Jak se vypořádat s Ragnar Locker Ransomware (05.19.24)

Anti-Malware

Ransomware je velmi ošklivý malware, protože útočníci požadují, aby oběť zaplatila za to, že její důležitá data byla z rukojmí uvolněna. Ransomware nenápadně infikuje zařízení oběti, zašifruje důležitá data (včetně záložních souborů) a poté ponechá pokyny, kolik výkupného by mělo být zaplaceno a jak by mělo být zaplaceno. Po všech těchto potížích oběť nemá žádnou záruku, že útočník skutečně uvolní dešifrovací klíč k odemčení souborů. A pokud to někdy udělají, mohou být některé soubory poškozené, takže se nakonec stanou zbytečnými.

V průběhu let si popularita používání ransomwaru vzrostla, protože jde o nejpřímější způsob hackerů, jak vydělat peníze. Potřebují jen vypustit malware a poté počkat, až uživatel pošle peníze prostřednictvím bitcoinu. Podle údajů společnosti Emsisoft se počet útoků na ransomware v roce 2019 zvýšil o 41% oproti předchozímu roku, což ovlivnilo přibližně 1 000 amerických organizací. Společnost Cybersecurity Ventures dokonce předpověděla, že ransomware zaútočí na podniky každých 11 sekund.

Začátkem tohoto roku zaútočil nový kmen malwaru Ragnar Locker, portugalská společnost zabývající se elektrickými službami Energias de Portugal (EDP) se sídlem v Lisabonu. . Útočníci požadovali jako výkupné 1 580 bitcoinů, což odpovídá přibližně 11 milionům dolarů.

Co je to Ragnar Locker Ransomware?

Ragnar Locker je ransomwarový typ malwaru vytvořený nejen k šifrování dat, ale také k zabíjení nainstalovaných aplikací, jako jsou ConnectWise a Kaseya, které obvykle používají poskytovatelé spravovaných služeb a několik služeb Windows. Ragnar Locker přejmenuje šifrované soubory připojením jedinečné přípony složené ze slova ragnar následovaného řetězcem náhodných čísel a znaků. Například soubor s názvem A.jpg bude přejmenován na A.jpg.ragnar_0DE48AAB.

Po zašifrování souborů poté vytvoří výkupnou zprávu pomocí textového souboru se stejným formátem jména jako s výše uvedeným příkladem. Výkupnou zprávu lze pojmenovat RGNR_0DE48AAB.txt.

Tento ransomware běží pouze na počítačích se systémem Windows, ale zatím si není jistý, zda autoři tohoto malwaru navrhli také verzi Ragnar Locker pro Mac. Obvykle se zaměřuje na procesy a aplikace běžně používané poskytovateli spravovaných služeb, aby jejich útok nebyl detekován a zastaven. Ragnar Locker je zaměřen pouze na anglicky mluvící uživatele.

Ransomware Ragnar Locker byl poprvé detekován koncem prosince 2019, kdy byl použit jako součást útoků na napadené sítě. Podle bezpečnostních expertů byl útok Ragnar Locker na evropského energetického giganta promyšleným a důkladně naplánovaným útokem.

Zde je příklad výkupné zprávy Ragnar Locker:

Ahoj *!

*********************

Pokud čtete tuto zprávu, byla vaše síť PENETROVÁNA a všechny vaše soubory a data byla ŠIFROVÁNA

společností RAGNAR_LOCKER!

*********************

********* Co se stane s vaším systémem? * ***********

Vaše síť byla proniknuta, všechny vaše soubory a zálohy byly uzamčeny! Od této chvíle vám tedy NIKDY NEMŮŽE POMOCI získat vaše soubory zpět, KROMĚ NÁS.

Můžete si to vygooglit, bez našeho TAJNÉHO KLÍČE neexistují žádné ŠANCE K dešifrování dat.

Ale nebojte se! Vaše soubory NENÍ POŠKOZENY ani Ztraceny, jsou pouze MODIFIKOVÁNY. Můžete je získat ZPĚT, jakmile PLATÍTE.

