Computer >> Máy Tính >  >> Xử lý sự cố >> bảo trì máy tính

Làm thế nào để đối phó với Ransomware Ragnar Locker?

Ransomware là một phần mềm độc hại rất khó chịu vì những kẻ tấn công yêu cầu nạn nhân trả tiền để dữ liệu quan trọng của họ được giải phóng khỏi bị làm con tin. Phần mềm tống tiền lén lút lây nhiễm vào thiết bị của nạn nhân, mã hóa dữ liệu quan trọng (bao gồm cả các tệp sao lưu), sau đó để lại hướng dẫn về số tiền chuộc nên được trả và cách thức thanh toán. Sau tất cả những phức tạp này, nạn nhân không có gì đảm bảo rằng kẻ tấn công sẽ thực sự phát hành khóa giải mã để mở khóa các tệp. Và nếu chúng làm vậy, một số tệp có thể bị hỏng, cuối cùng khiến chúng trở nên vô dụng.

Trong những năm qua, việc sử dụng ransomware đã trở nên phổ biến vì nó là cách trực tiếp nhất để tin tặc kiếm tiền. Họ chỉ cần thả phần mềm độc hại, sau đó đợi người dùng gửi tiền thông qua Bitcoin. Theo dữ liệu từ Emsisoft, số lượng các cuộc tấn công ransomware trong năm 2019 đã tăng 41% so với năm trước, ảnh hưởng đến khoảng 1.000 tổ chức Hoa Kỳ. Cybersecurity Ventures thậm chí còn dự đoán rằng ransomware sẽ tấn công các doanh nghiệp cứ sau 11 giây.

Đầu năm nay, Ragnar Locker, một loại phần mềm độc hại mới, đã tấn công Energias de Portugal (EDP), một công ty tiện ích điện của Bồ Đào Nha, có trụ sở chính tại Lisbon. Những kẻ tấn công yêu cầu 1.580 bitcoin làm tiền chuộc, tương đương khoảng 11 triệu đô la.

Ragnar Locker Ransomware là gì?

Ragnar Locker là loại phần mềm độc hại ransomware được tạo ra không chỉ để mã hóa dữ liệu mà còn để giết các ứng dụng đã cài đặt, chẳng hạn như ConnectWise và Kaseya, thường được sử dụng bởi các nhà cung cấp dịch vụ được quản lý và một số dịch vụ Windows. Ragnar Locker đổi tên các tệp được mã hóa bằng cách thêm một phần mở rộng duy nhất bao gồm từ ragnar theo sau là một chuỗi các số và ký tự ngẫu nhiên. Ví dụ:một tệp có tên A.jpg sẽ được đổi tên thành A.jpg.ragnar_0DE48AAB.

Sau khi mã hóa các tệp, nó sẽ tạo ra một thông báo đòi tiền chuộc bằng một tệp văn bản, có định dạng tên giống như ví dụ trên. Thông báo đòi tiền chuộc có thể được đặt tên là RGNR_0DE48AAB.txt.

Phần mềm ransomware này chỉ chạy trên máy tính Windows, nhưng vẫn chưa chắc liệu các tác giả của phần mềm độc hại này cũng đã thiết kế một phiên bản Mac của Ragnar Locker hay không. Nó thường nhắm mục tiêu vào các quy trình và ứng dụng thường được sử dụng bởi các nhà cung cấp dịch vụ được quản lý để giữ cho cuộc tấn công của họ không bị phát hiện và dừng lại. Ragnar Locker chỉ nhắm đến người dùng nói tiếng Anh.

Ragnar Locker ransomware lần đầu tiên được phát hiện vào khoảng cuối tháng 12 năm 2019, khi nó được sử dụng như một phần của các cuộc tấn công chống lại các mạng bị xâm nhập. Theo các chuyên gia bảo mật, cuộc tấn công của Ragnar Locker nhằm vào gã khổng lồ năng lượng châu Âu là một cuộc tấn công được lên kế hoạch kỹ lưỡng và được tính toán kỹ lưỡng.

Đây là một ví dụ về thông báo đòi tiền chuộc của Ragnar Locker:

Xin chào *!

********************

Nếu bạn đang đọc thông báo này, thì mạng của bạn đã được XÓA và tất cả các tệp và dữ liệu của bạn đã được KÍCH THÍCH

bởi RAGNAR_LOCKER!

********************

********* Điều gì xảy ra với hệ thống của bạn? ************

Mạng của bạn đã bị xâm nhập, tất cả các tệp và bản sao lưu của bạn đã bị khóa! Vì vậy, từ nay KHÔNG AI CÓ THỂ GIÚP BẠN lấy lại các tập tin của bạn, NGOẠI TRỪ CHÚNG TÔI.

