Как бороться с программой-вымогателем Ragnar Locker?
Программа-вымогатель — очень неприятное вредоносное ПО, потому что злоумышленники требуют от жертвы заплатить за освобождение важных данных из заложников. Программа-вымогатель незаметно заражает устройство жертвы, шифрует важные данные (включая файлы резервных копий), а затем оставляет инструкции о том, сколько и как следует заплатить выкуп. После всех этих неприятностей у жертвы нет гарантии, что злоумышленник действительно выпустит ключ дешифрования, чтобы разблокировать файлы. И если они когда-либо это сделают, некоторые файлы могут быть повреждены, что в конечном итоге сделает их бесполезными.
С годами популярность программ-вымогателей росла, поскольку для хакеров это самый прямой способ заработать деньги. Им просто нужно сбросить вредоносное ПО, а затем дождаться, пока пользователь отправит деньги через биткойн. По данным Emsisoft, количество атак программ-вымогателей в 2019 году увеличилось на 41% по сравнению с предыдущим годом, затронув около 1000 организаций США. Cybersecurity Ventures даже предсказала, что программы-вымогатели будут атаковать предприятия каждые 11 секунд.
Ранее в этом году Ragnar Locker, новый вид вредоносного ПО, атаковал Энергии Португалии (EDP), португальская электроэнергетическая компания со штаб-квартирой в Лиссабоне. Злоумышленники потребовали 1580 биткойнов в качестве выкупа, что эквивалентно примерно 11 миллионам долларов.
Что такое программа-вымогатель Ragnar Locker?
Ragnar Locker — это вредоносное ПО типа вымогателей, созданное не только для шифрования данных, но и для уничтожения установленных приложений, таких как ConnectWise и Kaseya, которые обычно используются поставщиками управляемых услуг и несколькими службами Windows. Ragnar Locker переименовывает зашифрованные файлы, добавляя уникальное расширение, состоящее из слова Рагнар за которым следует строка случайных чисел и символов. Например, файл с именем А.jpg будет переименован в A.jpg.ragnar_0DE48AAB.
После шифрования файлов он создает сообщение о выкупе с использованием текстового файла с тем же форматом имени, что и в приведенном выше примере. Сообщение о выкупе может называться RGNR_0DE48AAB.txt.
Эта программа-вымогатель работает только на компьютерах с Windows, но пока нет уверенности в том, что авторы этой вредоносной программы также разработали версию Ragnar Locker для Mac. Обычно он нацелен на процессы и приложения, обычно используемые поставщиками управляемых услуг, чтобы их атаки не были обнаружены и остановлены. Ragnar Locker предназначен только для англоязычных пользователей.
Программа-вымогатель Ragnar Locker была впервые обнаружена примерно в конце декабря 2019 года, когда она использовалась в рамках атак на скомпрометированные сети. По мнению экспертов по безопасности, атака Рагнара Локера на европейского энергетического гиганта была хорошо продуманной и тщательно спланированной атакой.
Вот пример сообщения о выкупе Ragnar Locker:
Привет * !
********************
Если вы читаете это сообщение, значит, ваша сеть ВЗЛОМАНА, и все ваши файлы и данные ЗАШИФРОВАНЫ.
от RAGNAR_LOCKER !
********************
*********Что происходит с вашей системой?************
В вашу сеть проникли, все ваши файлы и резервные копии были заблокированы! Так что с этого момента НИКТО НЕ МОЖЕТ ПОМОЧЬ ВАМ вернуть ваши файлы, КРОМЕ НАС.
Можете погуглить, ШАНСОВ расшифровать данные без НАШЕГО СЕКРЕТНОГО КЛЮЧА НЕТ.
Но не волнуйтесь! Ваши файлы НЕ ПОВРЕЖДЕНЫ и НЕ ПОТЕРЯНЫ, они просто ИЗМЕНЕНЫ. Вы можете получить его ОБРАТНО, как только вы ПЛАТИТЕ.
Мы ищем только ДЕНЬГИ, поэтому нам неинтересно удалять или удалять вашу информацию, это просто БИЗНЕС $-)
ОДНАКО вы можете повредить свои ДАННЫЕ самостоятельно, если попытаетесь РАСШИФРОВАТЬ любым другим программным обеспечением, без НАШЕГО СПЕЦИАЛЬНОГО КЛЮЧА ШИФРОВАНИЯ !!!
Кроме того, вся ваша конфиденциальная и личная информация была собрана, и если вы решите НЕ платить,
мы загрузим его для всеобщего обозрения!
****
************Как вернуть свои файлы?******
Чтобы расшифровать все ваши файлы и данные, вы должны заплатить за КЛЮЧ шифрования:
Кошелек BTC для оплаты: *
Сумма к оплате (в биткойнах): 25
****
***********Сколько времени вы должны платить?************
* Вы должны связаться с нами в течение 2 дней после того, как заметили шифрование, чтобы получить лучшую цену.
* Цена будет увеличена на 100% (двойная цена) через 14 дней, если нет контакта.