Hledáme pouze PENÍZE, takže pro nás není zájem oceňovat nebo mazat vaše informace, je to jen OBCHODNÍ $ -)

NIKDY však můžete své DATA poškodit sami, pokud se pokusíte DESEKROVAT jakýmkoli jiným softwarem, bez NAŠEHO SPECIFICKÉHO ŠIFROVACÍHO KLÍČE !!!

Také byly shromážděny všechny vaše citlivé a soukromé informace, a pokud se rozhodnete NEPLATIT,

nahrajeme je pro veřejné zobrazení!

****

*********** Jak získat soubory zpět? ******

Do dešifrujte všechny své soubory a data, která musíte zaplatit za šifrování KLÍČ:

BTC peněženka pro platbu: *

Částka k zaplacení (v bitcoinech): 25

****

*********** Kolik času musíte zaplatit? **********

* Měli byste nás kontaktovat do 2 dnů poté, co jste si všimli šifrování, abyste získali lepší cenu.

* Pokud nedojde ke kontaktu, cena by se po 14 dnech zvýšila o 100% (dvojnásobná cena).

* Klíč by byl zcela vymazán za 21 dní, pokud nedojde ke kontaktu nebo k dohodě.

Některé citlivé informace ukradené ze souborových serverů by byly nahrány veřejně nebo na překupník.

****

*********** Co když soubory nelze obnovit? ******

Abychom prokázali, že vaše data skutečně dokážeme dešifrovat, dešifrujeme jeden z vašich uzamčených souborů!

Stačí nám je poslat a dostanete je ZDARMA zpět.

Cena decryptoru závisí na velikosti sítě, počtu zaměstnanců, ročních příjmech.

Neváhejte nás kontaktovat ohledně částky BTC, která by měla být zaplacena.

****

! Pokud nevíte, jak získat bitcoiny, poradíme vám, jak si peníze vyměnit.

!!!!!!!!!!!!!!

! ZDE JE JEDNODUCHÝ MANUÁL, JAK SE S NÁMI ZÍSKAT KONTAKT!

!!!!!!!!!!!!!

1) Přejděte na oficiální web TOX messenger (hxxps: //tox.chat/download.html)

2) Stáhněte a nainstalujte qTOX na svůj počítač, vyberte platformu (Windows, OS X, Linux atd.)

3) Otevřete Messenger, klikněte na „Nový profil“ a vytvořte profil.

4) Klikněte na tlačítko „Přidat přátele“ a vyhledejte náš kontakt *

5) Pro identifikaci zašlete na naši podporu data z —RAGNAR SECRET—

DŮLEŽITÉ ! Pokud z nějakých důvodů NEMŮŽETE KONTAKTOVAT nás v qTOX, zde je naše rezervní poštovní schránka (*) odeslat zprávu s daty z —RAGNAR SECRET—

UPOZORNĚNÍ!

- Nepokoušejte se dešifrovat soubory pomocí softwaru jiného výrobce (bude trvale poškozen)

- Neinstalujte znovu svůj operační systém, může to vést k úplné ztrátě dat a souborům nelze dešifrovat. NIKDY!

- Váš TAJNÝ KLÍČ pro dešifrování je na našem serveru, ale nebude uložen navždy. NEPLÝTVEJ ČASEM !

*********************

—RAGNAR SECRET—

*********************

Co dělá Ragnar Locker?

Ragnar Locker se obvykle dodává prostřednictvím nástrojů MSP, jako je ConnectWise, kde kyberzločinci upustí vysoce cílený spustitelný soubor ransomwaru. Tuto techniku šíření používal předchozí vysoce škodlivý ransomware, například Sodinokibi. Když k tomuto typu útoku dojde, autoři ransomwaru pronikají do organizací nebo zařízení prostřednictvím nezabezpečeného nebo špatně zabezpečeného připojení RDP. Poté pomocí nástrojů odešle skripty Powershellu do všech přístupných koncových bodů. Skripty poté stáhnou užitečné zatížení přes Pastebin určené k provádění ransomwaru a šifrování koncových bodů. V některých případech má užitečné zatížení formu spustitelného souboru, který je spuštěn jako součást souborového útoku. Existují také případy, kdy jsou stahovány další skripty jako součást útoku zcela bez souborů.

