Čo je Snatch Ransomware a ako ho odstrániť

Zdá sa, že vývojári kriminálneho softvéru nikdy nespia, pretože obrana rastie. Vždy hľadajú rôzne spôsoby, ako zdokonaliť svoje útočné zbrane. Jednou z najnovších techník je kmeň ransomvéru, ktorý môže prinútiť zariadenie so systémom Windows reštartujte do núdzového režimu tesne pred začiatkom šifrovania s cieľom obísť ochranu koncových bodov.

Tento konkrétny kmeň je známy ako Snatch vďaka svojim autorom, ktorí sa označujú ako Snatch Team. To bolo objavili výskumníci Sophos Labs, ktorí svoj objav načrtli spolu s postrehmi, ako sa takéto gangy prelamujú do podnikov a iných subjektov na ich hitparáde.

Vysvetlíme, čo je Snatch ransomware, ako funguje a ako ho môžete odstrániť zo svojich zariadení.

Tiež na Guiding Tech

Čo je Snatch Ransomware

Snatch je nový variant ransomvéru, ktorého spustiteľný program núti zariadenia so systémom Windows reštartovať sa do núdzového režimu. pred začatím procesu šifrovania v snahe obísť ochranu koncového bodu, ktorá sa v tomto často nespúšťa režim.

Objavili výskumníci SophosLabs a tím Sophos Managed Threat Response snatch ransomware patrí medzi viaceré komponenty konštelácie malvéru používa sa v prebiehajúcej sérii starostlivo organizovaných útokov s rozsiahlym zberom údajov.

The nový kmeň ransomvéru používa jedinečnú metódu infekcie, ktorá používa sofistikované šifrovanie AES, takže používatelia, ktorých počítače sú infikované, nemajú prístup k ich súborom.

Snatch ransomware bol prvýkrát výrazne aktívny v apríli 2019, ale bol vydaný koncom roka 2018. Avšak, nárast zašifrovaných súborov a výkupných poznámok viedol k jeho objaveniu a sledovaniu tímom výskumníkov v Sophose.

Jeho kryptovírusová forma útočí na vysokoprofilové ciele, no tento nový kmeň vytvoril pomocou Google Go obsahuje súbor nástrojov vrátane funkcie na krádeže údajov a ransomvéru. Navyše má a Kobaltový úder reverse-shell a ďalšie nástroje používané penetračnými testermi a systémovými administrátormi.

Poznámka: Variant, ktorý objavil Sophos, je možné spustiť iba v systéme Windows v 32-bitových a 64-bitových vydaniach od verzie 7 do 10.

Ako funguje Snatch Ransomware

Ako vírus na uzamknutie súborov nemá Snatch ransomware žiadne spojenie s inými kmeňmi. Napriek tomu jeho vývojári vydali deväť variantov hrozby, ktoré pridávajú rôzne rozšírenia po zašifrovaní údajov pomocou šifry AES.

Trik spočíva v reštartovaní počítačov do núdzového režimu a potom ransomvér obmedzí prístup k vašim údajom šifrovaním vašich súborov. Potom sa od vás hackeri pokúsia vymámiť peniaze žiadaním výkupného vo forme bitcoínov výmenou za odomknutie vašich súborov a vrátenie prístupu k údajom.

Existuje dôvod, prečo ich trik funguje. Niektorý antivírusový softvér sa nespustí v núdzovom režime a vývojári zistili, že môžu ľahko upraviť kľúč databázy Registry systému Windows a jednoducho spustiť počítač do núdzového režimu. Ransomvér teda beží nezistený vaším bezpečnostným softvérom.

Pri prvej inštalácii do vášho zariadenia prichádza cez SuperBackupMan, službu Windows, a nastavuje sa tesne predtým, ako sa počítač reštartuje, takže ho nemôžete zastaviť včas.

Po nainštalovaní útočníci použijú prístup správcu na spustenie BCDEDIT, nástroja príkazového riadka systému Windows, aby prinútili váš počítač, aby sa okamžite reštartoval v núdzovom režime.

Potom vytvorí náhodne pomenovaný spustiteľný súbor vo vašom priečinku %AppData% alebo %LocalAppData%, ktorý sa spustí a začne skenovať písmená jednotiek vášho počítača a hľadať súbory na šifrovanie.

Tiež na Guiding Tech

Súbory zacielené Snatch Ransomware

Existujú špecifické prípony súborov, ktoré šifruje, vrátane .doc, .docx, .pdf, .xls a mnohých ďalších, ktoré infikuje a mení ich prípony na Snatch, takže ich nemôžete znova otvoriť.