* Ключ будет полностью стерт через 21 день, если нет контакта или сделки.
Некоторая конфиденциальная информация, украденная с файловых серверов, будет загружена в открытый доступ или перепродана.
****
************Что делать, если файлы не могут быть восстановлены?******
Чтобы доказать, что мы действительно можем расшифровать ваши данные, мы расшифруем один из ваших заблокированных файлов!
Просто отправьте его нам, и вы получите его обратно БЕСПЛАТНО.
Цена на дешифратор зависит от размера сети, количества сотрудников и годового дохода.
Пожалуйста, не стесняйтесь обращаться к нам за суммой BTC, которая должна быть оплачена.
****
! ЕСЛИ вы не знаете, как получить биткойны, мы дадим вам совет, как обменять деньги.
!!!!!!!!!!!!!!!!
! ВОТ ПРОСТОЕ РУКОВОДСТВО КАК С НАМИ СВЯЗАТЬСЯ !
!!!!!!!!!!!!!!!!
1) Заходим на официальный сайт мессенджера TOX ( hxxps://tox.chat/download.html )
2) Загрузите и установите qTOX на свой ПК, выберите платформу (Windows, OS X, Linux и т. д.)
3) Откройте мессенджер, нажмите «Новый профиль» и создайте профиль.
4) Нажмите кнопку «Добавить в друзья» и найдите наш контакт *
5) Для идентификации отправьте в нашу службу поддержки данные от —RAGNAR SECRET—
ВАЖНЫЙ ! ЕСЛИ по каким-то причинам вы НЕ МОЖЕТЕ СВЯЗАТЬСЯ с нами в qTOX, вот наш резервный почтовый ящик ( * ) отправьте сообщение с данными от —RAGNAR SECRET—
ПРЕДУПРЕЖДЕНИЕ!
-Не пытайтесь расшифровывать файлы любым сторонним программным обеспечением (это будет повреждено безвозвратно)
-Не переустанавливайте ОС, это может привести к полной потере данных и невозможности расшифровки файлов. НИКОГДА!
-Ваш СЕКРЕТНЫЙ КЛЮЧ для расшифровки находится на нашем сервере, но он не будет храниться вечно. НЕ ТРАТЬ ВРЕМЯ !
********************
—РАГНАР СЕКРЕТ—
*
—РАГНАР СЕКРЕТ—
********************
Что делает шкафчик Рагнара?
Ragnar Locker обычно доставляется с помощью инструментов MSP, таких как ConnectWise, в которых киберпреступники сбрасывают исполняемый файл программы-вымогателя, предназначенный для вымогателей. Этот метод распространения использовался предыдущими очень вредоносными программами-вымогателями, такими как Sodinokibi. Когда происходит этот тип атаки, авторы программы-вымогателя проникают в организации или объекты через незащищенные или плохо защищенные соединения RDP. Затем он использует инструменты для отправки сценариев Powershell на все доступные конечные точки. Затем сценарии загружают полезную нагрузку через Pastebin, предназначенную для запуска программы-вымогателя и шифрования конечных точек. В некоторых случаях полезная нагрузка поставляется в виде исполняемого файла, который запускается как часть атаки на основе файлов. Также бывают случаи, когда в рамках полностью безфайловой атаки загружаются дополнительные скрипты.
Ragnar Locker специально нацелен на программное обеспечение, обычно используемое поставщиками управляемых услуг, включая следующие строки:
- против
- SQL
- мем
- мепоки
- софос
- веам
- резервное копирование
- пульс
- Логме
- логмейн
- соединяться
- брызговик
- кассовый аппарат
Программа-вымогатель сначала крадет файлы цели и загружает их на свои серверы. Что уникально в Ragnar Locker, так это то, что они не просто шифруют файлы, но и угрожают жертве, что данные будут обнародованы, если выкуп не будет уплачен, как в случае с EDP. С помощью EDP злоумышленники угрожали раскрыть предполагаемые 10 ТБ украденных данных, что может стать одной из крупнейших утечек данных в истории. Злоумышленники заявили, что все партнеры, клиенты и конкуренты будут проинформированы о взломе, а их просочившиеся данные будут отправлены в новостные и медиа-источники для всеобщего ознакомления. Хотя представитель EDP заявил, что атака не повлияла на систему энергоснабжения и инфраструктуру предприятия, их беспокоит надвигающаяся утечка данных.
Отключение служб и завершение процессов — распространенная тактика, используемая вредоносными программами для отключения программ безопасности, систем резервного копирования, баз данных и почтовых серверов. После завершения этих программ их данные могут быть зашифрованы.
При первом запуске Ragnar Locker просканирует настроенные языковые настройки Windows. Если предпочтительным языком является английский, вредоносное ПО продолжит следующий шаг. Но если Ragnar Locker обнаружит, что язык установлен как один из стран бывшего СССР, вредоносная программа завершит процесс и не будет шифровать компьютер.
