Mis on Snatch Ransomware ja kuidas seda eemaldada

Näib, et kriminaalvara arendajad ei maga kunagi, kui kaitsemehhanismid tõusevad. Nad otsivad alati erinevaid viise oma ründerelvade lihvimiseks. Üks uusimaid tehnikaid on lunavara tüvi, mis võib Windowsi seadme sundida taaskäivitage turvarežiimis vahetult enne krüptimise algust, et pääseda lõpp-punkti kaitsest mööda.

Seda konkreetset tüve tuntakse Snatchina tänu selle autoritele, kes nimetavad end Snatch Teamiks. See oli avastasid Sophos Labsi teadlased, kes kirjeldas oma avastust koos arusaamaga, kuidas sellised jõugud oma hittide loendis ettevõtetesse ja muudesse üksustesse tungivad.

Selgitame, mis on Snatch lunavara, kuidas see töötab ja kuidas saate seda oma seadmetest eemaldada.

Samuti teemal Guiding Tech

Mis on Snatch Ransomware

Snatch on värske lunavaravariant, mille käivitatav fail sunnib Windowsi seadmeid turvarežiimis taaskäivitama isegi enne krüpteerimisprotsessi algust, et vältida lõpp-punkti kaitset, mis sageli sellel ajal ei tööta režiimis.

Avastasid SophosLabsi teadlased ja Sophose juhitud ohtudele reageerimise meeskond snatch ransomware on paljude pahavara tähtkuju komponentide hulgas kasutatakse pidevas hoolikalt korraldatud rünnakute seerias, mis hõlmab ulatuslikku andmete kogumist.

The lunavara uus tüvi kasutab ainulaadset nakatumismeetodit, mis rakendab keerulist AES-krüptimist, nii et kasutajad, kelle masinad on nakatunud, ei pääse oma failidele juurde.

Snatch lunavara oli esmakordselt märgatavalt aktiivne 2019. aasta aprillis, kuid see anti välja 2018. aasta lõpus. Siiski, krüptitud failide ja lunarahade arvu suurenemine viis selle avastamiseni ja Sophose teadlaste meeskonna järelmeetmeteni.

Selle krüptoviiruse vorm ründab kõrgetasemelisi sihtmärke, kuid see uus tüvi, mis on loodud kasutades Google Go programm sisaldab tööriistade kogumit, sealhulgas andmevarast ja lunavara funktsiooni. Lisaks on sellel a Koobalti löök reverse-shell ja muud tööriistad, mida kasutavad läbitungimise testijad ja süsteemiadministraatorid.

Märge: Sophose avastatud variant on võimeline töötama Windowsis ainult 32-bitistes ja 64-bitistes versioonides versioonidest 7 kuni 10.

Kuidas Snatch Ransomware töötab

Faile lukustava viirusena ei ole Snatch lunavaral seost teiste tüvedega. Sellegipoolest andsid selle arendajad välja üheksa ohu varianti, mis lisavad pärast andmete krüpteerimist AES-šifriga erinevad laiendused.

Trikk seisneb selles, et masinad taaskäivitatakse turvarežiimi ja seejärel piirab lunavara juurdepääsu teie andmetele, krüpteerides teie failid. Pärast seda püüavad häkkerid teilt raha välja pressida, küsides lunaraha Bitcoini kujul vastutasuks teie failide avamise ja andmetele juurdepääsu tagastamise eest.

Sellel on põhjus, miks nende trikk töötab. Mõned viirusetõrjetarkvarad ei käivitu turvarežiimis ja arendajad avastasid, et nad saavad hõlpsasti Windowsi registrivõtit muuta ja teie arvuti lihtsalt turvarežiimi käivitada. Seega töötab lunavara teie turvatarkvara poolt avastamata.

Kui see esmakordselt teie seadmesse installitakse, tuleb see Windowsi teenuse SuperBackupMani kaudu ja seadistatakse vahetult enne arvuti taaskäivitamist, et te ei saaks seda õigel ajal peatada.

Pärast installimist kasutavad ründajad administraatori juurdepääsu, et käivitada Windowsi käsureatööriist BCDEDIT, et sundida teie arvuti viivitamatult turvarežiimis taaskäivitama.

Seejärel loob see teie kaustas %AppData% või %LocalAppData% juhusliku nimega käivitatava faili, mis käivitatakse ja hakkab skannima teie arvuti draivitähti, et leida krüpteeritavaid faile.

