Kuinka käsitellä Ragnar Locker Ransomware (05.19.24)

Haittaohjelmien torjunta

Ransomware on erittäin ikävä haittaohjelma, koska hyökkääjät vaativat uhria maksamaan tärkeiden tietojensa vapauttamisesta panttivangiksi. Lunnasohjelma tartuttaa salaa uhrin laitteen, salaa tärkeät tiedot (mukaan lukien varmuuskopiotiedostot) ja jättää sitten ohjeet siitä, kuinka paljon lunnaita on maksettava ja miten ne olisi maksettava. Kaikkien näiden ongelmien jälkeen uhrilla ei ole takeita siitä, että hyökkääjä todella vapauttaa salauksen avaimen tiedostojen lukituksen avaamiseksi. Ja jos he tekevät niin, jotkut tiedostot saattavat olla vioittuneita, mikä tekee niistä lopulta hyödyttömiä.

Vuosien saatossa kiristysohjelmien käyttö on kasvanut suosiotaan, koska se on suorin tapa hakkereille ansaita rahaa. Heidän on vain pudotettava haittaohjelma ja odotettava sitten, että käyttäjä lähettää rahaa Bitcoinin kautta. Emsisoftin tietojen mukaan ransomware-hyökkäysten määrä kasvoi vuonna 2019 41% edelliseen vuoteen verrattuna, mikä vaikutti noin 1000: een Yhdysvaltain organisaatioon. Cybersecurity Ventures jopa ennusti, että lunnasohjelmat hyökkäävät yrityksiä 11 sekunnin välein.

Aiemmin tänä vuonna uusi haittaohjelmakanta Ragnar Locker hyökkäsi Portugalin Energias de Portugaliin (EDP), jonka pääkonttori sijaitsee Lissabonissa. . Hyökkääjät vaativat lunnaiksi 1580 bitcoinia, mikä vastaa noin 11 miljoonaa dollaria.

Mikä on Ragnar Locker Ransomware?

Ragnar Locker on ransomware-tyyppinen haittaohjelma, joka on luotu paitsi tietojen salaamiseen myös tappamaan asennetut sovellukset, kuten ConnectWise ja Kaseya, joita yleensä käyttävät hallitut palveluntarjoajat ja useat Windows-palvelut. Ragnar Locker nimeää salatut tiedostot uudelleen lisäämällä ainutlaatuisen laajennuksen, joka koostuu sanasta ragnar, jota seuraa satunnaislukujen ja merkkien merkkijono. Esimerkiksi tiedosto, jonka nimi on A.jpg, nimetään uudeksi nimeksi A.jpg.ragnar_0DE48AAB.

Tiedostojen salauksen jälkeen se luo lunnasviestin tekstitiedostolla samalla nimimuodolla yllä olevan esimerkin kanssa. Lunnasviestin nimi voisi olla RGNR_0DE48AAB.txt.

Tämä lunnasohjelma toimii vain Windows-tietokoneissa, mutta ei ole vielä varmaa, ovatko tämän haittaohjelman kirjoittajat suunnitelleet myös Ragnar Lockerin Mac-version. Se kohdistuu yleensä prosesseihin ja sovelluksiin, joita hallitut palveluntarjoajat käyttävät yleisesti estääkseen hyökkäyksensä havaitsemasta ja pysäyttämästä. Ragnar Locker on suunnattu vain englanninkielisille käyttäjille.

Ragnar Locker ransomware havaittiin ensimmäisen kerran joulukuun lopussa 2019, kun sitä käytettiin osana hyökkäyksiä vaarantuneissa verkoissa. Turvallisuusasiantuntijoiden mukaan Ragnar Locker -hyökkäys Euroopan energiajättiä vastaan oli hyvin suunniteltu ja perusteellisesti suunniteltu hyökkäys.

Tässä on esimerkki Ragnar Locker -lunastussanomasta:

Hei *!

*********************

Jos lukit tämän viestin, verkko oli PENETRATED ja kaikki tiedostosi ja tiedot on KIRJOITETTU

RAGNAR_LOCKER!

*********************

********* Mitä järjestelmällä tapahtuu? * ***********

Verkkoosi tunkeutui, kaikki tiedostosi ja varmuuskopiot lukittiin! Joten nyt kukaan ei voi auttaa sinua palauttamaan tiedostojasi, lukuun ottamatta meitä.

Voit Googlella, ei ole mahdollisuuksia purkaa tietoja ilman SALAISTA AVAIMETTA.

