Hva er Snatch Ransomware og hvordan fjerne det
Miscellanea / / December 02, 2021
Det virker som utviklere av kriminalitet aldri sover når forsvaret øker. De er alltid på utkikk etter forskjellige måter å finpusse angrepsvåpnene sine på. En av de nyeste teknikkene er en løsepengevarestamme som kan tvinge en Windows-enhet til start på nytt i sikkermodus rett før kryptering begynner, med hensikt å omgå endepunktbeskyttelse.
![Snatch Ransomware Slik fjerner du utvalgte](/f/0cfc97283dc0925160bd53443a644e7b.jpg)
Denne spesielle stammen er kjent som Snatch på grunn av forfatterne, som omtaler seg selv som Snatch Team. Det var oppdaget av Sophos Labs forskere, som skisserte oppdagelsen deres sammen med innsikt i hvordan slike gjenger bryter seg inn i bedrifter og andre enheter på trefflisten deres.
Vi skal forklare hva Snatch ransomware er, hvordan det fungerer, og hvordan du kan fjerne det fra enhetene dine.
Også på Guiding Tech
Hva er Snatch Ransomware
Snatch er en fersk ransomware-variant hvis kjørbare tvinger Windows-enheter til å starte på nytt til sikkermodus selv før krypteringsprosessen starter i et forsøk på å omgå endepunktbeskyttelse som ofte ikke kjører i dette modus.
Oppdaget av SophosLabs-forskere og Sophos Managed Threat Response-team snatch ransomware er blant flere malware-konstellasjonskomponenter blir brukt i en pågående serie med nøye orkestrerte angrep med omfattende datainnsamling.
![Snatch Ransomware Hvordan fjerne angrep](/f/0e6b88e513769c305efa09dd8f8b51c9.jpg)
De ny stamme av løsepengevaren bruker en unik infeksjonsmetode som bruker sofistikert AES-kryptering slik at brukere hvis maskiner er infisert, ikke får tilgang til filene deres.
Snatch ransomware var først merkbart aktiv i april 2019, men den ble utgitt i slutten av 2018. Imidlertid økning i krypterte filer og løsepenger førte til oppdagelsen og oppfølgingen av forskerteamet ved Sophos.
Dens kryptovirusform angriper høyprofilerte mål, men denne nye stammen, opprettet ved hjelp av Google Go programmet, omfatter en samling av verktøy, inkludert en datatyver og løsepenge-funksjon. I tillegg har den en Cobalt Strike reverse-shell og andre verktøy som brukes av penetrasjonstestere og systemadministratorer.
Merk: Varianten Sophos oppdaget kan bare kjøres på Windows i 32-biters og 64-biters utgaver fra versjon 7 til 10.
Hvordan Snatch Ransomware fungerer
Som et fillåsende virus har Snatch ransomware ingen forbindelser med andre stammer. Likevel ga utviklerne ut ni varianter av trusselen, som legger til forskjellige utvidelser etter at data er kryptert med AES-chiffer.
Trikset er å starte maskiner på nytt i sikkermodus, og deretter begrenser løsepengevaren tilgangen til dataene dine ved å kryptere filene dine. Etter det prøver hackerne å presse penger fra deg ved å be om løsepenger i form av Bitcoin i bytte mot å låse opp filene dine og gi tilbake datatilgang.
![Snatch Ransomware Hvordan fjerne verk](/f/40382a8225d4178f3bb0d2753b1f95bf.jpg)
Det er en grunn til at trikset deres fungerer. Noe antivirusprogramvare starter ikke i sikkermodus, og utviklerne oppdaget at de enkelt kunne endre en Windows-registernøkkel og bare starte maskinen i sikkermodus. Dermed kjører løsepengevaren uoppdaget av sikkerhetsprogramvaren din.
Første gang den installeres på enheten din, kommer den gjennom SuperBackupMan, en Windows-tjeneste, og konfigureres rett før datamaskinen starter på nytt, slik at du ikke kan stoppe den i tide.
![Snatch Ransomware Slik fjerner du Superbackupman](/f/c9f40ba3d243e427b1f9bfa5b0f51477.png)
Når den er installert, bruker angriperne administratortilgang til å kjøre BCDEDIT, et Windows-kommandolinjeverktøy, for å tvinge datamaskinen til å starte på nytt i sikkermodus umiddelbart.
Den oppretter deretter en tilfeldig navngitt kjørbar fil i mappen %AppData% eller %LocalAppData%, som vil bli lansert og begynner å skanne datamaskinens stasjonsbokstaver for filer som skal krypteres.
