Sådan håndteres Ragnar Locker Ransomware (05.19.24)

Anti-malware

Ransomware er en meget grim malware, fordi angriberne kræver, at offeret betaler for, at hans eller hendes vigtige data frigives fra gidsler. Ransomware inficerer skjult offerets enhed, krypterer de vigtige data (inklusive sikkerhedskopifiler) og efterlader derefter instruktioner om, hvor meget løsesum skal betales, og hvordan det skal betales. Efter alle disse besvær har offeret ingen garanti for, at angriberen rent faktisk frigiver dekrypteringsnøglen for at låse op for filerne. Og hvis de nogensinde gør det, kan nogle af filerne blive ødelagt, hvilket gør dem ubrugelige i sidste ende.

I årenes løb er brugen af ransomware vokset i popularitet, fordi det er den mest direkte måde for hackere at tjene penge på. De skal bare droppe malware og derefter vente på, at brugeren sender penge gennem Bitcoin. Ifølge data fra Emsisoft steg antallet af ransomware-angreb i 2019 med 41% i forhold til det foregående år, hvilket påvirker omkring 1.000 amerikanske organisationer. Cybersecurity Ventures forudsagde endda, at ransomware vil angribe virksomheder hvert 11. sekund.

Tidligere på året angreb Ragnar Locker, en ny stamme af malware, Energias de Portugal (EDP), et portugisisk elforsyningsselskab med hovedkvarter i Lissabon . Angriberne krævede 1.580 bitcoins som løsesum, hvilket svarer til omkring 11 millioner dollars.

Hvad er Ragnar Locker Ransomware?

Ragnar Locker er en ransomware-type malware, der er oprettet ikke kun for at kryptere data, men også for at dræbe installerede applikationer, såsom ConnectWise og Kaseya, der normalt bruges af administrerede tjenesteudbydere og flere Windows-tjenester. Ragnar Locker omdøber de krypterede filer ved at tilføje en unik udvidelse sammensat af ordet ragnar efterfulgt af en streng af tilfældige tal og tegn. For eksempel vil en fil med navnet A.jpg blive omdøbt til A.jpg.ragnar_0DE48AAB.

Efter kryptering af filerne opretter den en løsesummeddelelse ved hjælp af en tekstfil med samme navneformat som med eksemplet ovenfor. Løsepenge-beskeden kunne have navnet RGNR_0DE48AAB.txt.

Denne ransomware kører kun på Windows-computere, men det er endnu ikke sikkert, om forfatterne til denne malware også har designet en Mac-version af Ragnar Locker. Det er normalt målrettet mod processer og applikationer, der ofte bruges af administrerede tjenesteudbydere for at forhindre, at deres angreb opdages og stoppes. Ragnar Locker er kun rettet mod engelsktalende brugere.

Ragnar Locker ransomware blev først opdaget i slutningen af december 2019, da den blev brugt som en del af angreb mod kompromitterede netværk. Ifølge sikkerhedseksperter var Ragnar Locker-angrebet på den europæiske energigigant et gennemtænkt og grundigt planlagt angreb.

Her er et eksempel på Ragnar Locker-løsesummeddelelsen:

Hej *!

********************

Hvis du læser denne meddelelse, blev dit netværk PENETRERET og alle dine filer og data er Krypteret

af RAGNAR_LOCKER!

*******************

********* Hvad sker der med dit system? * ***********

Dit netværk blev gennemtrængt, alle dine filer og sikkerhedskopier var låst! Så fra nu er der INGEN KAN HJÆLPE DIG til at få dine filer tilbage, UNDTAGEN OS.

Du kan google det, der er ingen chancer for at dekryptere data uden vores HEMMELIGE Nøgle.

Men rolig! Dine filer er IKKE SKADET eller mistet, de er bare ÆNDRET. Du kan få det TILBAGE, så snart du BETALER.

Vi leder kun efter PENGE, så der er ingen interesse for os at udjævne eller slette dine oplysninger, det er bare en FORRETNING $ -)

Du kan dog selv beskadige dine DATA, hvis du prøver at KRAVE med anden software uden VORES SPECIFIKKE Krypteringsnøgle !!!

Også alle dine følsomme og private oplysninger blev samlet, og hvis du beslutter IKKE at betale,

vil vi uploade dem til offentlig visning!

****

*********** Hvordan får du dine filer tilbage? ******

Til dekryptere alle dine filer og data, du skal betale for krypteringsnøglen:

BTC-tegnebog til betaling: *

Beløb, der skal betales (i Bitcoin): 25

****

*********** Hvor meget tid skal du betale? **********

* Du skal komme i kontakt med os inden for 2 dage efter du har bemærket krypteringen for at få en bedre pris.

* Prisen hæves med 100% (dobbeltpris) efter 14 dage, hvis der ikke er nogen kontakt.

* Nøglen slettes fuldstændigt på 21 dage, hvis der ikke er foretaget nogen kontakt eller ingen aftale.

Nogle sensetive oplysninger stjålet fra filserverne vil blive uploadet offentligt eller til videresælger.