Samuti teemal Guiding Tech

Snatch Ransomware'i sihitud failid

See krüpteerib teatud faililaiendeid, sealhulgas .doc, .docx, .pdf, .xls ja paljud teised, mida see nakatab ja muudab nende laiendid Snatchiks, nii et te ei saaks neid uuesti avada.

Lunavara jätab tekstifaili Readme_Restore_Files.txt märkuse, nõudes kõike ühe kuni viie Bitcoini vahel vastutasuks dekrüpteerimisvõtme eest, mis sisaldab teavet selle kohta, kuidas andmefailide hankimiseks häkkeritega suhelda tagasi.

Pärast seda, kui lunavara on teie arvuti täielikult skanninud, kasutab see Windowsi käsku vssadmin.exe, mis kustutab kõik sellel olevad variköitekoopiad, et te ei saaks neid taastada ega kasutada krüptitud andmefailide taastamiseks. Viimane samm on krüptida kõik andmefailid teie kõvakettal.

Praegu ei ole nakatunud failid kasutatava AES-krüptimise keerukuse tõttu dekrüpteeritavad. Siiski on teil endiselt päästerõngas, kui teie arvuti on nakatunud, taastades failid viimasest varukoopiast.

Snatch lunavara on rämpsposti kaudu sihikule võtnud tavakasutajaid. Kuid tänapäeval on peamised sihtmärgid ettevõtted. Sellistele kurjategijatele makstes te mitte ainult ei kaota raha ega garanteeri, et nad saadavad teile dekrüpteerimisvõtme, vaid see julgustab neid ka küberkuritegevusega jätkama.

Kui teil pole värskendatud varukoopiat, ei saa te palju muud teha, kui oodata, kuni turvaeksperdid tulevad välja Snatch lunavara dekrüpteerijaga. See võib võtta kaua aega, kuid on ka teisi viise, kuidas end selliste rünnakute eest kaitsta.

Kuidas eemaldada arvutist Snatch Ransomware

Üks parimaid viise Snatch lunavara ja muu pahavara eemaldamiseks on installida hea viirusetõrjetarkvara, nagu Malwarebytes või SpyHunter, mis suudab ohtu skannida, tuvastada ja kõrvaldada. Kõik viirusetõrjemootorid ei suuda seda tabada, kuna tegemist on täiesti uue pahavaraga, seega on hea skannida mitme programmiga.

Saate kaitsta ennast ja oma seadmeid lunavararünnakute eest, tehes lihtsaid samme, näiteks tarkvara allalaadimist usaldusväärsetest allikatest ja vältige meilimanuste avamist ebausaldusväärsetest allikatest allikatest.

Teised viisid, kuidas end ja oma organisatsiooni Snatchi ja muud tüüpi lunavara eest kaitsta, on järgmised:

• Säilitage värskendatud operatsioonisüsteem ja jätkake andmete varundamist.
• Tehke regulaarset parooliauditit.
• Juurutage mitmekihiline terviklik turbetarkvara, et kaitsta kõiki sisenemispunkte lunavararünnakute eest.
• Kaugjuurdepääsu tööriistade ja muude haavatavate programmide kaitsmine, kuna Snatch-ründajad palkavad teisi kurjategijaid, kellel on kogemusi veebikestade kasutamises või SQL-serveritesse sissemurdmise teel.
• Kaitske oma kaugtöölaua liidest, asetades need oma võrku VPN-i taha, et inimesed ei pääseks neile juurde ilma VPN-mandaatideta.
• Kontrollige regulaarselt ja põhjalikult kõiki oma kodus või organisatsioonis olevaid seadmeid, et tagada nende kaitsmine ja jälgimine, kuna Snatch kasutab selliseid juurdepääsupunkte ja tugipunkte sisenemiseks.
• Seadistage ja kasutage oma organisatsiooni mis tahes administraatori jaoks mitmetegurilist autentimist, et ründajad ei saaks teie mandaate vägivaldselt sundida.
• Tehke oma võrgus täielik ohujaht, et tuvastada selline tegevus enne nakatumist.

Samuti teemal Guiding Tech

Kaitske oma süsteemi

Snatch lunavara võib teie failide ja seadmete halvamiseks mõjuda peaaegu eluohtlikult. Enne kui mõtlete selle lunaraha tasumisele, proovige ohu eemaldamiseks ülaltoodud samme ja võtke alati ennetavaid meetmeid tagamaks, et see ja sellised ohud teie arvutis või võrgus ei ilmuks.

Järgmisena: Kui kahtlustate, et teie telefon on nakatunud lunavaraga, vaadake meie järgmist artiklit, et teada saada, kuidas seda tuvastada ja eemaldada.