Kas yra „Snatch Ransomware“ ir kaip ją pašalinti
Įvairios / / December 02, 2021
Panašu, kad kriminalinės programinės įrangos kūrėjai niekada nemiega, kai stiprėja gynyba. Jie visada ieško įvairių būdų, kaip patobulinti savo puolimo ginklus. Vienas iš naujausių metodų yra išpirkos reikalaujančios programos padermė, kuri gali priversti Windows įrenginį perkraukite į saugųjį režimą prieš pat šifravimo pradžią, siekdami apeiti galinio taško apsaugą.
![Snatch Ransomware Kaip pašalinti Teminius](/f/0cfc97283dc0925160bd53443a644e7b.jpg)
Ši konkreti atmaina žinoma kaip „Snatch“ dėl jos autorių, kurie save vadina „Snatch Team“. Tai buvo atrado Sophos Labs mokslininkai, kurie išdėstė savo atradimą kartu su įžvalgomis apie tai, kaip tokios gaujos įsiveržia į įmones ir kitus subjektus, esančius jų hitų sąraše.
Paaiškinsime, kas yra „Snatch“ išpirkos reikalaujanti programa, kaip ji veikia ir kaip galite ją pašalinti iš savo įrenginių.
Taip pat „Guiding Tech“.
Kas yra „Snatch Ransomware“.
„Snatch“ yra naujas „ransomware“ variantas, kurio vykdomoji programa verčia „Windows“ įrenginius iš naujo paleisti į saugųjį režimą prieš prasidedant šifravimo procesui, siekiant apeiti galinio taško apsaugą, kuri dažnai neveikia režimu.
Atrado „SophosLabs“ mokslininkai ir „Sophos Managed Threat Response“ komanda snatch ransomware yra tarp daugelio kenkėjiškų programų konsteliacijos komponentų naudojamas nuolatinėje kruopščiai suplanuotų atakų serijoje, apimančioje platų duomenų rinkimą.
![Snatch Ransomware Kaip pašalinti ataką](/f/0e6b88e513769c305efa09dd8f8b51c9.jpg)
The nauja išpirkos reikalaujančios programos atmaina naudoja unikalų užkrėtimo metodą, kuris taiko sudėtingą AES šifravimą, kad vartotojai, kurių įrenginiai yra užkrėsti, negalėtų pasiekti savo failų.
„Snatch“ išpirkos reikalaujanti programa pirmą kartą buvo pastebimai aktyvi 2019 m. balandžio mėn., tačiau ji buvo išleista 2018 m. pabaigoje. Tačiau, užšifruotų failų ir išpirkos užrašų padidėjimas paskatino jį atrasti ir tęsti Sophos tyrėjų komandos.
Jo kriptoviruso forma atakuoja aukšto lygio taikinius, tačiau ši nauja padermė, sukurta naudojant Google Go programą sudaro įrankių rinkinys, įskaitant duomenų vagystę ir išpirkos reikalaujančią programinę įrangą. Be to, jis turi a Kobalto streikas atvirkštinis apvalkalas ir kiti įrankiai, kuriuos naudoja įsiskverbimo tikrintojai ir sistemos administratoriai.
Pastaba: Atrastas „Sophos“ variantas gali veikti tik „Windows“ 32 ir 64 bitų versijose nuo 7 iki 10.
Kaip veikia „Snatch Ransomware“.
„Snatch“ išpirkos reikalaujantis virusas, kaip failą blokuojantis virusas, neturi ryšio su kitomis padermėmis. Vis dėlto jo kūrėjai išleido devynis grėsmės variantus, kurie prideda skirtingus plėtinius po to, kai duomenys užšifruojami naudojant AES šifrą.
Triukas yra iš naujo paleisti mašinas į saugųjį režimą, o tada išpirkos reikalaujanti programa apriboja prieigą prie jūsų duomenų šifruodama failus. Po to įsilaužėliai bando išvilioti iš jūsų pinigus, prašydami išpirkos Bitcoin pavidalu mainais už jūsų failų atrakinimą ir prieigos prie duomenų grąžinimą.
![Snatch Ransomware Kaip pašalinti veikia](/f/40382a8225d4178f3bb0d2753b1f95bf.jpg)
Yra priežastis, kodėl jų triukas veikia. Kai kuri antivirusinė programinė įranga nepaleidžiama saugiuoju režimu, o kūrėjai išsiaiškino, kad gali lengvai modifikuoti „Windows“ registro raktą ir tiesiog paleisti kompiuterį į saugųjį režimą. Taigi išpirkos reikalaujančios programos jūsų saugos programinė įranga neaptinka.
Pirmą kartą įdiegus įrenginyje, jis pateikiamas per SuperBackupMan, „Windows“ paslaugą, ir nustatomas prieš pat kompiuterio paleidimą iš naujo, kad negalėtumėte jo sustabdyti laiku.
![Snatch Ransomware Kaip pašalinti Superbackupman](/f/c9f40ba3d243e427b1f9bfa5b0f51477.png)
Įdiegę užpuolikai naudoja administratoriaus prieigą, kad paleistų BCDEDIT – „Windows“ komandų eilutės įrankį, kad priverstų kompiuterį nedelsiant paleisti saugiuoju režimu.
Tada jūsų %AppData% arba %LocalAppData% aplanke sukuriamas atsitiktinio pavadinimo vykdomasis failas, kuris bus paleistas ir pradės nuskaityti kompiuterio disko raides, kad būtų ieškoma šifruojamų failų.
Taip pat „Guiding Tech“.
Failai, skirti „Snatch Ransomware“.
