מהי Snatch Ransomware וכיצד להסיר אותה

נראה שמפתחי תוכנות פשע אף פעם לא ישנים כשההגנה עולה. הם תמיד מחפשים דרכים שונות לחדד את נשק ההתקפה שלהם. אחת הטכניקות העדכניות ביותר היא זן של תוכנת כופר שיכול לאלץ מכשיר Windows לעשות זאת הפעל מחדש למצב בטוח ממש לפני תחילת ההצפנה, מתוך כוונה לעקוף את הגנת נקודות הקצה.

הזן המסוים הזה ידוע בשם Snatch בגלל מחבריו, שמתייחסים לעצמם כ-Snatch Team. זה היה התגלה על ידי חוקרי Sophos Labs, אשר תיאר את הגילוי שלהם יחד עם תובנות כיצד כנופיות כאלה פורצות למפעלים ולישויות אחרות ברשימת הלהיטים שלהן.

אנו הולכים להסביר מהי תוכנת כופר Snatch, כיצד היא פועלת וכיצד תוכל להסיר אותה מהמכשירים שלך.

גם על Guiding Tech

מהי Snatch Ransomware

Snatch הוא גרסה חדשה של תוכנת כופר שקובץ ההפעלה שלה מאלץ את מכשירי Windows לאתחל למצב בטוח אפילו לפני תחילת תהליך ההצפנה במטרה לעקוף את הגנת נקודות הקצה שלעתים קרובות לא פועלת בזה מצב.

התגלה על ידי חוקרי SophosLabs וצוות תגובת איומים מנוהלים של Sophos לחטוף תוכנת כופר היא בין רכיבי קונסטלציה מרובים של תוכנות זדוניות בשימוש בסדרה מתמשכת של התקפות מתוזמרות בקפידה הכוללות איסוף נתונים נרחב.

ה זן חדש של תוכנת הכופר משתמש בשיטת זיהום ייחודית המיישמת הצפנת AES מתוחכמת כך שמשתמשים שהמכונות שלהם נגועים לא יוכלו לגשת לקבצים שלהם.

תוכנת הכופר של Snatch הייתה פעילה לראשונה באפריל 2019, אך היא שוחררה בסוף 2018. אולם, ה עלייה בקבצים מוצפנים ובפתקי כופר הוביל לגילויו ולמעקב על ידי צוות החוקרים ב-Sophos.

צורת הקריפטו-וירוס שלו תוקפת מטרות בפרופיל גבוה, אבל הזן החדש הזה, שנוצר באמצעות גוגל גו התוכנית, כוללת אוסף של כלים כולל גניבת נתונים ותכונת תוכנת כופר. בנוסף, יש לו א מכת קובלט reverse-shell וכלים אחרים המשמשים בודקי חדירה ומנהלי מערכת.

הערה: הגרסה ש-Sophos גילתה מסוגלת לפעול רק ב-Windows במהדורות 32-bit ו-64-bit מגרסה 7 עד 10.

כיצד פועלת תוכנת כופר לחטוף

בתור וירוס נעילת קבצים, לתוכנת הכופר של Snatch אין קשרים עם זנים אחרים. ובכל זאת, המפתחים שלה פרסמו תשע גרסאות של האיום, המצרפות הרחבות שונות לאחר שהנתונים מוצפנים באמצעות צופן AES.

החוכמה היא לאתחל מכונות למצב בטוח, ואז תוכנת הכופר מגבילה את הגישה לנתונים שלך על ידי הצפנת הקבצים שלך. לאחר מכן, ההאקרים מנסים לסחוט ממך כסף על ידי שידול כופר בצורת ביטקוין בתמורה לפתיחת הקבצים שלך והחזרת גישה לנתונים.

יש סיבה למה הטריק שלהם עובד. תוכנות אנטי-וירוס מסוימות אינן מתחילות במצב בטוח, והמפתחים גילו שהם יכולים לשנות בקלות מפתח רישום של Windows ופשוט לאתחל את המחשב למצב בטוח. כך תוכנת הכופר פועלת ללא זיהוי על ידי תוכנת האבטחה שלך.

בפעם הראשונה שהוא מותקן במכשיר שלך, הוא מגיע דרך SuperBackupMan, שירות Windows, ומוגדר ממש לפני שהמחשב שלך מתחיל לאתחל כך שלא תוכל לעצור אותו בזמן.

לאחר ההתקנה, התוקפים משתמשים בגישת מנהל כדי להפעיל את BCDEDIT, כלי שורת הפקודה של Windows, כדי לאלץ את המחשב שלך לאתחל מחדש במצב בטוח באופן מיידי.

לאחר מכן הוא יוצר קובץ הפעלה בשם אקראי בתיקיית %AppData% או %LocalAppData% שלך, שתושק ותתחיל לסרוק את אותיות הכונן של המחשב שלך לאיתור קבצים להצפנה.

גם על Guiding Tech

קבצים ממוקדים על ידי Snatch Ransomware

ישנן סיומות קבצים ספציפיות שהוא מצפין, כולל .doc, .docx, .pdf, .xls ועוד רבים אחרים, שאותם הוא מדביק ומשנה את הסיומות שלהם ל-Snatch כך שלא תוכל לפתוח אותם שוב.

