Co je Snatch Ransomware a jak jej odstranit
Různé / / December 02, 2021
Zdá se, že vývojáři zločinu nikdy nespí, protože obrana stoupá. Neustále hledají různé způsoby, jak zdokonalit své útočné zbraně. Jednou z nejnovějších technik je kmen ransomwaru, který může zařízení Windows donutit restartujte do nouzového režimu těsně před začátkem šifrování s úmyslem obejít ochranu koncových bodů.
Tento konkrétní kmen je známý jako Snatch díky svým autorům, kteří se označují jako Snatch Team. to bylo objevili výzkumníci Sophos Labs, kteří svůj objev nastínili spolu s poznatky o tom, jak se takové gangy pronikají do podniků a dalších subjektů na jejich hitparádě.
Vysvětlíme, co je Snatch ransomware, jak funguje a jak jej můžete odstranit ze svých zařízení.
Také na Guiding Tech
Co je Snatch Ransomware
Snatch je čerstvá varianta ransomwaru, jejíž spustitelný program nutí zařízení Windows restartovat se do nouzového režimu i předtím, než začne proces šifrování ve snaze obejít ochranu koncového bodu, která se v tomto často nespouští režimu.
Objeven výzkumníky SophosLabs a týmem Sophos Managed Threat Response snatch ransomware patří mezi více komponent konstelace malwaru používá se v pokračující sérii pečlivě organizovaných útoků s rozsáhlým sběrem dat.
The nový kmen ransomwaru používá jedinečnou metodu infekce, která používá sofistikované šifrování AES, takže uživatelé, jejichž počítače jsou infikovány, nemají přístup k jejich souborům.
Snatch ransomware byl poprvé výrazně aktivní v dubnu 2019, ale byl vydán koncem roku 2018. Nicméně, nárůst zašifrovaných souborů a výkupné vedl k jeho objevu a sledování týmem výzkumníků ze Sophos.
Jeho krypto-virus forma útočí na vysoce profilované cíle, ale tento nový kmen, vytvořený pomocí Google Go obsahuje sadu nástrojů včetně funkce zloděje dat a ransomwaru. Navíc má a Kobaltový úder reverse-shell a další nástroje používané penetračními testery a systémovými administrátory.
Poznámka: Varianta, kterou Sophos objevil, je možné spustit na Windows pouze ve 32bitových a 64bitových edicích od verze 7 do 10.
Jak Snatch Ransomware funguje
Jako virus zamykání souborů nemá Snatch ransomware žádné spojení s jinými kmeny. Přesto jeho vývojáři vydali devět variant hrozby, které přidávají různá rozšíření poté, co jsou data zašifrována šifrou AES.
Trik spočívá v restartování počítačů do nouzového režimu a poté ransomware omezí přístup k vašim datům šifrováním vašich souborů. Poté se z vás hackeři snaží vymámit peníze tím, že požadují výkupné ve formě bitcoinů výměnou za odemknutí vašich souborů a vrácení přístupu k datům.
Existuje důvod, proč jejich trik funguje. Některý antivirový software se nespustí v nouzovém režimu a vývojáři zjistili, že mohou snadno upravit klíč registru systému Windows a jednoduše spustit počítač do nouzového režimu. Ransomware tedy běží nedetekován vaším bezpečnostním softwarem.
Při první instalaci do vašeho zařízení přichází přes SuperBackupMan, službu Windows, a nastavuje se těsně předtím, než se váš počítač začne restartovat, takže jej nemůžete zastavit včas.
Po instalaci útočníci použijí přístup správce ke spuštění BCDEDIT, nástroje příkazového řádku Windows, aby přinutili váš počítač k okamžitému restartování v nouzovém režimu.
Poté vytvoří náhodně pojmenovaný spustitelný soubor ve vaší složce %AppData% nebo %LocalAppData%, který se spustí a začne skenovat písmena jednotek vašeho počítače pro soubory k šifrování.
Také na Guiding Tech
Soubory cílené Snatch Ransomware
Existují specifické přípony souborů, které šifruje, včetně .doc, .docx, .pdf, .xls a mnoha dalších, které infikuje a mění jejich přípony na Snatch, takže je nelze znovu otevřít.