Yra konkrečių failų plėtinių, kuriuos jis užšifruoja, įskaitant .doc, .docx, .pdf, .xls ir daugelį kitų, kuriuos jis užkrečia ir pakeičia jų plėtinius į Snatch, kad negalėtumėte jų vėl atidaryti.
Išpirkos reikalaujanti programa palieka Readme_Restore_Files.txt teksto failo pastabą, reikalaujančią nuo vieno iki penkių Bitcoin mainais į iššifravimo raktą su informacija, kaip susisiekti su įsilaužėliais, kad gautumėte duomenų failus atgal.
![Snatch Ransomware Kaip pašalinti pranešimą](/f/671921ad3bb068af9113a46e525f0495.png)
Po to, kai išpirkos reikalaujanti programa visiškai nuskaito jūsų kompiuterį, ji naudoja vssadmin.exe, „Windows“ komandą, kad ištrintų visas jame esančias „Shadow Volume“ kopijas, kad negalėtumėte atkurti ir naudoti jų šifruotų duomenų failams atkurti. Paskutinis žingsnis yra užšifruoti bet kokius duomenų failus kietajame diske.
Šiuo metu užkrėstų failų negalima iššifruoti dėl sudėtingo naudojamo AES šifravimo pobūdžio. Tačiau jūs vis tiek turite gelbėjimosi ratą, jei jūsų kompiuteris yra užkrėstas atkūrus failus iš naujausios atsarginės kopijos.
![Snatch Ransomware Kaip pašalinti failo įkaitą](/f/f782a311a5c6ac48452648b63965d531.jpg)
Snatch ransomware buvo nukreipta į paprastus vartotojus per el. pašto šiukšles. Tačiau šiandien pagrindiniai taikiniai yra korporacijos. Mokėdami tokiems nusikaltėliams ne tik prarasite pinigų ir negarantuojate, kad jie jums atsiųs iššifravimo raktą, bet ir paskatinsite juos tęsti kibernetinį nusikalstamumą.
Jei neturite atnaujintos atsarginės kopijos, nieko daugiau negalite padaryti, tik palaukti, kol saugumo ekspertai pasiūlys „Snatch“ išpirkos reikalaujančios programos iššifravimo priemonę. Tai gali užtrukti ilgai, tačiau yra ir kitų būdų apsisaugoti nuo tokių išpuolių.
Kaip pašalinti „Snatch Ransomware“ iš savo kompiuterio
Vienas geriausių būdų pašalinti išpirkos reikalaujančią „Snatch“ ir kitas kenkėjiškas programas yra įdiegti gerą antivirusinę saugos programinę įrangą, tokią kaip „Malwarebytes“ arba „SpyHunter“, kuri gali nuskaityti, aptikti ir pašalinti grėsmę. Ne visi antivirusiniai varikliai gali jį sugauti, nes tai visiškai nauja kenkėjiška programa, todėl verta nuskaityti naudojant kelias programas.
Galite apsaugoti save ir savo įrenginius nuo išpirkos reikalaujančių programų atakų atlikdami paprastus veiksmus, pvz atsisiunčiant programinę įrangą iš patikimų šaltinių ir vengiant atidaryti el. pašto priedus iš nepatikimų šaltinių šaltiniai.
![Snatch Ransomware Kaip pašalinti failų tipus](/f/42b4cdaf66535edce41ace5856a29b30.jpg)
Kiti būdai, kuriais galite apsaugoti save ir savo organizaciją nuo „Snatch“ ir kitų išpirkos reikalaujančių programų:
- Atnaujinkite operacinę sistemą ir kurkite atsargines duomenų kopijas.
- Atlikite reguliarų slaptažodžio patikrinimą.
- Įdiekite daugiasluoksnę, visapusę saugos programinę įrangą, kad apsaugotumėte visus įėjimo taškus nuo išpirkos reikalaujančių programų atakų.
- Nuotolinės prieigos įrankių ir kitų pažeidžiamų programų apsauga, nes „Snatch“ užpuolikai samdo kitus nusikaltėlius, turinčius patirties naudojant žiniatinklio apvalkalus arba galinčius įsilaužti į SQL serverius per injekcijos atakas.
- Apsaugokite savo nuotolinio darbalaukio sąsają savo tinkle įvesdami juos už VPN, kad žmonės negalėtų jų pasiekti be VPN kredencialų.
- Reguliariai ir nuodugniai patikrinkite visus savo namuose ar organizacijoje esančius įrenginius, kad įsitikintumėte, jog jie yra apsaugoti ir stebimi, nes „Snatch“ naudoja tokius prieigos taškus ir atramas, kad įeitų.
- Nustatykite ir naudokite kelių veiksnių autentifikavimą bet kuriam jūsų organizacijos administratoriui, kad užpuolikai negalėtų žiauriai perimti jūsų kredencialus.
- Atlikite visą grėsmių paiešką savo tinkle, kad nustatytumėte bet kokią tokią veiklą prieš užsikrėtimą.
Taip pat „Guiding Tech“.
Apsaugokite savo sistemą
Snatch ransomware gali atrodyti beveik pavojinga gyvybei dėl to, kaip ji veikia, kad paralyžiuotų jūsų failus ir įrenginius. Prieš galvodami mokėti tą išpirką, išbandykite anksčiau nurodytus veiksmus, kad pašalintumėte grėsmę, ir visada imkitės prevencinių priemonių, kad tai ir tokios grėsmės nepasirodytų jūsų kompiuteryje ar tinkle.
Kitas: Jei įtariate, kad jūsų telefonas yra užkrėstas išpirkos reikalaujančia programine įranga, peržiūrėkite kitą mūsų straipsnį, kad sužinotumėte, kaip ją aptikti ir pašalinti.