რა არის Snatch Ransomware და როგორ ამოიღოთ იგი
Miscellanea / / December 02, 2021
როგორც ჩანს, კრიმინალური პროგრამების შემქმნელებს არასოდეს სძინავთ, რადგან თავდაცვა იზრდება. ისინი ყოველთვის ეძებენ თავდასხმის იარაღის დახვეწის სხვადასხვა გზებს. ერთ-ერთი უახლესი ტექნიკა არის გამოსასყიდი პროგრამის შტამი, რომელსაც შეუძლია აიძულოს Windows მოწყობილობა გადატვირთეთ უსაფრთხო რეჟიმში დაშიფვრის დაწყებამდე, რომელიც აპირებს ბოლო წერტილის დაცვას.
ეს კონკრეტული შტამი ცნობილია როგორც Snatch მისი ავტორების გამო, რომლებიც საკუთარ თავს მოიხსენიებენ როგორც Snatch Team. Ის იყო Sophos Labs-ის მკვლევარებმა აღმოაჩინეს, რომელმაც გამოაქვეყნა მათი აღმოჩენა და იმის გაგება, თუ როგორ შეიჭრნენ ასეთი ბანდები საწარმოებში და მათ ჰიტ სიაში შემავალ სხვა ერთეულებში.
ჩვენ ვაპირებთ ავხსნათ რა არის Snatch გამოსასყიდი პროგრამა, როგორ მუშაობს და როგორ შეგიძლიათ ამოიღოთ იგი თქვენი მოწყობილობებიდან.
ასევე სახელმძღვანელო ტექ
რა არის Snatch Ransomware
Snatch არის გამოსასყიდის ახალი ვარიანტი, რომლის შესრულებადი აიძულებს Windows მოწყობილობებს გადატვირთონ უსაფრთხო რეჟიმშიც კი დაშიფვრის პროცესის დაწყებამდე საბოლოო წერტილის დაცვის გვერდის ავლით, რომელიც ხშირად არ მუშაობს ამ შემთხვევაში რეჟიმი.
აღმოაჩინა SophosLabs-ის მკვლევარებმა და Sophos Managed Threat Response ჯგუფმა snatch ransomware არის მავნე პროგრამების თანავარსკვლავედის კომპონენტებს შორის გამოიყენება გულდასმით ორკესტრირებული თავდასხმების მიმდინარე სერიაში, რომელიც მოიცავს მონაცემთა ფართო შეგროვებას.
The გამოსასყიდის ახალი შტამი იყენებს ინფექციის უნიკალურ მეთოდს, რომელიც იყენებს დახვეწილ AES დაშიფვრას, რათა მომხმარებლებმა, რომელთა მანქანებშიც ინფიცირებულია, ვერ შეძლონ წვდომა მათ ფაილებზე.
Snatch ransomware პირველად შესამჩნევად აქტიური იყო 2019 წლის აპრილში, მაგრამ ის გამოვიდა 2018 წლის ბოლოს. თუმცა, დაშიფრული ფაილების და გამოსასყიდის შენიშვნების გახშირება გამოიწვია მისი აღმოჩენა და შემდგომი დაკვირვება სოფოსის მკვლევართა ჯგუფის მიერ.
მისი კრიპტოვირუსის ფორმა უტევს მაღალი პროფილის სამიზნეებს, მაგრამ ეს ახალი შტამი შეიქმნა გამოყენებით Google Go პროგრამა, მოიცავს ინსტრუმენტების კრებულს, მათ შორის მონაცემთა მოპარვისა და გამოსასყიდის ფუნქციის ჩათვლით. გარდა ამისა, მას აქვს ა კობალტის გაფიცვა საპირისპირო გარსი და სხვა ინსტრუმენტები, რომლებსაც იყენებენ შეღწევადობის ტესტერები და სისტემის ადმინისტრატორები.
Შენიშვნა: Sophos-ის აღმოჩენილ ვარიანტს შეუძლია Windows-ზე გაშვება მხოლოდ 32-ბიტიან და 64-ბიტიან ვერსიებში 7-დან 10-მდე ვერსიით.
როგორ მუშაობს Snatch Ransomware
როგორც ფაილის ჩამკეტი ვირუსი, Snatch ransomware-ს არ აქვს კავშირი სხვა შტამებთან. მიუხედავად ამისა, მისმა დეველოპერებმა გამოუშვეს საფრთხის ცხრა ვარიანტი, რომლებიც ამატებენ სხვადასხვა გაფართოებას მას შემდეგ, რაც მონაცემები დაშიფრულია AES შიფრით.