Bạn có thể google nó, không có CƠ CHẾ nào để giải mã dữ liệu mà không có BÍ QUYẾT CHÌA KHÓA của chúng tôi.

Nhưng đừng lo lắng! Các tệp của bạn KHÔNG BỊ HẠI hoặc MẤT, chúng chỉ được SỬA ĐỔI. Bạn có thể nhận được nó TRỞ LẠI ngay sau khi bạn THANH TOÁN.

Chúng tôi chỉ tìm kiếm TIỀN, vì vậy chúng tôi không có lợi ích gì để đánh giá cao hoặc xóa thông tin của bạn, đó chỉ là DOANH NGHIỆP $ -)

TUY NHIÊN, bạn có thể tự mình làm hỏng DỮ LIỆU của mình nếu bạn cố gắng XÁC NHẬN bằng bất kỳ phần mềm nào khác mà không có KHÓA KÍCH THƯỚC CỤ THỂ CỦA CHÚNG TÔI !!!

Ngoài ra, tất cả thông tin nhạy cảm và riêng tư của bạn đã được thu thập và nếu bạn quyết định KHÔNG thanh toán,

chúng tôi sẽ tải nó lên để công chúng xem!

****

*********** Cách lấy lại tệp của bạn? ******

Để giải mã tất cả các tệp và dữ liệu của bạn, bạn phải trả tiền cho mã hóa KEY:

Ví BTC để thanh toán:*

Số tiền phải trả (bằng Bitcoin):25

****

*********** Bạn phải trả bao nhiêu thời gian? **********

* Bạn nên liên hệ với chúng tôi trong vòng 2 ngày sau khi nhận thấy mã hóa để nhận được giá tốt hơn.

* Giá sẽ tăng 100% (giá gấp đôi) sau 14 ngày nếu bạn không liên hệ.

* Khóa sẽ bị xóa hoàn toàn sau 21 ngày nếu không có liên hệ nào được thực hiện hoặc không có thỏa thuận nào được thực hiện.

Một số thông tin hữu ích bị đánh cắp từ máy chủ tệp sẽ được tải lên công khai hoặc cho người bán lại.

****

*********** Điều gì sẽ xảy ra nếu không thể khôi phục tệp? ******

Để chứng minh rằng chúng tôi thực sự có thể giải mã dữ liệu của bạn, chúng tôi sẽ giải mã một trong các tệp bị khóa của bạn!

Chỉ cần gửi cho chúng tôi và bạn sẽ nhận lại MIỄN PHÍ.

Giá cho bộ giải mã dựa trên quy mô mạng, số lượng nhân viên, doanh thu hàng năm.

Vui lòng liên hệ với chúng tôi để biết số BTC sẽ được thanh toán.

****

! NẾU bạn không biết cách nhận bitcoin, chúng tôi sẽ cho bạn lời khuyên về cách đổi tiền.

!!!!!!!!!!!!!

! ĐÂY LÀ HƯỚNG DẪN ĐƠN GIẢN ĐỂ KẾT NỐI VỚI CHÚNG TÔI!

!!!!!!!!!!!!!

1) Truy cập trang web chính thức của TOX messenger (hxxps://tox.chat/download.html)

2) Tải xuống và cài đặt qTOX trên PC của bạn, chọn nền tảng (Windows, OS X, Linux, v.v.)

3) Mở messenger, nhấp vào “Hồ sơ mới” và tạo hồ sơ.

4) Nhấp vào nút "Thêm bạn bè" và tìm kiếm địa chỉ liên hệ của chúng tôi *

5) Để nhận dạng, hãy gửi dữ liệu hỗ trợ của chúng tôi từ —RAGNAR SECRET—

QUAN TRỌNG! NẾU vì một số lý do mà bạn KHÔNG THỂ LIÊN HỆ với chúng tôi trong qTOX, đây là hộp thư dự trữ của chúng tôi (*), hãy gửi tin nhắn với dữ liệu từ —RAGNAR SECRET—

CẢNH BÁO!

-Không cố giải mã tệp bằng bất kỳ phần mềm nào của bên thứ ba (phần mềm này sẽ bị hỏng vĩnh viễn)

-Không cài đặt lại hệ điều hành của bạn, điều này có thể dẫn đến mất dữ liệu hoàn toàn và không thể giải mã tệp. KHÔNG BAO GIỜ!

-CHÌA KHÓA BÍ MẬT của bạn để giải mã nằm trên máy chủ của chúng tôi, nhưng nó sẽ không được lưu trữ mãi mãi. ĐỪNG LÃNG PHÍ THỜI GIAN!

********************

—BÍ MẬT CỦA RAGNAR—

*

—BÍ MẬT CỦA RAGNAR—

********************

Tủ khóa Ragnar làm gì?