Mutta älä huoli! Tiedostot eivät ole vahingoittuneet tai kadonneet, ne ovat vain muokattuja. Voit saada sen TAKAISIN heti, kun maksat.

Etsimme vain RAHAA, joten meillä ei ole kiinnostusta terästää tai poistaa tietojasi, se on vain LIIKETOIMINTA $ -)

VOI kuitenkin vahingoittaa DATA-tietosi itse, jos yrität POISTAA millä tahansa muulla ohjelmistolla, ilman ERITYISTÄ SALAUSAUKOSTA !!!

Lisäksi kaikki arkaluonteiset ja yksityiset tietosi on kerätty, ja jos et halua maksaa,

lähetämme ne julkiseen katseluun!

****

*********** Kuinka saada tiedostosi takaisin? ******

purkaa kaikki tiedostosi ja tietosi, jotka sinun on maksettava salauksesta.

****

*********** Kuinka paljon aikaa sinun on maksettava? **********

* Ota yhteyttä meihin kahden päivän kuluessa siitä, kun huomasit salauksen saadaksesi paremman hinnan.

* Hintaa korotettaisiin 100% (kaksinkertainen hinta) 14 päivän kuluttua, jos ei ole yhteyttä.

* Avain tyhjennetään kokonaan 21 päivässä, jos yhteyttä ei ole tehty tai sopimusta ei ole tehty.

Osa tiedostopalvelimilta varastetuista arkaluontoisista tiedoista ladataan julkisesti tai jälleenmyyjä.

****

*********** Entä jos tiedostoja ei voi palauttaa? ******

Todistamme, että voimme todella purkaa tietosi, puramme yhden lukituista tiedostoistasi!

Lähetä se meille ja saat sen takaisin ILMAISEKSI.

Salauksen purkajan hinta perustuu verkon kokoon, työntekijöiden lukumäärään ja vuotuiseen tuloon.

Ota yhteyttä meihin saadaksesi maksettavan BTC-määrän.

****

! JOS et tiedä miten saada bitcoineja, annamme sinulle neuvoja rahan vaihtamiseksi.

!!!!!!!!!!!!!

! TÄSSÄ ON YKSINKERTAINEN KÄYTTÖOHJE, KUINKA SAAT YHTEYDESSÄ MEIDÄT!

!!!!!!!!!!!!!

1) Siirry TOX Messengerin viralliselle verkkosivustolle (hxxps: //tox.chat/download.html)

2) Lataa ja asenna qTOX tietokoneellesi, valitse alusta (Windows, OS X, Linux jne.)

3) Avaa Messenger, napsauta Uusi profiili ja luo profiili.

4) Napsauta Lisää ystäviä -painiketta ja hae yhteyshenkilöstämme *

5) Lähetä tunnistetiedot lähettämällä tukitietoihimme osoitteesta —RAGNAR SECRET—

TÄRKEÄÄ ! JOS jostain syystä et voi ottaa meihin yhteyttä qTOX: ssa, tässä on varapostilaatikkomme (*) lähettämään viestin, jonka tiedot lähetetään —RAGNAR SECRET-

VAROITUS!

-Älä yritä purkaa tiedostojen salauksen purkamista kolmannen osapuolen ohjelmistolla (se vaurioituu pysyvästi)

-Älä asenna käyttöjärjestelmääsi uudelleen, se voi johtaa tietojen täydelliseen menetykseen ja tiedostoihin ei voida purkaa. ÄLÄ KOSKAAN!

-SALAISESTI salauksenpurkuavaimesi on palvelimellamme, mutta sitä ei tallenneta ikuisesti. ÄLÄ TUHLAA AIKAA !

*********************

—RAGNARISALAINEN -

—RAGNAR SECRET—

*********************

Mitä Ragnar Locker tekee?

Ragnar Locker toimitetaan yleensä MSP-työkalujen, kuten ConnectWisen, kautta, jolloin verkkorikolliset pudottavat kohdennetun ransomware-suoritettavan tiedoston. Tätä levitystekniikkaa ovat käyttäneet aikaisemmat erittäin haitalliset lunnasohjelmat, kuten Sodinokibi. Kun tällainen hyökkäys tapahtuu, lunnasohjelman kirjoittajat tunkeutuvat organisaatioihin tai tiloihin suojaamattomien tai huonosti suojattujen RDP-yhteyksien kautta. Sitten se käyttää työkaluja Powershell-komentosarjojen lähettämiseen kaikkiin käytettävissä oleviin päätepisteisiin. Komentosarjat lataavat sitten hyötykuorman Pastebinin kautta, joka on suunniteltu suorittamaan lunnasohjelma ja salaamaan päätepisteet. Joissakin tapauksissa hyötykuorma on suoritettava tiedosto, joka käynnistetään osana tiedostopohjaista hyökkäystä. On myös tapauksia, joissa ylimääräisiä komentosarjoja ladataan osana täysin tiedostotonta hyökkäystä.

