Wat is Snatch Ransomware en hoe het te verwijderen?
Diversen / / December 02, 2021
Het lijkt erop dat crimeware-ontwikkelaars nooit slapen als de verdediging stijgt. Ze zijn altijd op zoek naar verschillende manieren om hun aanvalswapens aan te scherpen. Een van de meest recente technieken is een ransomware-stam die een Windows-apparaat kan dwingen om herstart in veilige modus vlak voordat de versleuteling begint, met de bedoeling de eindpuntbeveiliging te omzeilen.
Deze specifieke soort staat bekend als Snatch vanwege de auteurs, die zichzelf het Snatch Team noemen. Het was ontdekt door onderzoekers van Sophos Labs, die hun ontdekking schetsten samen met inzichten in hoe dergelijke bendes inbreken bij bedrijven en andere entiteiten op hun hitlijst.
We gaan uitleggen wat Snatch ransomware is, hoe het werkt en hoe je het van je apparaten kunt verwijderen.
Ook over Guiding Tech
Wat is Snatch Ransomware?
Snatch is een nieuwe ransomware-variant waarvan het uitvoerbare bestand Windows-apparaten dwingt om zelfs opnieuw op te starten naar de veilige modus voordat het versleutelingsproces begint in een poging om eindpuntbeveiliging te omzeilen die hierin vaak niet wordt uitgevoerd modus.
Ontdekt door SophosLabs-onderzoekers en Sophos Managed Threat Response-team, de snatch ransomware is een van de vele componenten van malware constellatie wordt gebruikt in een voortdurende reeks zorgvuldig georkestreerde aanvallen met uitgebreide gegevensverzameling.
De nieuwe stam van de ransomware gebruikt een unieke infectiemethode die geavanceerde AES-codering toepast, zodat gebruikers van wie de machines zijn geïnfecteerd geen toegang hebben tot hun bestanden.
Snatch ransomware was voor het eerst merkbaar actief in april 2019, maar werd eind 2018 uitgebracht. echter, de piek in versleutelde bestanden en losgeldbriefjes leidde tot de ontdekking en follow-up door het team van onderzoekers van Sophos.
De vorm van het cryptovirus valt spraakmakende doelen aan, maar deze nieuwe stam, gemaakt met behulp van Google Go programma, bestaat uit een verzameling tools, waaronder een data-stealer en ransomware-functie. Bovendien heeft het een Cobalt Strike reverse-shell en andere tools die worden gebruikt door penetratietesters en systeembeheerders.
Opmerking: De door Sophos ontdekte variant kan alleen op Windows worden uitgevoerd in 32-bits en 64-bits edities van versie 7 tot en met 10.
Hoe Snatch Ransomware werkt
Als een bestandsvergrendelingsvirus heeft Snatch ransomware geen connecties met andere stammen. Toch hebben de ontwikkelaars negen varianten van de dreiging uitgebracht, die verschillende extensies toevoegen nadat de gegevens zijn versleuteld met AES-codering.
De truc is om machines opnieuw op te starten in de veilige modus, waarna de ransomware de toegang tot uw gegevens beperkt door uw bestanden te versleutelen. Daarna proberen de hackers geld van u af te persen door losgeld te vragen in de vorm van Bitcoin in ruil voor het ontgrendelen van uw bestanden en het teruggeven van gegevenstoegang.
Er is een reden waarom hun truc werkt. Sommige antivirussoftware start niet in de veilige modus en de ontwikkelaars ontdekten dat ze gemakkelijk een Windows-registersleutel konden wijzigen en uw machine gewoon in de veilige modus konden opstarten. De ransomware wordt dus niet gedetecteerd door uw beveiligingssoftware.
De eerste keer dat het op uw apparaat wordt geïnstalleerd, komt het via SuperBackupMan, een Windows-service, en wordt het ingesteld vlak voordat uw computer opnieuw opstart, zodat u het niet op tijd kunt stoppen.
Na installatie gebruiken de aanvallers beheerderstoegang om BCDEDIT, een Windows-opdrachtregelprogramma, uit te voeren om uw computer te dwingen onmiddellijk opnieuw op te starten in de Veilige modus.
Vervolgens wordt een willekeurig uitvoerbaar bestand met de naam gemaakt in uw map %AppData% of %LocalAppData%, dat wordt gestart en begint met het scannen van de stationsletters van uw computer op bestanden om te coderen.