Ragnar Locker thường được cung cấp thông qua các công cụ MSP như ConnectWise, trong đó tội phạm mạng thả tệp thực thi ransomware được nhắm mục tiêu cao. Kỹ thuật lan truyền này đã được sử dụng bởi ransomware rất độc hại trước đây, chẳng hạn như Sodinokibi. Khi kiểu tấn công này xảy ra, tác giả của ransomware xâm nhập vào các tổ chức hoặc cơ sở thông qua các kết nối RDP không an toàn hoặc được bảo mật kém. Sau đó, nó sử dụng các công cụ để gửi các tập lệnh Powershell tới tất cả các điểm cuối có thể truy cập được. Sau đó, các tập lệnh tải xuống một tải trọng thông qua Pastebin được thiết kế để thực thi ransomware và mã hóa các điểm cuối. Trong một số trường hợp, tải trọng ở dạng tệp thực thi được khởi chạy như một phần của cuộc tấn công dựa trên tệp. Cũng có trường hợp khi các tập lệnh bổ sung được tải xuống như một phần của cuộc tấn công hoàn toàn không có tệp.

Ragnar Locker nhắm mục tiêu cụ thể phần mềm thường được chạy bởi các nhà cung cấp dịch vụ được quản lý, bao gồm các chuỗi sau:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • sao lưu
  • mạch đập
  • logme
  • đăng nhập
  • kết nối
  • giật gân
  • kaseya

Trước tiên, ransomware đánh cắp các tệp của mục tiêu và tải nó lên máy chủ của chúng. Điểm độc đáo của Ragnar Locker là chúng không chỉ mã hóa các tệp mà còn đe dọa nạn nhân rằng dữ liệu sẽ bị phát tán công khai nếu chưa trả tiền chuộc, chẳng hạn như trường hợp với EDP. Với EDP, những kẻ tấn công đe dọa sẽ phát hành 10TB dữ liệu bị đánh cắp, có thể là một trong những vụ rò rỉ dữ liệu lớn nhất trong lịch sử. Những kẻ tấn công tuyên bố rằng tất cả các đối tác, khách hàng và đối thủ cạnh tranh sẽ được thông báo về vi phạm và dữ liệu bị rò rỉ của họ sẽ được gửi đến các nguồn tin tức và phương tiện truyền thông để công khai. Mặc dù người phát ngôn của EDP đã thông báo rằng cuộc tấn công không ảnh hưởng đến cơ sở hạ tầng và dịch vụ điện của tiện ích, nhưng việc vi phạm dữ liệu sắp xảy ra là điều mà họ lo lắng.

Vô hiệu hóa dịch vụ và kết thúc quá trình là các chiến thuật phổ biến được phần mềm độc hại sử dụng để vô hiệu hóa các chương trình bảo mật, hệ thống sao lưu, cơ sở dữ liệu và máy chủ thư. Sau khi các chương trình này bị chấm dứt, dữ liệu của chúng sau đó có thể được mã hóa.

Khi lần đầu tiên được khởi chạy, Ragnar Locker sẽ quét các tùy chọn ngôn ngữ Windows đã cấu hình. Nếu tùy chọn ngôn ngữ là tiếng Anh, phần mềm độc hại sẽ tiếp tục với bước tiếp theo. Nhưng nếu Ragnar Locker phát hiện ra rằng ngôn ngữ được đặt là một trong những quốc gia thuộc Liên Xô cũ, phần mềm độc hại sẽ chấm dứt quá trình và không mã hóa máy tính.

Ragnar Locker xâm phạm các công cụ bảo mật của MSP trước khi chúng có thể chặn thực thi ransomware. Khi vào bên trong, phần mềm độc hại sẽ bắt đầu quá trình mã hóa. Nó sử dụng khóa RSA-2048 được nhúng để mã hóa các tệp quan trọng.

Ragnar Locker không mã hóa tất cả các tệp. Nó sẽ bỏ qua một số thư mục, tên tệp và phần mở rộng, chẳng hạn như:

  • kernel32.dll
  • Windows
  • Windows.old
  • Trình duyệt Tor
  • Internet Explorer
  • Google
  • Opera
  • Phần mềm Opera
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • Dữ liệu Chương trình
  • Tất cả người dùng
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Ngoài việc thêm phần mở rộng tệp mới vào các tệp được mã hóa, Ragnar Locker còn thêm điểm đánh dấu tệp ‘RAGNAR’ vào cuối mỗi tệp được mã hóa.

