Hvad er Snatch Ransomware, og hvordan man fjerner det

Det ser ud til, at kriminalitetsudviklere aldrig sover, når forsvaret stiger. De er altid på udkig efter forskellige måder at finpudse deres angrebsvåben på. En af de seneste teknikker er en ransomware-stamme, der kan tvinge en Windows-enhed til genstart i fejlsikret tilstand lige før kryptering begynder, med det formål at komme uden om endpoint-beskyttelse.

Denne særlige stamme er kendt som Snatch på grund af dens forfattere, som omtaler sig selv som Snatch Team. Det var opdaget af Sophos Labs forskere, der skitserede deres opdagelse sammen med indsigt i, hvordan sådanne bander bryder ind i virksomheder og andre enheder på deres hitliste.

Vi skal forklare, hvad Snatch ransomware er, hvordan det virker, og hvordan du kan fjerne det fra dine enheder.

Også på Guiding Tech

Hvad er Snatch Ransomware

Snatch er en frisk ransomware-variant, hvis eksekverbare tvinger Windows-enheder til at genstarte til fejlsikret tilstand, selv før krypteringsprocessen begynder i et forsøg på at omgå slutpunktsbeskyttelse, der ofte ikke kører i dette mode.

Opdaget af SophosLabs forskere og Sophos Managed Threat Response-team snatch ransomware er blandt flere malware-konstellationskomponenter bliver brugt i en løbende serie af omhyggeligt orkestrerede angreb med omfattende dataindsamling.

Det ny stamme af ransomware bruger en unik infektionsmetode, der anvender sofistikeret AES-kryptering, så brugere, hvis maskiner er inficerede, ikke kan få adgang til deres filer.

Snatch ransomware var først mærkbart aktiv i april 2019, men den blev udgivet i slutningen af ​​2018. Imidlertid stigning i krypterede filer og løsepenge førte til dets opdagelse og opfølgning af forskerholdet på Sophos.

Dens krypto-virus form angriber højprofilerede mål, men denne nye stamme, skabt vha Google Go program, omfatter en samling af værktøjer, herunder en datatyveri og ransomware-funktion. Derudover har den en Cobalt Strike reverse-shell og andre værktøjer, der bruges af penetrationstestere og systemadministratorer.

Bemærk: Varianten, som Sophos opdagede, er kun i stand til at køre på Windows i 32-bit og 64-bit udgaver fra version 7 til 10.

Sådan virker Snatch Ransomware

Som en fillåsende virus har Snatch ransomware ingen forbindelser med andre stammer. Alligevel udgav dets udviklere ni varianter af truslen, som tilføjer forskellige udvidelser, efter at data er krypteret med AES-chiffer.

Tricket er at genstarte maskiner i fejlsikret tilstand, og så begrænser ransomware adgangen til dine data ved at kryptere dine filer. Derefter forsøger hackerne at afpresse dig penge ved at anmode om løsesummer i form af Bitcoin til gengæld for at låse dine filer op og give dataadgang tilbage.

Der er en grund til, at deres trick virker. Nogle antivirussoftware starter ikke i fejlsikret tilstand, og udviklerne opdagede, at de nemt kunne ændre en Windows-registreringsnøgle og bare starte din maskine i fejlsikret tilstand. Således kører ransomware uopdaget af din sikkerhedssoftware.

Første gang den installeres på din enhed, kommer den gennem SuperBackupMan, en Windows-tjeneste, og konfigureres lige før din computer starter genstart, så du ikke kan stoppe den i tide.

Når den er installeret, bruger angriberne administratoradgang til at køre BCDEDIT, et Windows-kommandolinjeværktøj, for at tvinge din computer til at genstarte i fejlsikret tilstand med det samme.

Det opretter derefter en tilfældig navngivet eksekverbar i din %AppData% eller %LocalAppData% mappe, som vil blive lanceret og begynder at scanne din computers drevbogstaver for filer, der skal krypteres.

Også på Guiding Tech

Filer målrettet af Snatch Ransomware

Der er specifikke filtypenavne, den krypterer, herunder .doc, .docx, .pdf, .xls og mange andre, som den inficerer og ændrer deres udvidelser til Snatch, så du ikke kan åbne dem igen.