Ook over Guiding Tech
Bestanden die het doelwit zijn van Snatch Ransomware
Er zijn specifieke bestandsextensies die het codeert, waaronder .doc, .docx, .pdf, .xls en vele andere, die het infecteert en hun extensies verandert in Snatch, zodat je ze niet opnieuw kunt openen.
De ransomware laat een Readme_Restore_Files.txt-tekstbestandsnotitie achter en eist iets tussen één en vijf Bitcoin in ruil voor een decoderingssleutel, met informatie over hoe u met de hackers kunt communiceren om uw gegevensbestanden te krijgen rug.
Nadat de ransomware uw computer volledig heeft gescand, gebruikt het vssadmin.exe, een Windows-opdracht om alle schaduwvolume-kopieën erop te verwijderen, zodat u ze niet kunt herstellen en ze gebruiken om versleutelde gegevensbestanden te herstellen. De laatste stap is om alle gegevensbestanden versleutelen op uw harde schijf.
Momenteel zijn geïnfecteerde bestanden niet decodeerbaar vanwege de geavanceerde aard van de gebruikte AES-codering. U hebt echter nog steeds een reddingslijn als uw computer is geïnfecteerd door uw bestanden te herstellen vanaf de meest recente back-up.
Snatch ransomware is gericht op reguliere gebruikers via spam e-mails. Maar vandaag zijn de belangrijkste doelwitten bedrijven. Door dergelijke criminelen te betalen, verliest u niet alleen geld en hebt u geen garantie dat ze de decoderingssleutel naar u zullen sturen, maar het moedigt hen ook aan om door te gaan met hun cybercriminaliteit.
Als je geen bijgewerkte back-up hebt, kun je niet veel anders doen dan wachten tot beveiligingsexperts met een Snatch ransomware-decrypter komen. Dat kan lang duren, maar er zijn andere manieren om jezelf tegen dergelijke aanvallen te beschermen.
Hoe Snatch Ransomware van uw computer te verwijderen
Een van de beste manieren om Snatch-ransomware en andere malware te verwijderen, is door goede antivirussoftware te installeren, zoals Malwarebytes of SpyHunter, die de dreiging kan scannen, detecteren en elimineren. Niet alle antivirus-engines kunnen het vangen omdat het een geheel nieuwe malware is, dus het is goed om met verschillende programma's te scannen.
U kunt uzelf en uw apparaten beschermen tegen ransomware-aanvallen door eenvoudige stappen te nemen, zoals: software downloaden van vertrouwde bronnen en vermijd het openen van e-mailbijlagen van niet-vertrouwde bronnen.
Andere manieren waarop u uzelf en uw organisatie kunt beschermen tegen Snatch en andere soorten ransomware zijn onder meer:
- Zorg voor een bijgewerkt besturingssysteem en blijf back-ups maken van uw gegevens.
- Voer een regelmatige wachtwoordcontrole uit.
- Implementeer meerlaagse, uitgebreide beveiligingssoftware om alle toegangspunten te beschermen tegen een ransomware-aanval.
- Hulpmiddelen voor externe toegang en andere kwetsbare programma's beveiligen omdat Snatch-aanvallers andere criminelen inhuren die ervaring hebben met het gebruik van webshells of die SQL-servers kunnen hacken via injectieaanvallen.
- Bescherm uw Remote Desktop-interface door ze achter een VPN op uw netwerk te plaatsen, zodat mensen er geen toegang toe hebben zonder VPN-inloggegevens.
- Voer regelmatige en grondige controles uit op alle apparaten in uw huis of organisatie om ervoor te zorgen dat ze worden beschermd en gecontroleerd, aangezien Snatch dergelijke toegangspunten en steunpunten gebruikt om toegang te krijgen.
- Stel multi-factor authenticatie in en gebruik deze voor alle beheerders in uw organisatie, zodat aanvallers uw inloggegevens niet bruut kunnen forceren.
- Voer een volledige jacht op bedreigingen uit op uw netwerk om dergelijke activiteiten vóór infectie te identificeren.
Ook over Guiding Tech
Bescherm uw systeem
Snatch ransomware klinkt misschien bijna levensbedreigend in hoe het werkt om uw bestanden en apparaten te verlammen. Voordat u eraan denkt om losgeld te betalen, moet u de bovenstaande stappen proberen om de dreiging te verwijderen en altijd preventieve maatregelen nemen om ervoor te zorgen dat deze en dergelijke dreigingen niet op uw computer of netwerk verschijnen.
Volgende: Als je vermoedt dat je telefoon is geïnfecteerd met ransomware, lees dan ons volgende artikel om erachter te komen hoe je dat kunt detecteren en verwijderen.