Ragnar Locker kohdistaa erityisesti hallittujen palveluntarjoajien ylläpitämiin ohjelmistoihin, mukaan lukien seuraavat merkkijonot:

vss
sql
memtas
mepocs
sophos
veeam
varmuuskopiointi
pulseway
logme
logmein
connectwise
roiskeista
kaseya

Lunnasohjelma varastaa ensin kohteen tiedostot ja lähettää ne heidän palvelimilleen. Ragnar Lockerissa on ainutlaatuista, että ne eivät vain salaa tiedostoja, vaan uhkaavat uhria myös siitä, että tiedot julkaistaan julkisesti, ellei lunnaita ole maksettu, kuten EDP: n tapauksessa. EDP: n avulla hyökkääjät uhkasivat vapauttaa oletetun 10 Tt varastettua tietoa, mikä voisi olla yksi historian suurimmista tietovuodoista. Hyökkääjät väittivät, että kaikille kumppaneille, asiakkaille ja kilpailijoille ilmoitetaan rikkomuksesta ja heidän vuotamansa tiedot lähetetään uutisille ja mediatiedotteille julkiseen kulutukseen. Vaikka EDP: n tiedottaja on ilmoittanut, ettei hyökkäyksellä ollut vaikutusta apuohjelman virtapalveluun ja infrastruktuuriin, uhkaava tietorikkomus on asia, josta he ovat huolissaan.

Palvelujen poistaminen käytöstä ja prosessien lopettaminen ovat yleisiä taktiikoita, joita haittaohjelmat käyttävät turvaohjelmien, varmuuskopiointijärjestelmien, tietokantojen ja postipalvelinten poistamiseen käytöstä. Kun nämä ohjelmat on lopetettu, niiden tiedot voidaan salata.

Ensimmäisen käynnistämisen jälkeen Ragnar Locker skannaa määritetyt Windowsin kieliasetukset. Jos kieliasetus on englanti, haittaohjelma jatkaa seuraavaan vaiheeseen. Mutta jos Ragnar Locker havaitsi, että kieli on asetettu yhdeksi entisistä Neuvostoliiton maista, haittaohjelma lopettaa prosessin eikä tietokoneen salauksella.

Ragnar Locker vaarantaa MSP: n tietoturvatyökalut ennen kuin ne voivat estää lunnasohjelman suorittamista. Sisään saapuessaan haittaohjelma aloittaa salauksen. Se käyttää upotettua RSA-2048-avainta tärkeiden tiedostojen salaamiseen.

Ragnar Locker ei salaa kaikkia tiedostoja. Se ohittaa joitain kansioita, tiedostonimiä ja laajennuksia, kuten:

kernel32.dll
Windows
Windows.old
Tor-selain
Internet Explorer
Google
Opera
Opera-ohjelmisto
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Kaikki käyttäjät
autorun.inf
boot.ini
bootfont.bin
bootect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
.lnk
.msi
.drv
.exe

Liittämisen lisäksi uuden salatun tiedoston laajennuksen, Ragnar Locker lisää jokaisen salatun tiedoston loppuun myös RAGNAR-tiedostomerkin.

Ragnar Locker pudottaa sitten lunnasviestin nimeltä .RGNR_ [extension] .txt ', joka sisältää yksityiskohdat lunnaiden määrästä, bitcoin-maksuosoitteesta, TOX-chat-tunnuksesta, jota käytetään kommunikointiin hyökkääjien kanssa, ja varmuuskopiosähköpostiosoitteen jos TOX: n kanssa on ongelmia. Toisin kuin muut lunnasohjelmat, Ragnar Lockerilla ei ole kiinteää määrää lunnaita. Se vaihtelee kohteen mukaan ja se lasketaan erikseen. Joissakin raporteissa lunnaiden määrä voi vaihdella 200 000 - 600 000 dollarin välillä. EDP: n tapauksessa pyydettiin lunnaita 1 580 bitcoinia tai 11 miljoonaa dollaria.