****

*********** Hvad hvis filer ikke kan gendannes? ******

For at bevise, at vi virkelig kan dekryptere dine data, dekrypterer vi en af dine låste filer!

Send det bare til os, så får du det GRATIS tilbage.

Prisen for dekrypteren er baseret på netværksstørrelse, antal medarbejdere, årlig omsætning.

Du er velkommen til at kontakte os for et beløb på BTC, der skal betales.

****

! HVIS du ikke ved, hvordan du får bitcoins, giver vi dig råd om, hvordan du ombytter pengene.

!!!!!!!!!!!!!

! HER ER DEN SIMPLE MANUAL, HVORDAN DU FÅR KONTAKT MED OS!

!!!!!!!!!!!!!

1) Gå til den officielle hjemmeside for TOX messenger (hxxps: //tox.chat/download.html)

2) Download og installer qTOX på din pc, vælg platformen (Windows, OS X, Linux osv.)

3) Åbn messenger, klik på "Ny profil" og opret profil.

4) Klik på knappen "Tilføj venner" og søg i vores kontakt *

5) For identifikation, send til vores supportdata fra —RAGNAR SECRET—

VIGTIGT ! HVIS du af nogle grunde IKKE KAN KONTAKTE os i qTOX, her er vores reservepostkasse (*) send en besked med data fra —RAGNAR SECRET—

ADVARSEL!

-Forsøg ikke at dekryptere filer med tredjepartssoftware (det bliver beskadiget permanent)

-Installér ikke dit operativsystem igen, dette kan føre til fuldstændigt datatab og filer kan ikke dekrypteres. ALDRIG!

-Din HEMMELIGE Nøgle til dekryptering findes på vores server, men den gemmes ikke for evigt. SPILD IKKE TID !

********************

—RAGNAR SECRET—

********************

Hvad gør Ragnar Locker?

Ragnar Locker leveres normalt via MSP-værktøjer som ConnectWise, hvor cyberkriminelle slipper en meget målrettet eksekverbar fil til ransomware. Denne formeringsteknik er blevet brugt af tidligere meget ondsindet ransomware, såsom Sodinokibi. Når denne type angreb sker, infiltrerer forfatterne af ransomware organisationer eller faciliteter via usikrede eller dårligt sikrede RDP-forbindelser. Derefter bruger det værktøjer til at sende Powershell-scripts til alle tilgængelige slutpunkter. Scriptene downloader derefter en nyttelast via Pastebin designet til at udføre ransomware og kryptere slutpunkterne. I nogle tilfælde kommer nyttelasten i form af en eksekverbar fil, der startes som en del af et filbaseret angreb. Der er også tilfælde, hvor yderligere scripts downloades som en del af et helt filfrit angreb.

Ragnar Locker målretter specifikt software, der almindeligvis drives af administrerede tjenesteudbydere, herunder følgende strenge:

vss
sql
memtas
mepocs
sophos
veeam
backup
pulseway
logme
logmein
forbindelsesvist
splashtop
kaseya

Ransomware stjæler først et måls filer og uploader det til deres servere. Det unikke ved Ragnar Locker er, at de ikke blot krypterer filerne, men også truer offeret med, at dataene frigives offentligt, hvis løsepenge ikke er betalt, som tilfældet med EDP. Med EDP truede angriberne med at frigive den formodede 10 TB stjålne data, hvilket kunne være et af de største datalækager i historien. Angriberne hævdede, at alle partnere, klienter og konkurrenter vil blive informeret om overtrædelsen, og deres lækkede data vil blive sendt til nyheds- og medieindlæg til offentligt forbrug. Selvom EDPs talsmand har meddelt, at angrebet ikke har haft nogen indflydelse på forsyningsselskabets strømtjeneste og infrastruktur, er det truende databrud noget, de er bekymrede for.

Deaktivering af tjenester og afslutning af processer er almindelig taktik, der bruges af malware til at deaktivere sikkerhedsprogrammer, sikkerhedskopieringssystemer, databaser og mailservere. Når disse programmer er afsluttet, kan deres data derefter krypteres.

Når den først blev lanceret, scanner Ragnar Locker de konfigurerede Windows-sprogindstillinger. Hvis sprogpræferencen er engelsk, fortsætter malware med det næste trin. Men hvis Ragnar Locker opdagede, at sproget er indstillet til et af de tidligere USSR-lande, vil malware afslutte processen og ikke med kryptering af computeren.

Ragnar Locker kompromitterer MSP's sikkerhedsværktøjer, før de kan blokere. ransomware fra at blive udført. En gang indeni starter malware krypteringsprocessen. Den bruger en indbygget RSA-2048-nøgle til at kryptere de vigtige filer.

Ragnar Locker krypterer ikke alle filerne. Det springer nogle mapper, filnavne og udvidelser over, såsom:

kernel32.dll
Windows
Windows.old
Tor browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Alle brugere
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Bortset fra at tilføje en ny filtypenavn til de krypterede filer, Ragnar Locker tilføjer også en 'RAGNAR' filmarkør i slutningen af hver krypterede fil.

