Mikä on Snatch Ransomware ja kuinka poistaa se

Näyttää siltä, ​​​​että rikosohjelmien kehittäjät eivät koskaan nuku, kun puolustukset nousevat. He etsivät aina erilaisia ​​tapoja hioa hyökkäysaseita. Yksi uusimmista tekniikoista on kiristysohjelmakanta, joka voi pakottaa Windows-laitteen käynnistä uudelleen vikasietotilaan juuri ennen salauksen alkamista, tarkoituksenaan kiertää päätepistesuojaus.

Tämä erityinen kanta tunnetaan nimellä Snatch, koska sen kirjoittajat kutsuvat itseään Snatch Teamiksi. Se oli Sophos Labsin tutkijoiden löytämät, jotka esittelivät löytönsä sekä näkemyksensä siitä, kuinka tällaiset jengit murtautuvat osumalistalla oleviin yrityksiin ja muihin kokonaisuuksiin.

Aiomme selittää, mikä Snatch lunnasohjelma on, miten se toimii ja kuinka voit poistaa sen laitteistasi.

Myös opastekniikassa

Mikä on Snatch Ransomware

Snatch on tuore ransomware-versio, jonka suoritettava tiedosto pakottaa Windows-laitteet käynnistymään uudelleen vikasietotilaan jopa ennen kuin salausprosessi alkaa ohittaa päätepistesuojaus, joka ei usein toimi tässä tila.

SophosLabs-tutkijat ja Sophos Managed Threat Response -tiimi löysivät snatch ransomware on useiden haittaohjelmien kokoonpanon osien joukossa käytetään jatkuvassa sarjassa huolellisesti suunniteltuja hyökkäyksiä, joihin sisältyy laaja tiedonkeruu.

The uusi ransomware-kanta käyttää ainutlaatuista tartuntamenetelmää, joka käyttää kehittynyttä AES-salausta, jotta käyttäjät, joiden koneet ovat saastuneet, eivät pääse käsiksi tiedostoihinsa.

Snatch ransomware oli ensimmäisen kerran huomattavan aktiivinen huhtikuussa 2019, mutta se julkaistiin vuoden 2018 lopussa. Kuitenkin salattujen tiedostojen ja lunnaiden määrä kasvaa johti sen löytämiseen ja Sophoksen tutkijaryhmän seurantaan.

Sen kryptovirusmuoto hyökkää korkean profiilin kohteisiin, mutta tämä uusi kanta, joka on luotu käyttämällä Google Go Ohjelma sisältää kokoelman työkaluja, mukaan lukien tietojen varastaja ja kiristysohjelmaominaisuus. Lisäksi siinä on a Kobolttilakko reverse-shell ja muut penetraatiotestaajien ja järjestelmänvalvojien käyttämät työkalut.

Huomautus: Sophosin löytämä variantti pystyy toimimaan Windowsissa vain 32- ja 64-bittisissä versioissa versioista 7–10.

Kuinka Snatch Ransomware toimii

Tiedoston lukitsevana viruksena Snatch ransomwarella ei ole yhteyksiä muihin viruskantoihin. Silti sen kehittäjät julkaisivat yhdeksän uhan muunnelmaa, jotka lisäävät erilaisia ​​laajennuksia sen jälkeen, kun tiedot on salattu AES-salauksella.

Temppu on käynnistää koneet uudelleen vikasietotilaan, ja sitten kiristysohjelma rajoittaa pääsyä tietoihisi salaamalla tiedostosi. Sen jälkeen hakkerit yrittävät kiristää sinulta rahaa pyytämällä lunnaita Bitcoinin muodossa vastineeksi tiedostojesi lukituksen avaamisesta ja tietojen palauttamisesta.

On syy, miksi heidän temppunsa toimii. Jotkut virustorjuntaohjelmistot eivät käynnisty vikasietotilassa, ja kehittäjät huomasivat, että he voivat helposti muokata Windowsin rekisteriavainta ja käynnistää koneen vikasietotilaan. Siten lunastusohjelma toimii ilman tietoturvaohjelmistosi havaitsemista.

Kun se asennetaan laitteellesi ensimmäisen kerran, se tulee SuperBackupManin, Windows-palvelun kautta, ja asennukset tehdään juuri ennen kuin tietokoneesi käynnistyy uudelleen, joten et voi pysäyttää sitä ajoissa.

Asennuksen jälkeen hyökkääjät käyttävät järjestelmänvalvojan oikeuksia suorittaakseen BCDEDITin, Windowsin komentorivityökalun, pakottaakseen tietokoneesi käynnistymään uudelleen vikasietotilassa.

Sitten se luo satunnaisesti nimetyn suoritettavan tiedoston %AppData%- tai %LocalAppData%-kansioosi, joka käynnistetään ja alkaa skannaamaan tietokoneesi asemakirjaimia löytääkseen salattavia tiedostoja.

Myös opastekniikassa

Snatch Ransomwaren kohdistamat tiedostot

Se salaa tiettyjä tiedostotunnisteita, mukaan lukien .doc, .docx, .pdf, .xls ja monet muut, jotka se saastuttaa ja muuttaa niiden laajennukset Snatchiksi, jotta et voi avata niitä uudelleen.