Ragnar Locker компрометирует инструменты безопасности MSP, прежде чем они смогут заблокировать выполнение программы-вымогателя. Оказавшись внутри, вредоносная программа инициирует процесс шифрования. Он использует встроенный ключ RSA-2048 для шифрования важных файлов.
Ragnar Locker не шифрует все файлы. Он пропустит некоторые папки, имена файлов и расширения, например:
- ядро32.dll
- Окна
- Windows.старый
- Тор-браузер
- Интернет-проводник
- Опера
- Опера Программное обеспечение
- Мозилла
- Мозилла Фаерфокс
- $Recycle.Bin
- Данные программы
- Все пользователи
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- загрузчик
- bootmgr.efi
- bootmgfw.efi
- рабочий стол.ini
- iconcache.db
- нтлдр
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .ссылка на сайт
- .msi
- .дрв
- .исполняемый файл
Помимо добавления нового расширения к зашифрованным файлам, Ragnar Locker также добавляет файловый маркер «RAGNAR» в конец каждого зашифрованного файла.
Затем Рагнар Локер сбрасывает сообщение с требованием выкупа под названием «.RGNR_».[extension].txt», содержащий сведения о сумме выкупа, платежном адресе в биткойнах, идентификаторе чата TOX, который будет использоваться для связи с злоумышленниками, и резервный адрес электронной почты на случай возникновения проблем с TOX. В отличие от других программ-вымогателей, у Ragnar Locker нет фиксированной суммы выкупа. Она варьируется в зависимости от цели и рассчитывается индивидуально. В некоторых отчетах сумма выкупа может варьироваться от 200 000 до 600 000 долларов. В случае с EDP запрашиваемый выкуп составил 1580 биткойнов или 11 миллионов долларов.
Как удалить шкафчик Рагнара
Если вашему компьютеру не повезло быть зараженным Ragnar Locker, первое, что вам нужно сделать, это проверить, все ли ваши файлы были зашифрованы. Вам также необходимо проверить, были ли ваши файлы резервных копий зашифрованы. Подобные атаки подчеркивают важность резервного копирования важных данных, потому что, по крайней мере, вам не придется беспокоиться о потере доступа к вашим файлам.
Не пытайтесь заплатить выкуп, потому что это будет бесполезно. Нет никакой гарантии, что злоумышленник отправит вам правильный ключ дешифрования и что ваши файлы никогда не станут достоянием общественности. На самом деле весьма вероятно, что злоумышленники продолжат вымогать у вас деньги, потому что знают, что вы готовы платить.
Что вы можете сделать, так это сначала удалить программу-вымогатель со своего компьютера, прежде чем пытаться ее расшифровать. Вы можете использовать свой антивирус или приложение для защиты от вредоносных программ, чтобы сканировать компьютер на наличие вредоносных программ и следовать инструкциям, чтобы удалить все обнаруженные угрозы. Затем удалите все подозрительные приложения или расширения, которые могут быть связаны с вредоносным ПО.
Наконец, найдите инструмент для расшифровки, соответствующий Ragnar Locker. Существует несколько дешифраторов, которые были разработаны для файлов, зашифрованных программами-вымогателями, но вам следует сначала проверить производителя программного обеспечения для обеспечения безопасности, если оно доступно. Например, у Avast и Kaspersky есть собственный инструмент для расшифровки, который могут использовать пользователи. Вот список других инструменты расшифровки можешь попробовать.
Как защитить себя от шкафчика Рагнара
Программа-вымогатель может доставить немало хлопот, особенно если нет существующего инструмента дешифрования, способного отменить шифрование, выполненное вредоносным ПО. Чтобы защитить свое устройство от программ-вымогателей, в частности от Ragnar Locker, вам следует помнить несколько советов:
- Используйте надежную политику паролей, по возможности используя двухфакторную или многофакторную аутентификацию (MFA). Если это невозможно, сгенерируйте случайные уникальные пароли, которые будет сложно угадать.
- Обязательно запирайте компьютер, когда покидаете рабочее место. Собираетесь ли вы пообедать, сделать небольшой перерыв или просто пойти в туалет, заблокируйте свой компьютер, чтобы предотвратить несанкционированный доступ.
- Создайте план резервного копирования и восстановления данных, особенно важной информации на вашем компьютере. Храните наиболее важную информацию вне сети или на внешнем устройстве, если это возможно. Регулярно проверяйте эти резервные копии, чтобы убедиться, что они работают правильно в случае реального кризиса.
- Обновите свои системы и установите последние исправления безопасности. Программы-вымогатели обычно используют уязвимости в вашей системе, поэтому убедитесь, что безопасность вашего устройства безупречна.
- Будьте осторожны с распространенными векторами фишинга, который является наиболее распространенным методом распространения программ-вымогателей. Не переходите по случайным ссылкам и всегда сканируйте вложения электронной почты, прежде чем загружать их на свой компьютер.
- Установите на свое устройство надежное защитное программное обеспечение и обновляйте базу данных с учетом последних угроз.