Ragnar Locker slipper derefter en løsesummeddelelse med navnet '.RGNR_ [udvidelse] .txt', der indeholder oplysninger om løsesumbeløbet, bitcoin-betalingsadressen, et TOX-chat-id, der skal bruges til at kommunikere med angriberne, og en backup-e-mail-adresse hvis der er problemer med TOX. I modsætning til andre ransomware har Ragnar Locker ikke en fast mængde løsesum. Det varierer afhængigt af målet, og det beregnes individuelt. I nogle rapporter kan løsesummen variere mellem $ 200.000 til $ 600.000. I tilfælde af EDP var løsepenge, der blev spurgt, 1.580 bitcoin eller $ 11 millioner.

Sådan fjernes Ragnar Locker

Hvis din computer var uheldig med at blive inficeret med Ragnar Locker, er det første, du skal gøre, at kontrollere hvis alle dine filer er krypteret. Du skal også kontrollere, om dine sikkerhedskopifiler også er krypteret. Angreb som dette fremhæver vigtigheden af at have en sikkerhedskopi af dine vigtige data, fordi du i det mindste ikke behøver at bekymre dig om at miste adgang til dine filer.

Forsøg ikke at betale løsesummen, fordi den er ubrugelig. Der er ingen garanti for, at angriberen sender dig den korrekte dekrypteringsnøgle, og at dine filer aldrig lækkes til offentligheden. Faktisk er det meget muligt, at angriberne fortsætter med at presse penge fra dig, fordi de ved, at du er villig til at betale.

Hvad du kan gøre er at slette ransomware først fra din computer, før du prøver at dekryptere. det. Du kan bruge din antivirus- eller anti-malware-app til at scanne din computer for malware og følge instruktionerne for at slette alle registrerede trusler. Afinstaller derefter mistænkelige apps eller udvidelser, der kan være relateret til malware.

Endelig skal du kigge efter et dekrypteringsværktøj, der matcher Ragnar Locker. Der er flere decryptorer, der er designet til filer, der er krypteret af ransomware, men du skal først kontrollere din producent af sikkerhedssoftware, hvis de har en tilgængelig. For eksempel har Avast og Kaspersky deres eget dekrypteringsværktøj, som brugerne kan bruge. Her er en liste over andre dekrypteringsværktøjer, du kan prøve.

Sådan beskytter du dig mod Ragnar Locker

Ransomware kan være ret besværligt, især hvis der ikke er noget eksisterende dekrypteringsværktøj, der er i stand til at fortryde krypteringen udført af malware . For at beskytte din enhed mod ransomware, især Ragnar Locker, er her nogle af de tip, du skal huske på:

Brug en stærk adgangskodepolitik ved hjælp af en dobbeltfaktor- eller flerfaktorautentificering (MFA), hvis det er muligt. Hvis det ikke er muligt, skal du generere tilfældige, unikke adgangskoder, som det vil være vanskeligt at gætte.
Sørg for at låse din computer, når du forlader dit skrivebord. Uanset om du går ud til frokost, tager en kort pause eller bare går på toilettet, skal du låse din computer for at forhindre uautoriseret adgang.
Opret en plan for sikkerhedskopiering og gendannelse af data, især for vigtige oplysninger om din computer. Gem de mest vigtige oplysninger, der er gemt uden for netværket eller på en ekstern enhed, hvis det er muligt. Test disse sikkerhedskopier regelmæssigt for at sikre, at de fungerer korrekt i tilfælde af en reel krise.
Sørg for, at dine systemer opdateres og installeres med de nyeste sikkerhedsrettelser. Ransomware udnytter normalt sårbarheder i dit system, så sørg for, at enhedens sikkerhed er lufttæt.
Vær forsigtig med de almindelige vektorer til phishing, som er den mest almindelige distributionsmetode for ransomware. Klik ikke på tilfældige links, og scan altid vedhæftede filer, før du downloader dem til din computer.
Få en robust sikkerhedssoftware installeret på din enhed, og hold databasen opdateret med de nyeste trusler.

YouTube Video.: Sådan håndteres Ragnar Locker Ransomware

05, 2024

Sådan håndteres Ragnar Locker Ransomware (05.19.24)

YouTube Video.: Sådan håndteres Ragnar Locker Ransomware

Artikler

4 Life Hacks For Golf Clash

Hvor er Fortnite Exe-filen placeret

Er det sikkert at bruge Aimbot i Overwatch

Sådan aktiveres bekæmpelse af tekst i WoW

5 grunde til, at hest forsvandt i Minecraft

Seneste artikler.

Hvad er VSync i Minecraft

Sådan slettes en trøje, du lavede på Roblox

Merge Dragons Challenge 4: Komplet guide

Sådan fuldføres vedligeholdelse på din Windows 10

Sådan afinstalleres Overwatch (4 grunde til, at Overwatch ikke afinstalleres nemt)