenger, kliknite na „Nový profil“ a vytvorte profil.

4) Kliknite na tlačidlo „Pridať priateľov“ a vyhľadajte náš kontakt *

5) Pre identifikáciu pošlite údaje našej podpory z —RAGNAR SECRET—

DÔLEŽITÉ ! AK z nejakých dôvodov NEMôŽETE KONTAKTOVAŤ nás v qTOX, tu je naša rezervná poštová schránka (*), pošlite správu s údajmi z —RAGNAR SECRET—

UPOZORNENIE!

- Nepokúšajte sa dešifrovať súbory pomocou softvéru tretích strán (bude trvale poškodený)

- Neinštalujte operačný systém, môže to viesť k úplnej strate údajov a súborov. nie je možné dešifrovať. NIKDY!

- Váš TAJNÝ KLÍČ pre dešifrovanie je na našom serveri, ale nebude uložený navždy. NESTRÁCAJ ČAS !

*********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

*********************

Čo robí funkcia Ragnar Locker?

Ragnar Locker sa zvyčajne dodáva pomocou nástrojov MSP, ako je ConnectWise, kde zločinci vyhodia vysoko cielený spustiteľný súbor ransomware. Túto techniku ​​šírenia použil predchádzajúci vysoko škodlivý ransomvér, napríklad Sodinokibi. Keď dôjde k tomuto typu útoku, autori ransomvéru prenikajú do organizácií alebo zariadení prostredníctvom nezabezpečených alebo zle zabezpečených pripojení RDP. Potom použije nástroje na odoslanie skriptov Powershell do všetkých prístupných koncových bodov. Skripty potom prostredníctvom služby Pastebin stiahnu užitočné zaťaženie určené na spustenie ransomvéru a šifrovanie koncových bodov. V niektorých prípadoch má užitočné zaťaženie formu spustiteľného súboru, ktorý sa spustí ako súčasť súborového útoku. Existujú aj prípady, keď sa v rámci útoku bez súborov úplne stiahnu ďalšie skripty.

Ragnar Locker sa konkrétne zameriava na softvér, ktorý bežne prevádzkujú poskytovatelia spravovaných služieb, vrátane nasledujúcich reťazcov:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • zálohovanie
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Ransomvér najskôr ukradne súbory cieľa a nahrá ich na ich servery. Unikátne v aplikácii Ragnar Locker je, že súbory nielen šifrujú, ale vyhrážajú sa aj obeti, že údaje budú zverejnené, pokiaľ nebude zaplatené výkupné, ako je to v prípade EDP. Vďaka EDP útočníci hrozili vydaním údajných 10 TB odcudzených údajov, čo by mohlo byť jedným z najväčších únikov údajov v histórii. Útočníci tvrdili, že všetci partneri, klienti a konkurenti budú o porušení informovaní a ich uniknuté údaje budú zaslané správam a mediálnym snímkam na verejnú spotrebu. Aj keď hovorca spoločnosti EDP oznámil, že útok nemal vplyv na energetickú službu a infraštruktúru spoločnosti, obávajú sa hroziace porušenia údajov.

Zakázanie služieb a ukončenie procesov sú bežné taktiky, ktoré malware používa na zakázanie bezpečnostných programov, záložných systémov, databáz a poštových serverov. Po ukončení týchto programov môžu byť ich údaje zašifrované.

Pri prvom spustení Ragnar Locker skontroluje nakonfigurované jazykové predvoľby systému Windows. Ak je preferovaným jazykom angličtina, malware bude pokračovať ďalším krokom. Ale ak Ragnar Locker zistí, že jazyk je nastavený ako jedna z krajín bývalého ZSSR, malware ukončí proces a nebude to šifrovaním počítača.

Ragnar Locker kompromituje bezpečnostné nástroje MSP skôr, ako môžu blokovať ransomware pred vykonaním. Malvér vo svojom vnútri inicializuje proces šifrovania. Používa zabudovaný kľúč RSA-2048 na šifrovanie dôležitých súborov.

Ragnar Locker nešifruje všetky súbory. Preskočí niektoré priečinky, názvy súborov a prípony, napríklad:

  • kernel32.dll
  • Windows
  • Windows.old
  • Prehliadač Tor
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Všetci používatelia
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Okrem pridania nová prípona súboru k šifrovaným súborom, Ragnar Locker tiež pridá na koniec každého šifrovaného súboru značku súboru „RAGNAR“.