Også på Guiding Tech
Filer målrettet av Snatch Ransomware
Det er spesifikke filutvidelser den krypterer, inkludert .doc, .docx, .pdf, .xls og mange andre, som den infiserer og endrer utvidelsene deres til Snatch slik at du ikke kan åpne dem igjen.
Løsepengevaren etterlater et Readme_Restore_Files.txt-tekstfilnotat, som krever alt mellom én og fem Bitcoin i bytte mot en dekrypteringsnøkkel, med informasjon om hvordan du kan kommunisere med hackerne for å få datafilene dine tilbake.
![Snatch Ransomware Slik fjerner du melding](/f/671921ad3bb068af9113a46e525f0495.png)
Etter at løsepengevaren skanner datamaskinen fullstendig, bruker den vssadmin.exe, en Windows-kommando for å slette alle Shadow Volume Copies på den, slik at du ikke kan gjenopprette og bruke dem til å gjenopprette krypterte datafiler. Det siste trinnet er å kryptere alle datafiler på harddisken din.
Foreløpig er infiserte filer ikke dekrypterbare på grunn av den sofistikerte naturen til AES-krypteringen som brukes. Du har imidlertid fortsatt en livline hvis datamaskinen din er infisert ved å gjenopprette filene dine fra den siste sikkerhetskopien.
![Snatch Ransomware Slik fjerner du filgissel](/f/f782a311a5c6ac48452648b63965d531.jpg)
Snatch ransomware har vært rettet mot vanlige brukere via spam-e-poster. Men i dag er hovedmålene selskaper. Ved å betale slike kriminelle taper du ikke bare penger og har ingen garanti for at de sender dekrypteringsnøkkelen til deg, men det oppmuntrer dem også til å fortsette med cyberkriminalitet.
Hvis du ikke har en oppdatert sikkerhetskopi, er det ikke mye annet du kan gjøre enn å vente til sikkerhetseksperter kommer opp med en Snatch ransomware-dekryptering. Det kan ta lang tid, men det er andre måter du kan beskytte deg mot slike angrep.
Hvordan fjerne Snatch Ransomware fra datamaskinen
En av de beste måtene å fjerne Snatch-ransomware og annen skadelig programvare er å installere god antivirus-sikkerhetsprogramvare som Malwarebytes eller SpyHunter som kan skanne, oppdage og eliminere trusselen. Ikke alle antivirusmotorer kan fange det fordi det er en helt ny skadelig programvare, så det er greit å skanne med flere programmer.
Du kan beskytte deg selv og enhetene dine mot ransomware-angrep ved å ta enkle grep som f.eks laste ned programvare fra pålitelige kilder, og unngå å åpne e-postvedlegg fra uklarerte kilder.
![Snatch Ransomware Slik fjerner du filtyper](/f/42b4cdaf66535edce41ace5856a29b30.jpg)
Andre måter du kan beskytte deg selv og organisasjonen din mot Snatch og andre typer løsepengeprogramvare inkluderer:
- Oppretthold et oppdatert operativsystem og fortsett å sikkerhetskopiere dataene dine.
- Utfør regelmessig passordrevisjon.
- Implementer flerlags, omfattende sikkerhetsprogramvare for å beskytte alle inngangspunkter mot et løsepengeangrep.
- Sikring av fjerntilgangsverktøy og andre sårbare programmer fordi Snatch-angripere ansetter andre kriminelle med erfaring med bruk av nettskall eller som er i stand til å hacke seg inn i SQL-servere via injeksjonsangrep.
- Beskytt grensesnittet for eksternt skrivebord ved å plassere dem bak en VPN på nettverket ditt, slik at folk ikke får tilgang til dem uten VPN-legitimasjon.
- Kjør regelmessige og grundige kontroller på alle enheter i hjemmet eller organisasjonen for å sikre at de er beskyttet og overvåket ettersom Snatch utnytter slike tilgangspunkter og fotfester for å komme inn.
- Konfigurer og bruk multifaktorautentisering for alle administratorer i organisasjonen din, slik at angripere ikke kan brutalt tvinge legitimasjonen din.
- Utfør en fullstendig trusseljakt på nettverket ditt for å identifisere slik aktivitet før infeksjon.
Også på Guiding Tech
Beskytt systemet ditt
Snatch ransomware kan høres nesten livstruende ut i hvordan det fungerer for å lamme filene og enhetene dine. Før du tenker på å betale løsepengene, prøv fremgangsmåten ovenfor for å fjerne trusselen og ta alltid forebyggende tiltak for å sikre at denne og slike trusler ikke vises på datamaskinen eller nettverket.
Neste: Hvis du mistenker at telefonen din er infisert med løsepengevare, sjekk vår neste artikkel for å finne ut hvordan du oppdager det og fjerner det.