Ransomware zanechá textový soubor Readme_Restore_Files.txt s poznámkou, která vyžaduje cokoliv mezi jedním a pěti bitcoiny výměnou za dešifrovací klíč s informacemi o tom, jak komunikovat s hackery, aby získali vaše datové soubory zadní.
Poté, co ransomware kompletně prohledá váš počítač, použije vssadmin.exe, příkaz Windows k odstranění všech stínových kopií svazku, takže je nelze obnovit a použít k obnově zašifrovaných datových souborů. Posledním krokem je zašifrovat jakékoli datové soubory na vašem pevném disku.
V současné době nelze infikované soubory dešifrovat kvůli sofistikované povaze použitého šifrování AES. Stále však máte záchranné lano, pokud je váš počítač infikován obnovením souborů z nejnovější zálohy.
Snatch ransomware se zaměřuje na běžné uživatele prostřednictvím spamových e-mailů. Ale dnes jsou hlavním cílem korporace. Zaplacením takovým zločincům nejenže přijdete o peníze a nemáte žádnou záruku, že vám pošlou dešifrovací klíč, ale také je to povzbudí, aby pokračovali ve své kybernetické kriminalitě.
Pokud nemáte aktualizovanou zálohu, nemůžete dělat nic jiného, než počkat, až bezpečnostní experti přijdou s dešifrovačem ransomwaru Snatch. To může trvat dlouho, ale existují i jiné způsoby, jak se před takovými útoky chránit.
Jak odstranit Snatch Ransomware z vašeho počítače
Jedním z nejlepších způsobů, jak odstranit Snatch ransomware a další malware, je nainstalovat dobrý antivirový bezpečnostní software, jako je Malwarebytes nebo SpyHunter, který dokáže skenovat, detekovat a eliminovat hrozbu. Ne všechny antivirové nástroje jej dokážou zachytit, protože se jedná o zcela nový malware, takže je dobré skenovat pomocí několika programů.
Můžete chránit sebe a svá zařízení před útoky ransomwaru pomocí jednoduchých kroků, jako je např stahování softwaru z důvěryhodných zdrojů a vyvarujte se otevírání příloh e-mailů z nedůvěryhodných prameny.
Mezi další způsoby, jak můžete chránit sebe a svou organizaci před Snatchem a dalšími typy ransomwaru, patří:
- Udržujte aktualizovaný operační systém a průběžně zálohujte svá data.
- Provádějte pravidelný audit hesel.
- Nasaďte vícevrstvý komplexní bezpečnostní software k ochraně všech vstupních bodů před útokem ransomwaru.
- Zabezpečení nástrojů pro vzdálený přístup a dalších zranitelných programů, protože útočníci Snatch najímají další zločince se zkušenostmi s používáním webových shellů nebo schopnými proniknout do SQL serverů pomocí injekčních útoků.
- Chraňte své rozhraní vzdálené plochy tím, že je umístíte za VPN ve vaší síti, aby k nim lidé neměli přístup bez přihlašovacích údajů VPN.
- Provádějte pravidelné a důkladné kontroly všech zařízení ve vaší domácnosti nebo organizaci, abyste se ujistili, že jsou chráněna a monitorována, protože Snatch využívá takové přístupové body a opěrné body, aby získal přístup.
- Nastavte a používejte vícefaktorové ověřování pro všechny administrátory ve vaší organizaci, aby útočníci nemohli vynutit vaše přihlašovací údaje.
- Proveďte úplný lov hrozeb ve vaší síti, abyste identifikovali jakoukoli takovou aktivitu před infekcí.
Také na Guiding Tech
Chraňte svůj systém
Snatch ransomware může znít téměř život ohrožující způsob, jak paralyzovat vaše soubory a zařízení. Než budete přemýšlet o zaplacení výkupného, vyzkoušejte výše uvedené kroky k odstranění hrozby a vždy proveďte preventivní opatření, abyste zajistili, že se tyto a podobné hrozby ve vašem počítači nebo síti neobjeví.
Další: Pokud máte podezření, že je váš telefon napaden ransomwarem, přečtěte si náš další článek, kde zjistíte, jak to zjistit a odstranit.