ხრიკი არის მანქანების გადატვირთვა უსაფრთხო რეჟიმში, შემდეგ კი გამოსასყიდი ზღუდავს თქვენს მონაცემებზე წვდომას თქვენი ფაილების დაშიფვრით. ამის შემდეგ, ჰაკერები ცდილობენ ფულის გამოძალვას თქვენგან, ბიტკოინის სახით გამოსასყიდის მოთხოვნით თქვენი ფაილების განბლოკვისა და მონაცემთა ხელმისაწვდომობის დაბრუნების სანაცვლოდ.
არსებობს მიზეზი, რის გამოც მათი ხრიკი მუშაობს. ზოგიერთი ანტივირუსული პროგრამა არ იწყება უსაფრთხო რეჟიმში და დეველოპერებმა აღმოაჩინეს, რომ მათ შეუძლიათ მარტივად შეცვალონ Windows რეესტრის გასაღები და უბრალოდ ჩატვირთონ თქვენი მანქანა უსაფრთხო რეჟიმში. ამრიგად, გამოსასყიდი პროგრამა მუშაობს თქვენი უსაფრთხოების პროგრამული უზრუნველყოფის მიერ შეუმჩნევლად.
პირველად დაინსტალირდება თქვენს მოწყობილობაზე, ის მოდის SuperBackupMan-ის, Windows სერვისის მეშვეობით და დაყენებულია კომპიუტერის გადატვირთვამდე, ასე რომ თქვენ ვერ შეაჩერებთ მას დროულად.
ინსტალაციის შემდეგ, თავდამსხმელები იყენებენ ადმინისტრაციულ წვდომას BCDEDIT-ის, Windows ბრძანების ხაზის ხელსაწყოს გასაშვებად, რათა აიძულონ თქვენი კომპიუტერი დაუყოვნებლივ გადატვირთოს უსაფრთხო რეჟიმში.
შემდეგ ის ქმნის შემთხვევით სახელად შესრულებადს თქვენს %AppData% ან %LocalAppData% საქაღალდეში, რომელიც გაიშვება და დაიწყებს თქვენი კომპიუტერის დისკის ასოების სკანირებას ფაილების დაშიფვრისთვის.
ასევე სახელმძღვანელო ტექ
ფაილები, რომლებიც მიზნად ისახავს Snatch Ransomware
არსებობს კონკრეტული ფაილის გაფართოებები, რომლებსაც ის შიფრავს, მათ შორის .doc, .docx, .pdf, .xls და მრავალი სხვა, რომლებსაც ის აინფიცირებს და ცვლის მათ გაფართოებებს Snatch-ზე, ასე რომ თქვენ ვეღარ გახსნით მათ ხელახლა.
გამოსასყიდი ტოვებს Readme_Restore_Files.txt ტექსტურ ფაილის ჩანაწერს, რომელიც მოითხოვს რაიმეს ერთ-დან ხუთ ბიტკოინამდე. გაშიფვრის გასაღების სანაცვლოდ, ინფორმაცია იმის შესახებ, თუ როგორ უნდა დაუკავშირდეთ ჰაკერებს თქვენი მონაცემთა ფაილების მისაღებად უკან.
მას შემდეგ, რაც გამოსასყიდი პროგრამა მთლიანად დაასკანირებს თქვენს კომპიუტერს, ის იყენებს vssadmin.exe-ს, Windows-ის ბრძანებას, რომ წაშალოს მასზე არსებული ყველა ჩრდილის მოცულობის ასლი, ასე რომ თქვენ ვერ შეძლებთ მათი აღდგენა და მათი გამოყენება დაშიფრული მონაცემთა ფაილების აღსადგენად. საბოლოო ნაბიჯი არის ნებისმიერი მონაცემთა ფაილის დაშიფვრა თქვენს მყარ დისკზე.
ამჟამად, ინფიცირებული ფაილები არ არის გაშიფრული, გამოყენებული AES დაშიფვრის დახვეწილი ბუნების გამო. თუმცა, თქვენ ჯერ კიდევ გაქვთ სამაშველო გზა, თუ თქვენი კომპიუტერი დაინფიცირდა თქვენი ფაილების უახლესი სარეზერვო ასლის აღდგენით.
Snatch ransomware მიზნად ისახავს რეგულარულ მომხმარებლებს სპამის ელფოსტის საშუალებით. მაგრამ დღეს მთავარი სამიზნეები არიან კორპორაციები. ასეთი კრიმინალების გადახდით, თქვენ არა მხოლოდ კარგავთ ფულს და არ გაქვთ გარანტია, რომ ისინი გამოგიგზავნით გაშიფვრის გასაღებს, არამედ ეს ასევე წაახალისებს მათ განაგრძონ თავიანთი კიბერდანაშაული.
თუ არ გაქვთ განახლებული სარეზერვო ასლი, სხვა არაფერი შეგიძლიათ გააკეთოთ, გარდა იმისა, რომ დაელოდოთ უსაფრთხოების ექსპერტებს Snatch გამოსასყიდი პროგრამის გაშიფვრას. ამას შეიძლება დიდი დრო დასჭირდეს, მაგრამ არსებობს სხვა გზები, რომლითაც შეგიძლიათ დაიცვათ თავი ასეთი თავდასხმებისგან.
