Как бороться с программой-вымогателем Ragnar Locker (05.19.24)

Программы-вымогатели - очень опасное вредоносное ПО, потому что злоумышленники требуют от жертвы заплатить за то, чтобы ее важные данные были освобождены от заложников. Программа-вымогатель незаметно заражает устройство жертвы, шифрует важные данные (в том числе файлы резервных копий), а затем оставляет инструкции о том, сколько выкупа следует заплатить и как его следует уплатить. После всех этих хлопот у жертвы нет гарантии, что злоумышленник действительно выпустит ключ дешифрования, чтобы разблокировать файлы. И если они когда-нибудь это сделают, некоторые файлы могут быть повреждены, что в конечном итоге сделает их бесполезными.

За прошедшие годы популярность программ-вымогателей выросла, поскольку это наиболее прямой способ для хакеров заработать деньги. Им просто нужно удалить вредоносное ПО, а затем дождаться, пока пользователь отправит деньги через биткойн. Согласно данным Emsisoft, количество атак программ-вымогателей в 2019 году увеличилось на 41% по сравнению с предыдущим годом, затронув около 1000 организаций США. Cybersecurity Ventures даже предсказывала, что программы-вымогатели будут атаковать предприятия каждые 11 секунд.

Ранее в этом году новый вид вредоносного ПО Ragnar Locker атаковал португальскую энергетическую компанию Energias de Portugal (EDP) со штаб-квартирой в Лиссабоне . Злоумышленники потребовали выкуп в размере 1580 биткойнов, что эквивалентно примерно 11 миллионам долларов.

Что такое Ragnar Locker Ransomware?

Ragnar Locker - это программа-вымогатель, созданная не только для шифрования данных, но и для уничтожения установленных приложений, таких как ConnectWise и Kaseya, которые обычно используются поставщиками управляемых услуг и некоторыми службами Windows. Ragnar Locker переименовывает зашифрованные файлы, добавляя уникальное расширение, состоящее из слова ragnar, за которым следует строка случайных чисел и символов. Например, файл с именем A.jpg будет переименован в A.jpg.ragnar_0DE48AAB.

После шифрования файлов он затем создает сообщение с требованием выкупа с использованием текстового файла с тем же форматом имени, что и с примером выше. Сообщение с требованием выкупа может называться RGNR_0DE48AAB.txt.

Эта программа-вымогатель работает только на компьютерах с ОС Windows, но пока неизвестно, разработали ли авторы этой вредоносной программы также версию Ragnar Locker для Mac. Обычно он нацелен на процессы и приложения, обычно используемые поставщиками управляемых услуг, чтобы их атаки не были обнаружены и остановлены. Ragnar Locker нацелен только на англоговорящих пользователей.

Программа-вымогатель Ragnar Locker была впервые обнаружена примерно в конце декабря 2019 года, когда она использовалась в рамках атак на взломанные сети. По мнению экспертов по безопасности, атака Ragnar Locker на европейского энергетического гиганта была хорошо продуманной и тщательно спланированной атакой.

Вот пример сообщения с требованием выкупа Ragnar Locker:

Привет *!

*******************

Если вы читаете это сообщение, значит ваша сеть ПРОЕЗДЕНА и все ваши файлы и данные были ЗАШИФРОВАНЫ

RAGNAR_LOCKER!

*******************

********* Что происходит с вашей системой? * ***********

В вашу сеть проникли, все ваши файлы и резервные копии были заблокированы! Так что с этого момента НИКТО НЕ МОЖЕТ ПОМОЧЬ ВАМ вернуть ваши файлы, КРОМЕ США.

Вы можете погуглить, нет ШАНСОВ для расшифровки данных без нашего СЕКРЕТНОГО КЛЮЧА.

Но не волнуйтесь! Ваши файлы НЕ ПОВРЕЖДЕНЫ и НЕ УТЕРЯНЫ, они просто МОДИФИЦИРОВАНЫ. Вы можете получить ее ВЕРНУТЬСЯ, как только ВЫ ПЛАТИТЕ.

Мы ищем только ДЕНЬГИ, поэтому у нас нет никакого интереса стирания или удаления вашей информации, это просто БИЗНЕС $ -)

ОДНАКО вы можете повредить свои ДАННЫЕ самостоятельно, если попытаетесь РАСШИФРОВАТЬ с помощью любого другого программного обеспечения, без НАШЕГО СПЕЦИАЛЬНОГО КЛЮЧА ШИФРОВАНИЯ !!!

Также была собрана вся ваша конфиденциальная и личная информация, и если вы решите НЕ платить,

мы загрузим ее для всеобщего просмотра!

****

*********** Как вернуть свои файлы? ******

Чтобы расшифровать все ваши файлы и данные, которые вы должны заплатить за шифрование. КЛЮЧ:

Кошелек BTC для оплаты: *

Сумма к оплате (в биткойнах): 25

****

*********** Сколько времени у вас есть на оплату? **********

* Вы должны связаться с нами в течение 2 дней после того, как заметили шифрование, чтобы получить лучшую цену.