Ragnar Locker se konkrétně zaměřuje na software běžně provozovaný poskytovateli spravovaných služeb, včetně následujících řetězců:

vss
sql
memtas
mepocs
sophos
veeam
zálohování
pulseway
logme
logmein
connectwise
splashtop
kaseya

Ransomware nejprve ukradne soubory cíle a nahraje je na jejich servery. U Ragnar Locker je jedinečné to, že soubory jednoduše nešifrují, ale také vyhrožují oběti, že data budou zveřejněna, pokud nebude zaplaceno výkupné, jako je tomu v případě EDP. Díky EDP útočníci pohrozili vydáním údajných 10 TB odcizených dat, což by mohlo být jedním z největších úniků dat v historii. Útočníci tvrdili, že všichni partneři, klienti a konkurenti budou o porušení informováni a jejich úniková data budou zaslána zprávám a mediálním obrázkům pro veřejnou spotřebu. Ačkoli mluvčí společnosti EDP oznámil, že útok neměl dopad na energetickou službu a infrastrukturu společnosti, hrozící narušení dat je něco, čeho se obávají.

Zakázání služeb a ukončení procesů jsou běžné taktiky používané malwarem k deaktivaci bezpečnostních programů, záložních systémů, databází a poštovních serverů. Po ukončení těchto programů lze jejich data zašifrovat.

Při prvním spuštění Ragnar Locker prohledá nakonfigurované jazykové předvolby systému Windows. Pokud je předvolbou jazyka angličtina, malware bude pokračovat dalším krokem. Pokud však Ragnar Locker zjistil, že jazyk je nastaven jako jedna z bývalých zemí SSSR, malware ukončí proces a nebude šifrováním počítače.

Ragnar Locker kompromituje bezpečnostní nástroje MSP, než mohou blokovat spuštění ransomwaru. Jakmile se dostanete dovnitř, malware zahájí proces šifrování. K šifrování důležitých souborů používá vložený klíč RSA-2048.

Ragnar Locker nešifruje všechny soubory. Přeskočí některé složky, názvy souborů a přípony, například:

kernel32.dll
Windows
Windows.old
Prohlížeč Tor
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Všichni uživatelé
autorun.inf
boot.ini
bootfont.bin
bootect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Kromě připojení Ragnar Locker, nová přípona šifrovaných souborů, přidá na konec každého zašifrovaného souboru značku souboru „RAGNAR“.

Ragnar Locker poté upustí výkupnou zprávu s názvem „.RGNR_ [přípona] .txt“ obsahující podrobnosti o výši výkupného, platební bitcoinové adrese, ID chatu TOX, které se má použít ke komunikaci s útočníky, a záložní e-mailovou adresu pokud jsou problémy s TOX. Na rozdíl od jiných ransomware nemá Ragnar Locker pevné výkupné. Liší se podle cíle a počítá se individuálně. V některých zprávách se výše výkupného mohla pohybovat mezi 200 000 až 600 000 USD. V případě EDP bylo výkupné požádáno o 1 580 bitcoinů nebo 11 milionů dolarů.

Jak odebrat Ragnar Locker

Pokud váš počítač neměl to štěstí, že byl infikován Ragnar Locker, první věcí, kterou musíte udělat, je zkontrolovat pokud byly všechny vaše soubory zašifrovány. Musíte také zkontrolovat, zda byly šifrovány i vaše záložní soubory. Útoky, jako je tento, zdůrazňují důležitost zálohy vašich důležitých dat, protože se přinejmenším nebudete muset obávat ztráty přístupu ke svým souborům.