Sau đó, Ragnar Locker gửi một thông báo đòi tiền chuộc có tên '.RGNR_ [extension] .txt' chứa thông tin chi tiết về số tiền chuộc, địa chỉ thanh toán bitcoin, ID trò chuyện TOX được sử dụng để liên lạc với những kẻ tấn công và địa chỉ email dự phòng nếu có vấn đề với TOX. Không giống như các ransomware khác, Ragnar Locker không có số tiền chuộc cố định. Nó thay đổi tùy theo mục tiêu và nó được tính toán riêng lẻ. Trong một số báo cáo, số tiền chuộc có thể dao động từ 200.000 đến 600.000 USD. Trong trường hợp EDP, số tiền chuộc được yêu cầu là 1.580 bitcoin hoặc 11 triệu đô la.

Cách loại bỏ Ragnar Locker

Nếu máy tính của bạn không may bị nhiễm Ragnar Locker, điều đầu tiên bạn cần làm là kiểm tra xem tất cả các tệp của bạn đã được mã hóa hay chưa. Bạn cũng cần kiểm tra xem các tệp sao lưu của mình đã được mã hóa hay chưa. Những cuộc tấn công như thế này nêu bật tầm quan trọng của việc sao lưu dữ liệu quan trọng của bạn vì ít nhất, bạn sẽ không phải lo lắng về việc mất quyền truy cập vào tệp của mình.

Đừng cố gắng trả tiền chuộc vì nó sẽ vô ích. Không có gì đảm bảo rằng kẻ tấn công sẽ gửi cho bạn khóa giải mã chính xác và các tệp của bạn sẽ không bao giờ bị rò rỉ ra công chúng. Trên thực tế, rất có thể những kẻ tấn công sẽ tiếp tục tống tiền bạn vì chúng biết rằng bạn sẵn sàng trả tiền.

Những gì bạn có thể làm là xóa phần mềm tống tiền khỏi máy tính trước khi cố gắng giải mã nó. Bạn có thể sử dụng ứng dụng chống vi-rút hoặc chống phần mềm độc hại để quét máy tính của mình để tìm phần mềm độc hại và làm theo hướng dẫn để xóa tất cả các mối đe dọa đã phát hiện. Tiếp theo, gỡ cài đặt bất kỳ ứng dụng hoặc tiện ích mở rộng đáng ngờ nào có thể liên quan đến phần mềm độc hại.

Cuối cùng, hãy tìm một công cụ giải mã phù hợp với Ragnar Locker. Có một số trình giải mã đã được thiết kế cho các tệp được mã hóa bởi ransomware, nhưng bạn nên kiểm tra nhà sản xuất phần mềm bảo mật của mình trước nếu họ có sẵn. Ví dụ, Avast và Kaspersky có công cụ giải mã riêng mà người dùng có thể sử dụng. Đây là danh sách các công cụ giải mã khác mà bạn có thể thử.

Cách bảo vệ bản thân khỏi Ragnar Locker

Ransomware có thể khá rắc rối, đặc biệt nếu hiện không có công cụ giải mã nào có khả năng hoàn tác mã hóa do phần mềm độc hại thực hiện. Để bảo vệ thiết bị của bạn khỏi phần mềm tống tiền, đặc biệt là Ragnar Locker, dưới đây là một số mẹo bạn cần ghi nhớ:

  • Sử dụng chính sách mật khẩu mạnh, sử dụng xác thực hai yếu tố hoặc đa yếu tố (MFA) nếu có thể. Nếu không thể, hãy tạo mật khẩu ngẫu nhiên, duy nhất, khó đoán.
  • Đảm bảo khóa máy tính của bạn khi rời khỏi bàn làm việc. Cho dù bạn đang đi ăn trưa, nghỉ ngơi ngắn ngày hay chỉ vào nhà vệ sinh, hãy khóa máy tính của bạn để tránh bị truy cập trái phép.
  • Tạo kế hoạch sao lưu và khôi phục dữ liệu, đặc biệt là đối với thông tin quan trọng trên máy tính của bạn. Lưu trữ thông tin quan trọng nhất được lưu trữ bên ngoài mạng hoặc trên thiết bị bên ngoài nếu có thể. Kiểm tra các bản sao lưu này thường xuyên để đảm bảo rằng chúng hoạt động bình thường trong trường hợp xảy ra khủng hoảng thực sự.
  • Làm cho hệ thống của bạn được cập nhật và cài đặt các bản vá bảo mật mới nhất. Ransomware thường khai thác các lỗ hổng trong hệ thống của bạn, vì vậy hãy đảm bảo rằng tính bảo mật của thiết bị của bạn được chặt chẽ.
  • Hãy cảnh giác với các vectơ phổ biến để lừa đảo, đây là phương thức phân phối phổ biến nhất của ransomware. Không nhấp vào các liên kết ngẫu nhiên và luôn quét các tệp đính kèm trong email trước khi tải chúng xuống máy tính của bạn.
  • Cài đặt phần mềm bảo mật mạnh mẽ trên thiết bị của bạn và luôn cập nhật cơ sở dữ liệu với các mối đe dọa mới nhất.