* Цена будет увеличена на 100% (двойная цена) через 14 дней, если не будет установлен контакт.

* Ключ будет полностью удален через 21 день, если не будет установлен контакт или сделка.

Некоторая важная информация, украденная с файловых серверов, будет загружена публично или на перепродавец.

****

*********** Что делать, если файлы не могут быть восстановлены? ******

Чтобы доказать, что мы действительно можем расшифровать ваши данные, мы расшифруем один из ваших заблокированных файлов!

Просто отправьте его нам, и вы получите его БЕСПЛАТНО.

Цена дешифратора зависит от размера сети, количества сотрудников, годового дохода.

Пожалуйста, не стесняйтесь обращаться к нам, чтобы узнать сумму BTC, которая должна быть оплачена.

****

! ЕСЛИ вы не знаете, как получить биткойны, мы посоветуем вам, как обменять деньги.

!!!!!!!!!!!!!

! ПРОСТОЕ РУКОВОДСТВО ПО КОНТАКТУ С НАМИ!

!!!!!!!!!!!!!

1) Перейдите на официальный сайт мессенджера TOX (hxxps: //tox.chat/download.html)

2) Загрузите и установите qTOX на свой ПК, выберите платформу (Windows, OS X, Linux и т. Д.)

3) Откройте мессенджер, нажмите «Новый профиль» и создайте профиль.

4) Нажмите кнопку «Добавить друзей» и найдите наших контактов *

5) Для идентификации отправьте в нашу службу поддержки данные из —RAGNAR SECRET—

ВАЖНО ! ЕСЛИ по каким-то причинам вы НЕ МОЖЕТЕ СВЯЗАТЬСЯ с нами в qTOX, вот наш резервный почтовый ящик (*), отправьте сообщение с данными из —RAGNAR SECRET—

ВНИМАНИЕ!

-Не пытайтесь расшифровать файлы с помощью стороннего программного обеспечения (оно будет навсегда повреждено)

-Не переустанавливайте вашу ОС, это может привести к полной потере данных и файлов не может быть расшифрован. НИКОГДА!

-Ваш СЕКРЕТНЫЙ КЛЮЧ для расшифровки находится на нашем сервере, но он не будет храниться вечно. НЕ ТРАТЬТЕ ВРЕМЯ !

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

********************

Что делает шкафчик Ragnar Locker?

Ragnar Locker обычно доставляется с помощью таких инструментов MSP, как ConnectWise, с помощью которых киберпреступники сбрасывают исполняемый файл программы-вымогателя с целевым назначением. Этот метод распространения использовался предыдущими вредоносными программами-вымогателями, такими как Sodinokibi. Когда происходит этот тип атаки, авторы программы-вымогателя проникают в организации или объекты через незащищенные или плохо защищенные соединения RDP. Затем он использует инструменты для отправки сценариев Powershell на все доступные конечные точки. Затем сценарии загружают полезную нагрузку через Pastebin, предназначенную для запуска программы-вымогателя и шифрования конечных точек. В некоторых случаях полезная нагрузка приходит в виде исполняемого файла, который запускается как часть файловой атаки. Также бывают случаи, когда дополнительные скрипты загружаются как часть полностью безфайловой атаки.

Ragnar Locker специально нацелен на программное обеспечение, обычно используемое поставщиками управляемых услуг, включая следующие строки:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Программа-вымогатель сначала крадет файлы цели и загружает их на свои серверы. Уникальность Ragnar Locker заключается в том, что они не просто шифруют файлы, но также угрожают жертве, что данные будут опубликованы, если выкуп не будет уплачен, как, например, в случае с EDP. Используя EDP, злоумышленники пригрозили выпустить предполагаемые 10 ТБ украденных данных, что могло стать одной из крупнейших утечек данных в истории. Злоумышленники заявили, что все партнеры, клиенты и конкуренты будут проинформированы о взломе, а их утечка данных будет отправлена ​​в новости и медиа-изображения для публичного использования. Хотя представитель EDP ​​объявил, что атака не повлияла на энергоснабжение и инфраструктуру коммунального предприятия, они обеспокоены надвигающейся утечкой данных.

Отключение служб и завершение процессов - распространенная тактика, используемая вредоносными программами для отключения программ безопасности, систем резервного копирования, баз данных и почтовых серверов. После завершения работы этих программ их данные могут быть зашифрованы.

При первом запуске Ragnar Locker просканирует настроенные языковые настройки Windows. Если выбран английский язык, вредоносная программа перейдет к следующему шагу. Но если Ragnar Locker обнаружит, что язык установлен как одна из стран бывшего СССР, вредоносное ПО завершит процесс, а не зашифрует компьютер.