Ragnar Locker potom zruší výkupnú správu s názvom „.RGNR_ [rozšírenie] .txt“, ktorá obsahuje podrobnosti o výške výkupného, ​​platobnej adrese bitcoinu, ID chatu TOX, ktoré sa majú použiť pri komunikácii s útočníkmi, a záložnú e-mailovú adresu ak sú problémy s TOXom. Na rozdiel od iných ransomware nemá Ragnar Locker pevne stanovené množstvo výkupného. Líši sa podľa cieľa a počíta sa individuálne. V niektorých správach sa výška výkupného mohla pohybovať od 200 000 do 600 000 dolárov. V prípade EDP bolo výkupné 1 580 bitcoinov alebo 11 miliónov dolárov.

Ako odstrániť Ragnar Locker

Ak váš počítač nemal smolu, že bol infikovaný Ragnar Locker, je potrebné najskôr skontrolovať ak sú všetky vaše súbory zašifrované. Musíte tiež skontrolovať, či aj vaše záložné súbory boli šifrované. Takéto útoky zdôrazňujú dôležitosť zálohovania vašich dôležitých údajov, pretože sa minimálne nebudete musieť obávať straty prístupu k svojim súborom.

Nepokúšajte sa zaplatiť výkupné, pretože to bude zbytočné. Nie je možné zaručiť, že vám útočník pošle správny dešifrovací kľúč a že vaše súbory nebudú nikdy zverejnené. V skutočnosti je vysoko pravdepodobné, že útočníci od vás budú i naďalej vymáhať peniaze, pretože vedia, že ste ochotní zaplatiť.

Čo môžete urobiť, je najskôr odstrániť ransomvér z počítača a až potom sa pokúsiť dešifrovať to. Pomocou antivírusovej alebo antimalwarovej aplikácie môžete skontrolovať, či sa v počítači nenachádza malware, a podľa pokynov odstrániť všetky zistené hrozby. Ďalej odinštalujte všetky podozrivé aplikácie alebo rozšírenia, ktoré by mohli súvisieť s malvérom.

Nakoniec vyhľadajte dešifrovací nástroj, ktorý sa zhoduje s Ragnarovou skrinkou. Existuje niekoľko dešifrovačov určených pre súbory šifrované ransomvérom. Ak je však k dispozícii, mali by ste najskôr skontrolovať výrobcu bezpečnostného softvéru. Napríklad Avast a Kaspersky majú svoj vlastný dešifrovací nástroj, ktorý môžu používatelia používať. Tu je zoznam ďalších dešifrovacích nástrojov, ktoré môžete vyskúšať.

Ako sa chrániť pred Ragnar Locker

Ransomvér môže byť dosť nepríjemný, najmä ak neexistuje žiadny dešifrovací nástroj, ktorý by dokázal zrušiť šifrovanie vykonané malvérom . Aby ste chránili svoje zariadenie pred ransomvérom, najmä Ragnar Locker, tu je niekoľko tipov, ktoré musíte pamätať:

  • Využívajte silnú politiku hesiel pomocou dvojfaktorovej alebo viacfaktorovej autentifikácie (MFA), ak je to možné. Ak to nie je možné, vygenerujte si náhodné jedinečné heslá, ktoré bude ťažké uhádnuť.
  • Keď opúšťate pracovný stôl, nezabudnite uzamknúť počítač. Či už idete na obed, máte krátku prestávku alebo len idete na toaletu, uzamknite počítač, aby ste zabránili neoprávnenému prístupu.
  • Vytvorte plán zálohovania a obnovy dát, najmä pre dôležité informácie o vašom počítači. počítač. Ak je to možné, ukladajte najdôležitejšie informácie uložené mimo sieť alebo na externé zariadenie. Tieto zálohy pravidelne testujte, aby ste sa uistili, že správne fungujú v prípade skutočnej krízy.
  • Zabezpečte, aby boli vaše systémy aktualizované a nainštalované pomocou najnovších bezpečnostných opráv. Ransomvér zvyčajne zneužíva chyby zabezpečenia vo vašom systéme, preto sa uistite, že je zabezpečenie vášho zariadenia vzduchotesné.
  • Dávajte pozor na bežné vektory phishingu, čo je najbežnejšia metóda distribúcie ransomvéru. Neklikajte na náhodné odkazy a pred stiahnutím do počítača vždy skenujte prílohy e-mailov.
  • Nechajte si na svojom prístroji nainštalovať robustný bezpečnostný softvér a udržiavajte databázu aktualizovanú o najnovšie hrozby.

YouTube Video: Ako sa vysporiadať s Ragnar Locker Ransomware

05, 2024