Kiristysohjelma jättää Readme_Restore_Files.txt-tekstitiedostomerkinnän, joka vaatii jotain yhdestä viiteen Bitcoiniin vastineeksi salauksen purkuavaimesta, jossa on tietoja siitä, kuinka voit kommunikoida hakkereiden kanssa saadaksesi datatiedostosi takaisin.

Kun kiristysohjelma on skannannut tietokoneesi kokonaan, se käyttää vssadmin.exe-komentoa, Windows-komentoa, joka poistaa kaikki varjotaltion kopiot tietokoneelta, jotta et voi palauttaa ja käyttää niitä salattujen datatiedostojen palauttamiseen. Viimeinen vaihe on salata kaikki datatiedostot kiintolevylläsi.

Tällä hetkellä tartunnan saaneiden tiedostojen salausta ei voi purkaa käytetyn AES-salauksen kehittyneen luonteen vuoksi. Sinulla on kuitenkin edelleen pelastusköysi, jos tietokoneesi saa tartunnan palauttamalla tiedostot uusimmasta varmuuskopiosta.

Snatch ransomware on kohdistanut tavallisiin käyttäjiin roskapostisähköpostien kautta. Mutta nykyään pääkohteet ovat yritykset. Maksamalla tällaisille rikollisille et vain menetä rahaa etkä sinulla ole takeita siitä, että he lähettävät salauksenpurkuavaimen sinulle, vaan se myös rohkaisee heitä jatkamaan kyberrikollisuuttaan.

Jos sinulla ei ole päivitettyä varmuuskopiota, et voi tehdä paljon muuta kuin odottaa, kunnes tietoturvaasiantuntijat keksivät Snatch ransomware -salauksen purkuohjelman. Se voi kestää kauan, mutta on muita tapoja suojautua tällaisilta hyökkäyksiltä.

Kuinka poistaa Snatch Ransomware tietokoneeltasi

Yksi parhaista tavoista poistaa Snatch lunnasohjelmat ja muut haittaohjelmat on asentaa hyvä virustentorjuntaohjelmisto, kuten Malwarebytes tai SpyHunter, joka voi skannata, havaita ja poistaa uhan. Kaikki virustorjuntamoottorit eivät pysty saamaan sitä, koska se on täysin uusi haittaohjelma, joten on hyvä skannata useilla ohjelmilla.

Voit suojata itsesi ja laitteesi lunnasohjelmahyökkäyksiä vastaan ​​tekemällä yksinkertaisia ​​toimia, kuten ohjelmistojen lataaminen luotettavista lähteistä ja välttää sähköpostin liitetiedostojen avaamista epäluotettavista lähteistä lähteet.

Muita tapoja, joilla voit suojata itseäsi ja organisaatiotasi Snatchilta ja muun tyyppisiltä kiristysohjelmilta, ovat:

• Ylläpidä päivitettyä käyttöjärjestelmää ja jatka tietojen varmuuskopiointia.
• Suorita säännöllinen salasanatarkastus.
• Ota käyttöön monikerroksinen, kattava tietoturvaohjelmisto, joka suojaa kaikkia sisääntulopisteitä kiristysohjelmahyökkäyksiltä.
• Etäkäyttötyökalujen ja muiden haavoittuvien ohjelmien suojaaminen, koska Snatch-hyökkääjät palkkaavat muita rikollisia, joilla on kokemusta Web-shellistä tai jotka pystyvät murtautumaan SQL-palvelimiin injektiohyökkäyksillä.
• Suojaa etätyöpöytäliittymäsi asettamalla ne VPN: n taakse verkkoosi, jotta ihmiset eivät pääse käyttämään niitä ilman VPN-tunnistetietoja.
• Suorita säännölliset ja perusteelliset tarkastukset kaikille kodin tai organisaation laitteille varmistaaksesi, että ne ovat suojattuja ja valvottuja, sillä Snatch hyödyntää tukiasemia ja jalansijaa päästäkseen sisään.
• Määritä ja käytä monivaiheista todennusta kaikille organisaatiosi järjestelmänvalvojille, jotta hyökkääjät eivät voi väkisin väkisin käyttää tunnistetietojasi.
• Suorita täydellinen uhkien metsästys verkossasi tunnistaaksesi tällaisen toiminnan ennen tartuntaa.

Myös opastekniikassa

Suojaa järjestelmäsi

Snatch ransomware saattaa kuulostaa lähes hengenvaaralliselta sen suhteen, miten se halvaannuttaa tiedostosi ja laitteesi. Ennen kuin ajattelet lunnaiden maksamista, kokeile yllä olevia ohjeita uhan poistamiseksi ja ryhdy aina ennaltaehkäiseviin toimenpiteisiin varmistaaksesi, että tämä ja tällaiset uhat eivät näy tietokoneessasi tai verkossasi.

Seuraava: Jos epäilet, että puhelimesi on saastunut kiristysohjelmasta, katso seuraava artikkeli saadaksesi selville, kuinka se havaitaan ja poistetaan.