Nepokoušejte se zaplatit výkupné, protože to bude k ničemu. Neexistuje žádná záruka, že vám útočník pošle správný dešifrovací klíč a že vaše soubory nebudou nikdy zveřejněny. Ve skutečnosti je vysoce možné, že útočníci od vás budou i nadále vydírat peníze, protože vědí, že jste ochotni zaplatit.

Co můžete udělat, je nejprve z počítače odstranit ransomware, než se pokusíte dešifrovat to. Pomocí antivirové nebo antimalwarové aplikace můžete ve svém počítači vyhledat malware a odstranit všechny zjištěné hrozby podle pokynů. Poté odinstalujte všechny podezřelé aplikace nebo rozšíření, které by mohly souviset s malwarem.

Nakonec vyhledejte dešifrovací nástroj, který odpovídá Ragnarově skříňce. Existuje několik decryptorů, které byly navrženy pro soubory šifrované ransomwarem, ale měli byste nejprve zkontrolovat výrobce bezpečnostního softwaru, pokud mají jeden k dispozici. Například Avast a Kaspersky mají svůj vlastní dešifrovací nástroj, který mohou uživatelé používat. Zde je seznam dalších dešifrovacích nástrojů, které můžete vyzkoušet.

Jak se chránit před Ragnar Locker

Ransomware může být docela nepříjemný, zvláště pokud neexistuje žádný dešifrovací nástroj schopný zrušit šifrování provedené malwarem . Chcete-li chránit své zařízení před ransomwarem, zejména Ragnar Locker, zde je několik tipů, které je třeba mít na paměti:

Zaměstnávejte silné zásady hesel pomocí dvoufaktorového nebo vícefaktorového ověřování (MFA), pokud je to možné. Pokud to není možné, vygenerujte náhodná jedinečná hesla, která bude obtížné uhodnout.
Při opouštění stolu nezapomeňte počítač uzamknout. Ať už jedete na oběd, na krátkou přestávku nebo jen na toaletu, uzamkněte počítač, abyste zabránili neoprávněnému přístupu.
Vytvořte plán zálohování a obnovy dat, zejména pro důležité informace o vašem počítač. Pokud je to možné, ukládejte nejdůležitější informace uložené mimo síť nebo na externí zařízení. Tyto zálohy pravidelně testujte, abyste se ujistili, že fungují správně v případě skutečné krize.
Zajistěte, aby byly vaše systémy aktualizovány a nainstalovány pomocí nejnovějších bezpečnostních oprav. Ransomware obvykle využívá zranitelná místa ve vašem systému, takže se ujistěte, že je zabezpečení vašeho zařízení vzduchotěsné.
Dávejte si pozor na běžné vektory phishingu, což je nejběžnější způsob distribuce ransomwaru. Neklikejte na náhodné odkazy a před stažením do počítače vždy prohledejte e-mailové přílohy.
Nechte si ve svém zařízení nainstalovat robustní bezpečnostní software a udržujte databázi aktualizovanou o nejnovější hrozby.

YouTube video: Jak se vypořádat s Ragnar Locker Ransomware

05, 2024

Jak se vypořádat s Ragnar Locker Ransomware (05.19.24)

YouTube video: Jak se vypořádat s Ragnar Locker Ransomware

Články

Razer Synapse Kopírování a vložení makra (vysvětleno)

3 způsoby, jak vás opravit Nesplňují požadavky na vybrané Dungeons WoW

Proč Theramore není zničen ve WoW: 3 opravy

Lepší svár se neinstaluje: 3 způsoby, jak to opravit

Golf Clash: Shootout hole a jak vyhrát

Poslední články

4 způsoby, jak opravit příliš nízkou hlasitost Razer Kraken

Outbyte, Auslogics CCleaner Nejlepší 3 PC optimalizátory v roce 2021

Jak vypnout šíření ohně v Minecraftu

Merge Dragons Challenge 15 - kompletní průvodce

Jak zabránit tomu, aby vás někdo zmínil na Facebooku