როგორ ამოიღოთ Snatch Ransomware თქვენი კომპიუტერიდან
Snatch ransomware და სხვა მავნე პროგრამების ამოღების ერთ-ერთი საუკეთესო გზა არის კარგი ანტივირუსული უსაფრთხოების პროგრამული უზრუნველყოფის დაყენება, როგორიცაა Malwarebytes ან SpyHunter, რომელსაც შეუძლია საფრთხის სკანირება, აღმოჩენა და აღმოფხვრა. ყველა ანტივირუსულ ძრავას არ შეუძლია მისი დაჭერა, რადგან ეს არის სრულიად ახალი მავნე პროგრამა, ამიტომ კარგია სკანირება რამდენიმე პროგრამის გამოყენებით.
თქვენ შეგიძლიათ დაიცვათ საკუთარი თავი და თქვენი მოწყობილობები გამოსასყიდი პროგრამების შეტევებისგან მარტივი ნაბიჯების გადადგმით, როგორიცაა ჩამოტვირთეთ პროგრამული უზრუნველყოფა სანდო წყაროებიდან და მოერიდეთ ელ.ფოსტის დანართების გახსნას არასანდო წყაროებიდან წყაროები.
სხვა გზები, რომლითაც შეგიძლიათ დაიცვათ საკუთარი თავი და თქვენი ორგანიზაცია Snatch-ისგან და სხვა ტიპის გამოსასყიდი პროგრამებისგან, მოიცავს:
- შეინახეთ განახლებული ოპერაციული სისტემა და განაგრძეთ თქვენი მონაცემების სარეზერვო ასლის შექმნა.
- შეასრულეთ პაროლის რეგულარული შემოწმება.
- განათავსეთ მრავალშრიანი, ყოვლისმომცველი უსაფრთხოების პროგრამული უზრუნველყოფა, რათა დაიცვათ ყველა შესასვლელი წერტილი გამოსასყიდი პროგრამის შეტევისგან.
- დისტანციური წვდომის ხელსაწყოების და სხვა დაუცველი პროგრამების დაცვა, რადგან Snatch თავდამსხმელები ქირაობენ სხვა კრიმინალებს, რომლებსაც აქვთ გამოცდილება ვებ ჭურვების გამოყენებით ან შეუძლიათ SQL სერვერების გატეხვა ინექციის შეტევების საშუალებით.
- დაიცავით თქვენი დისტანციური დესკტოპის ინტერფეისი თქვენს ქსელში VPN-ის მიღმა განთავსებით, რათა ხალხს არ ჰქონდეს მათზე წვდომა VPN სერთიფიკატების გარეშე.
- ჩაატარეთ რეგულარული და საფუძვლიანი შემოწმება თქვენს სახლში ან ორგანიზაციის ყველა მოწყობილობაზე, რათა დარწმუნდეთ, რომ ისინი დაცულია და კონტროლდება, რადგან Snatch იყენებს ასეთ წვდომის წერტილებსა და საყრდენებს შესვლის მოსაპოვებლად.
- დააყენეთ და გამოიყენეთ მრავალფაქტორიანი ავთენტიფიკაცია თქვენი ორგანიზაციის ნებისმიერი ადმინისტრატორისთვის, რათა თავდამსხმელებმა არ შეძლონ თქვენი რწმუნებათა სიგელების უხეში იძულება.
- განახორციელეთ საფრთხეების სრული ნადირობა თქვენს ქსელში, რათა იდენტიფიციროთ ნებისმიერი ასეთი აქტივობა დაინფიცირებამდე.
ასევე სახელმძღვანელო ტექ
დაიცავით თქვენი სისტემა
Snatch ransomware შეიძლება თითქმის სიცოცხლისთვის საშიში ჟღერდეს, თუ როგორ მუშაობს თქვენი ფაილების და მოწყობილობების პარალიზებაზე. სანამ ამ გამოსასყიდის გადახდაზე ფიქრობთ, სცადეთ ზემოთ მოცემული ნაბიჯები საფრთხის მოსაშორებლად და ყოველთვის მიიღეთ პრევენციული ზომები, რათა უზრუნველყოთ ეს და ასეთი საფრთხეები არ გამოჩნდეს თქვენს კომპიუტერში ან ქსელში.
Შემდეგი: თუ ეჭვი გეპარებათ, რომ თქვენი ტელეფონი ინფიცირებულია გამოსასყიდი პროგრამით, შეამოწმეთ ჩვენი შემდეგი სტატია, რათა გაიგოთ, თუ როგორ ამოიცნოთ ეს და ამოიღოთ იგი.