תוכנת הכופר משאירה הערת טקסט Readme_Restore_Files.txt, הדורשת כל דבר בין ביטקוין אחד לחמישה בתמורה למפתח פענוח, עם מידע על איך לתקשר עם ההאקרים כדי לקבל את קבצי הנתונים שלך חזור.

לאחר שתוכנת הכופר סורקת את המחשב שלך לחלוטין, היא משתמשת ב-vssadmin.exe, פקודת Windows כדי למחוק את כל עותקי ה-Shadow Volume שבו, כך שלא תוכל לשחזר ולהשתמש בהם כדי לשחזר קבצי נתונים מוצפנים. השלב האחרון הוא ל להצפין כל קבצי נתונים בכונן הקשיח שלך.

נכון לעכשיו, קבצים נגועים אינם ניתנים לפענוח בשל האופי המתוחכם של הצפנת AES בשימוש. עם זאת, עדיין יש לך חבל הצלה אם המחשב שלך נגוע על ידי שחזור הקבצים שלך מהגיבוי האחרון.

תוכנת הכופר של Snatch פנתה למשתמשים רגילים באמצעות הודעות דואר זבל. אבל כיום, היעדים העיקריים הם תאגידים. על ידי תשלום לפושעים כאלה, אתה לא רק מפסיד כסף ואין לך שום ערובה שהם ישלחו לך את מפתח הפענוח, אלא זה גם מעודד אותם להמשיך עם עבריינות הסייבר שלהם.

אם אין לך גיבוי מעודכן, אין הרבה יותר שאתה יכול לעשות מלבד לחכות עד שמומחי אבטחה יגלו מפענח של Snatch כופר. זה יכול לקחת הרבה זמן, אבל יש דרכים אחרות שאתה יכול להגן על עצמך מפני התקפות כאלה.

כיצד להסיר תוכנת כופר לחטוף מהמחשב שלך

אחת הדרכים הטובות ביותר להסיר תוכנות כופר של Snatch ותוכנות זדוניות אחרות היא התקנת תוכנת אבטחה אנטי-וירוס טובה כגון Malwarebytes או SpyHunter שיכולה לסרוק, לזהות ולחסל את האיום. לא כל מנועי האנטי-וירוס יכולים לתפוס את זה מכיוון שמדובר בתוכנה זדונית חדשה לגמרי, אז כדאי לסרוק באמצעות מספר תוכניות.

אתה יכול להגן על עצמך ועל המכשירים שלך מפני התקפות כופר על ידי נקיטת צעדים פשוטים כגון הורדת תוכנה ממקורות מהימנים, והימנע מפתיחת קבצים מצורפים לאימייל ממקורות לא מהימנים מקורות.

דרכים אחרות שבהן תוכל להגן על עצמך ועל הארגון שלך מפני Snatch וסוגים אחרים של תוכנות כופר כוללות:

• שמרו על מערכת הפעלה מעודכנת והמשיכו לגבות את הנתונים שלכם.
• בצע ביקורת סיסמאות קבועה.
• פרוס תוכנת אבטחה רב-שכבתית ומקיפה כדי להגן על כל נקודות הכניסה מפני התקפת תוכנת כופר.
• אבטחת כלי גישה מרחוק ותוכניות פגיעות אחרות מכיוון שתוקפי Snatch שוכרים פושעים אחרים עם ניסיון בשימוש בקונכיות אינטרנט או מסוגלים לפרוץ לשרתי SQL באמצעות התקפות הזרקה.
• הגן על ממשק שולחן העבודה המרוחק שלך על ידי הצבתם מאחורי VPN ברשת שלך כך שאנשים לא יגשו אליהם ללא אישורי VPN.
• הפעל בדיקות סדירות ויסודיות על כל המכשירים בבית או בארגון שלך כדי להבטיח שהם מוגנים ומפוקחים כאשר Snatch ממנפת נקודות גישה ודריסת רגל כאלה כדי להשיג כניסה.
• הגדר והשתמש באימות מרובה גורמים עבור מנהלי מערכת בארגון שלך כדי שתוקפים לא יוכלו להכריח את האישורים שלך בכוח.
• בצע ציד איומים מלא ברשת שלך כדי לזהות כל פעילות כזו לפני ההדבקה.

גם על Guiding Tech

הגן על המערכת שלך

לחטוף תוכנות כופר עשויות להישמע כמעט מסכנות חיים באופן שבו היא פועלת לשתק את הקבצים והמכשירים שלך. לפני שאתה חושב לשלם את הכופר הזה, נסה את השלבים שלמעלה כדי להסיר את האיום ונקוט תמיד באמצעי מניעה כדי להבטיח שאיומים כאלה ואחרים לא יופיעו במחשב או ברשת שלך.

הבא בתור: אם אתה חושד שהטלפון שלך נגוע בתוכנת כופר, עיין במאמר הבא שלנו כדי לגלות כיצד לזהות זאת ולהסיר אותה.