Kuinka poistaa Ragnar Locker

Jos tietokoneellasi ei epäonnistu saada Ragnar Locker -infektio, sinun on ensin tarkistettava jos kaikki tiedostosi on salattu. Sinun on myös tarkistettava, onko varmuuskopiotiedostosi salattu. Tämäntyyppiset hyökkäykset korostavat tärkeiden tietojen varmuuskopioinnin tärkeyttä, koska ainakaan sinun ei tarvitse huolehtia tiedostojesi käyttöoikeuden menettämisestä.

Älä yritä maksaa lunnaita, koska se on hyödytön. Ei ole takeita siitä, että hyökkääjä lähettää sinulle oikean salauksenavaimen ja että tiedostosi eivät koskaan vuoda julkisesti. Itse asiassa on erittäin mahdollista, että hyökkääjät jatkossakin kiristävät rahaa sinulta, koska he tietävät, että olet valmis maksamaan.

Voit tehdä poistamalla lunnasohjelman ensin tietokoneeltasi ennen kuin yrität purkaa salauksen purkamista. se. Voit tarkistaa virustorjunta- tai haittaohjelmien torjuntasovelluksen avulla tietokoneesi haittaohjelmien varalta ja poistaa kaikki havaitut uhat noudattamalla ohjeita. Poista seuraavaksi kaikki epäilyttävät sovellukset tai laajennukset, jotka saattavat liittyä haittaohjelmaan.

Etsi lopuksi salauksen purkutyökalu, joka sopii Ragnar Lockeriin. On olemassa useita salauksen purkimia, jotka on suunniteltu ransomware-salaamille tiedostoille, mutta tarkista ensin suojausohjelmistosi valmistaja, jos heillä on sellainen käytettävissä. Esimerkiksi Avastilla ja Kasperskylla on oma salaustyökalu, jota käyttäjät voivat käyttää. Tässä on luettelo muista salauksen purkuohjelmista, joita voit kokeilla.

Kuinka suojautua Ragnar Lockerilta . Laitteesi suojaamiseksi lunnasohjelmilta, etenkin Ragnar Lockerilta, tässä on joitain vinkkejä, jotka sinun on pidettävä mielessä:

Käytä vahvaa salasanakäytäntöä kaksinkertaisen tai usean tekijän todennuksella (MFA), jos mahdollista. Jos se ei ole mahdollista, luo satunnaisia, yksilöllisiä salasanoja, joita on vaikea arvailla.
Muista lukita tietokone, kun poistut työpöydältäsi. Olitpa sitten menemässä lounaalle, pidät lyhyen tauon tai olet vain käymässä vessassa, lukitse tietokone luvattoman käytön estämiseksi.
Luo tietojen varmuuskopiointi- ja palautussuunnitelma erityisesti kriittisten tietojen saamiseksi tietokone. Säilytä verkon ulkopuolella tai ulkoisessa laitteessa tallennetut tärkeimmät tiedot, jos mahdollista. Testaa näitä varmuuskopioita säännöllisesti varmistaaksesi, että ne toimivat oikein todellisen kriisin sattuessa.
Varmista, että järjestelmät päivitetään ja asennetaan uusimpien tietoturvakorjausten avulla. Ransomware hyödyntää yleensä järjestelmän haavoittuvuuksia, joten varmista, että laitteesi tietoturva on ilmatiivis.
Ole varovainen tietojenkalastelun yleisten vektorien suhteen, mikä on lunnasohjelman yleisin jakelutapa. Älä napsauta satunnaisia linkkejä ja skannaa aina sähköpostiliitteet ennen niiden lataamista tietokoneellesi.
Asenna laitteellesi vankka tietoturvaohjelmisto ja pidä tietokanta ajan tasalla uusimmista uhista.

YouTube-video: Kuinka käsitellä Ragnar Locker Ransomware

05, 2024

Kuinka käsitellä Ragnar Locker Ransomware (05.19.24)

YouTube-video: Kuinka käsitellä Ragnar Locker Ransomware

Artikkelit

Overwatch: Roadhog Nerf

3 tapaa korjata Emerald Dreamway -portaalit, jotka eivät toimi WoW: ssä

Kuinka asentaa macOS uudelleen, jos komento R ei toimi MacBookissa

Suosituimmat Android-ratkaisut yleisiin Android-ongelmiin

Mikä on Windows Update 800B0109 -virhe

Viimeisimmät artikkelit

Viisi tapaa korjata Corsair M65-sniper-painike ei toimi

Kuinka ei mene AFK: een WoW Classicissa (3 tapaa)

Yhdistä Dragons Challenge 28: Täydellinen opas

Häiriötön äänikeskustelu ei muodostu: 3 tapaa korjata

5 realistisinta Roblox-peliä, jotka sinun on pelattava