Ragnar Locker скомпрометирует инструменты безопасности MSP, прежде чем они смогут заблокировать программа-вымогатель от выполнения. Попав внутрь, вредоносная программа инициирует процесс шифрования. Он использует встроенный ключ RSA-2048 для шифрования важных файлов.

Ragnar Locker не шифрует все файлы. Он пропустит некоторые папки, имена файлов и расширения, например:

  • kernel32.dll
  • Windows
  • Windows.old
  • браузер Tor
  • Internet Explorer
  • Google
  • Opera
  • Программное обеспечение Opera
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Все пользователи
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Помимо добавления новое расширение файла для зашифрованных файлов, Ragnar Locker также добавляет маркер файла «RAGNAR» в конец каждого зашифрованного файла.

Затем Ragnar Locker отправляет сообщение с требованием выкупа под названием '.RGNR_ [extension] .txt', содержащее подробную информацию о сумме выкупа, адресе платежа в биткойнах, идентификаторе чата TOX, который будет использоваться для связи с злоумышленниками, и резервном адресе электронной почты. если есть проблемы с ТОКСом. В отличие от других программ-вымогателей, Ragnar Locker не требует фиксированной суммы выкупа. Он варьируется в зависимости от цели и рассчитывается индивидуально. По некоторым данным, сумма выкупа может варьироваться от 200 000 до 600 000 долларов. В случае EDP запрашиваемый выкуп составлял 1580 биткойнов или 11 миллионов долларов.

Как удалить Ragnar Locker

Если ваш компьютер не был заражен Ragnar Locker, первое, что вам нужно сделать, это проверить если все ваши файлы были зашифрованы. Вам также необходимо проверить, были ли зашифрованы ваши файлы резервных копий. Подобные атаки подчеркивают важность создания резервной копии важных данных, потому что, по крайней мере, вам не придется беспокоиться о потере доступа к своим файлам.

Не пытайтесь платить выкуп, потому что это будет бесполезно. Нет никакой гарантии, что злоумышленник отправит вам правильный ключ дешифрования и что ваши файлы никогда не станут достоянием общественности. На самом деле, весьма вероятно, что злоумышленники продолжат вымогать у вас деньги, потому что знают, что вы готовы заплатить.

Что вы можете сделать, так это сначала удалить программу-вымогатель со своего компьютера, прежде чем пытаться расшифровать Это. Вы можете использовать антивирус или приложение для защиты от вредоносных программ, чтобы просканировать свой компьютер на наличие вредоносных программ и, следуя инструкциям, удалить все обнаруженные угрозы. Затем удалите все подозрительные приложения или расширения, которые могут быть связаны с вредоносным ПО.

Наконец, поищите инструмент дешифрования, соответствующий Ragnar Locker. Существует несколько дешифраторов, которые были разработаны для файлов, зашифрованных с помощью программ-вымогателей, но вы должны сначала проверить производителя программного обеспечения безопасности, если он доступен. Например, у Avast и Kaspersky есть собственный инструмент дешифрования, которым могут пользоваться пользователи. Вот список других инструментов дешифрования, которые вы можете попробовать.

Как защитить себя от Ragnar Locker

Программы-вымогатели могут быть довольно проблематичными, особенно если нет существующего инструмента дешифрования, способного отменить шифрование, выполненное вредоносным ПО . Чтобы защитить ваше устройство от программ-вымогателей, в частности от Ragnar Locker, вот несколько советов, о которых вам нужно помнить:

  • Используйте надежную политику паролей, используя двухфакторную или многофакторную аутентификацию. (MFA), если возможно. Если это невозможно, генерируйте случайные уникальные пароли, которые будет сложно угадать.
  • Не забудьте заблокировать компьютер, когда встаете со стола. Собираетесь ли вы на обед, сделаете небольшой перерыв или просто собираетесь в туалет, заблокируйте компьютер, чтобы предотвратить несанкционированный доступ.
  • Создайте план резервного копирования и восстановления данных, особенно для важной информации о вашем компьютер. Храните наиболее важную информацию, хранящуюся вне сети или на внешнем устройстве, если это возможно. Регулярно тестируйте эти резервные копии, чтобы убедиться, что они правильно работают в случае реального кризиса.
  • Обновите свои системы и установите последние исправления безопасности. Программы-вымогатели обычно используют уязвимости в вашей системе, поэтому убедитесь, что безопасность вашего устройства надежна.
  • Остерегайтесь распространенных векторов фишинга, который является наиболее распространенным методом распространения программ-вымогателей. Не нажимайте случайные ссылки и всегда сканируйте вложения электронной почты перед их загрузкой на свой компьютер.
  • Установите на свое устройство надежное программное обеспечение безопасности и постоянно обновляйте базу данных с учетом последних угроз.

YouTube видео: Как бороться с программой-вымогателем Ragnar Locker

05, 2024