Ransomwaren efterlader en Readme_Restore_Files.txt tekstfilnotat, der kræver alt mellem en og fem Bitcoin i bytte for en dekrypteringsnøgle, med information om hvordan man kommunikerer med hackerne for at få sine datafiler tilbage.

Når ransomwaren har scannet din computer fuldstændigt, bruger den vssadmin.exe, en Windows-kommando til at slette alle Shadow Volume Copies på den, så du ikke kan gendanne og bruge dem til at gendanne krypterede datafiler. Det sidste skridt er at krypter alle datafiler på din harddisk.

I øjeblikket kan inficerede filer ikke dekrypteres på grund af den sofistikerede karakter af den anvendte AES-kryptering. Du har dog stadig en livline, hvis din computer er inficeret ved at gendanne dine filer fra den seneste sikkerhedskopi.

Snatch ransomware har været rettet mod almindelige brugere via spam-e-mails. Men i dag er hovedmålene virksomheder. Ved at betale sådanne kriminelle mister du ikke kun penge og har ingen garanti for, at de sender dekrypteringsnøglen til dig, men det opmuntrer dem også til at fortsætte med deres cyberkriminalitet.

Hvis du ikke har en opdateret sikkerhedskopi, er der ikke meget andet du kan gøre end at vente, indtil sikkerhedseksperter kommer med en Snatch ransomware-dekryptering. Det kan tage lang tid, men der er andre måder, du kan beskytte dig selv mod sådanne angreb.

Sådan fjerner du Snatch Ransomware fra din computer

En af de bedste måder at fjerne Snatch ransomware og anden malware er at installere god antivirus sikkerhedssoftware såsom Malwarebytes eller SpyHunter, der kan scanne, opdage og eliminere truslen. Ikke alle antivirusmotorer kan fange det, fordi det er en helt ny malware, så det er godt at scanne ved hjælp af flere programmer.

Du kan beskytte dig selv og dine enheder mod ransomware-angreb ved at tage enkle trin som f.eks download af software fra pålidelige kilder, og undgå at åbne vedhæftede filer fra e-mails fra ikke-pålidelige kilder.

Andre måder, du kan beskytte dig selv og din organisation mod Snatch og andre typer af ransomware omfatter:

• Vedligehold et opdateret operativsystem og fortsæt med at sikkerhedskopiere dine data.
• Udfør regelmæssig adgangskoderevision.
• Implementer omfattende, flerlags sikkerhedssoftware for at beskytte alle indgangspunkter mod et ransomware-angreb.
• Sikring af fjernadgangsværktøjer og andre sårbare programmer, fordi Snatch-angribere ansætter andre kriminelle med erfaring med at bruge web-skaller eller i stand til at hacke sig ind i SQL-servere via injektionsangreb.
• Beskyt din Remote Desktop-grænseflade ved at placere dem bag en VPN på dit netværk, så folk ikke får adgang til dem uden VPN-legitimationsoplysninger.
• Kør regelmæssigt og grundigt tjek på alle enheder i dit hjem eller organisation for at sikre, at de er beskyttet og overvåget, da Snatch udnytter sådanne adgangspunkter og fodfæste for at få adgang.
• Konfigurer og brug multifaktorgodkendelse for alle administratorer i din organisation, så angribere ikke kan brute force dine legitimationsoplysninger.
• Udfør en fuld trusselsjagt på dit netværk for at identificere enhver sådan aktivitet før infektion.

Også på Guiding Tech

Beskyt dit system

Snatch ransomware kan lyde næsten livstruende i, hvordan det fungerer for at lamme dine filer og enheder. Før du tænker på at betale den løsesum, skal du prøve trinene ovenfor for at fjerne truslen og altid tage forebyggende foranstaltninger for at sikre, at denne og sådanne trusler ikke dukker op på din computer eller netværk.

Næste: Hvis du har mistanke om, at din telefon er inficeret med ransomware, så tjek vores næste artikel for at finde ud af, hvordan du opdager det og fjerner det.