Ransomvér zanecháva textový súbor Readme_Restore_Files.txt s poznámkou, ktorá vyžaduje čokoľvek medzi jedným a piatimi bitcoínmi výmenou za dešifrovací kľúč s informáciami o tom, ako komunikovať s hackermi, aby získali vaše dátové súbory späť.

Keď ransomvér úplne skontroluje váš počítač, použije vssadmin.exe, príkaz systému Windows, na odstránenie všetkých tieňových kópií zväzku, aby ste ich nemohli obnoviť a použiť ich na obnovenie šifrovaných dátových súborov. Posledným krokom je šifrovať akékoľvek dátové súbory na vašom pevnom disku.

V súčasnosti sa infikované súbory nedajú dešifrovať kvôli sofistikovanej povahe použitého šifrovania AES. Stále však máte záchranné lano, ak je váš počítač infikovaný obnovením súborov z najnovšej zálohy.

Snatch ransomware sa zameriava na bežných používateľov prostredníctvom spamových e-mailov. Ale dnes sú hlavnými cieľmi korporácie. Zaplatením takýchto zločincov nielenže prídete o peniaze a nemáte žiadnu záruku, že vám pošlú dešifrovací kľúč, ale tiež ich to povzbudí, aby pokračovali vo svojej kybernetickej kriminalite.

Ak nemáte aktualizovanú zálohu, nezostáva vám nič iné, ako počkať, kým odborníci na bezpečnosť prídu s dešifrovačom ransomvéru Snatch. Môže to trvať dlho, ale existujú aj iné spôsoby, ako sa pred takýmito útokmi chrániť.

Ako odstrániť Snatch Ransomware z vášho počítača

Jedným z najlepších spôsobov, ako odstrániť Snatch ransomware a ďalší malvér, je nainštalovať dobrý antivírusový bezpečnostný softvér, ako je Malwarebytes alebo SpyHunter, ktorý dokáže skenovať, detekovať a eliminovať hrozbu. Nie všetky antivírusové nástroje ho dokážu zachytiť, pretože ide o úplne nový malvér, takže je dobré skenovať pomocou niekoľkých programov.

Pred útokmi ransomvéru môžete chrániť seba a svoje zariadenia jednoduchými krokmi ako napr sťahovanie softvéru z dôveryhodných zdrojov a vyhýbajte sa otváraniu e-mailových príloh z nedôveryhodných zdrojov.

Medzi ďalšie spôsoby, ako môžete chrániť seba a svoju organizáciu pred Snatch a inými typmi ransomvéru, patria:

• Udržujte aktualizovaný operačný systém a priebežne zálohujte svoje dáta.
• Vykonajte pravidelný audit hesla.
• Nasaďte viacvrstvový komplexný bezpečnostný softvér na ochranu všetkých vstupných bodov pred útokom ransomvéru.
• Zabezpečenie nástrojov pre vzdialený prístup a iných zraniteľných programov, pretože útočníci Snatch si najímajú iných zločincov so skúsenosťami s používaním webových shellov alebo schopných nabúrať sa do serverov SQL prostredníctvom injekčných útokov.
• Chráňte svoje rozhranie vzdialenej pracovnej plochy umiestnením za sieť VPN vo svojej sieti, aby k nim ľudia nemali prístup bez poverení VPN.
• Vykonávajte pravidelné a dôkladné kontroly všetkých zariadení vo vašej domácnosti alebo organizácii, aby ste sa uistili, že sú chránené a monitorované, pretože Snatch využíva takéto prístupové body a stupienky na získanie vstupu.
• Nastavte a používajte viacfaktorové overenie pre všetkých správcov vo vašej organizácii, aby útočníci nemohli hrubo vynútiť vaše poverenia.
• Vykonajte úplné vyhľadávanie hrozieb vo vašej sieti, aby ste identifikovali akúkoľvek takúto aktivitu pred infekciou.

Tiež na Guiding Tech

Chráňte svoj systém

Snatch ransomware môže znieť takmer život ohrozujúco, pretože paralyzuje vaše súbory a zariadenia. Predtým, ako budete premýšľať o zaplatení tohto výkupného, ​​vyskúšajte kroky uvedené vyššie na odstránenie hrozby a vždy vykonajte preventívne opatrenia, aby ste zabezpečili, že sa tieto a podobné hrozby neobjavia vo vašom počítači alebo sieti.

Ďalej: Ak máte podozrenie, že je váš telefón infikovaný ransomvérom, prečítajte si náš ďalší článok, v ktorom zistíte, ako to zistiť a odstrániť.