Kaj je Snatch Ransomware in kako ga odstraniti
Miscellanea / / December 02, 2021
Zdi se, da razvijalci kriminalne programske opreme nikoli ne spijo, ko se obramba dvigne. Vedno iščejo različne načine, kako izpiliti svoje orožje za napad. Ena najnovejših tehnik je sev izsiljevalske programske opreme, ki lahko prisili napravo Windows znova zaženite v varnem načinu tik pred začetkom šifriranja, ki namerava zaobiti zaščito končne točke.
Ta poseben sev je znan kot Snatch zaradi svojih avtorjev, ki se imenujejo Snatch Team. Bilo je odkrili raziskovalci Sophos Labs, ki je orisal svoje odkritje skupaj z vpogledi v to, kako takšne združbe vdirajo v podjetja in druge subjekte na njihovem seznamu zadetkov.
Razložili bomo, kaj je izsiljevalska programska oprema Snatch, kako deluje in kako jo lahko odstranite iz svojih naprav.
Tudi na Guiding Tech
Kaj je Snatch Ransomware
Snatch je nova različica izsiljevalske programske opreme, katere izvršljiva datoteka prisili naprave Windows, da se znova zaženejo v varnem načinu, celo preden se začne postopek šifriranja v ponudbi za obhod zaščite končne točke, ki se pri tem pogosto ne izvaja način.
Odkrili so ga raziskovalci SophosLabs in skupina Sophos Managed Threat Response, snatch ransomware je med številnimi komponentami konstelacije zlonamerne programske opreme se uporablja v seriji skrbno organiziranih napadov, ki se izvajajo z obsežnim zbiranjem podatkov.
The nova vrsta ransomware uporablja edinstveno metodo okužbe, ki uporablja prefinjeno šifriranje AES, tako da uporabniki, katerih stroji so okuženi, ne morejo dostopati do svojih datotek.
Snatch ransomware je bil prvič opazno aktiven aprila 2019, vendar je bil izdan konec leta 2018. Vendar pa je povečanje števila šifriranih datotek in zapiskov z odkupnino pripeljala do njegovega odkritja in spremljanja s strani skupine raziskovalcev pri Sophosu.
Njegova oblika kriptovirusa napada visoke tarče, vendar ta novi sev, ustvarjen z Google Go program, obsega zbirko orodij, vključno s funkcijo kraje podatkov in izsiljevalsko programsko opremo. Poleg tega ima Kobalt Strike reverse-shell in druga orodja, ki jih uporabljajo preizkuševalci penetracije in sistemski skrbniki.
Opomba: Različica, ki jo je odkril Sophos, lahko deluje samo v sistemu Windows v 32-bitnih in 64-bitnih izdajah od različice 7 do 10.
Kako deluje Snatch Ransomware
Kot virus za zaklepanje datotek Snatch ransomware nima nobene povezave z drugimi sevi. Kljub temu so njeni razvijalci izdali devet različic grožnje, ki dodajo različne razširitve, potem ko so podatki šifrirani s šifro AES.
Trik je v ponovnem zagonu strojev v varnem načinu, nato pa izsiljevalska programska oprema omeji dostop do vaših podatkov s šifriranjem datotek. Po tem hekerji poskušajo izsiliti denar od vas tako, da zahtevajo odkupnino v obliki bitcoinov v zameno za odklepanje vaših datotek in vrnitev dostopa do podatkov.
Obstaja razlog, zakaj njihov trik deluje. Nekatera protivirusna programska oprema se ne zažene v varnem načinu in razvijalci so odkrili, da lahko preprosto spremenijo registrski ključ Windows in samo zaženejo vaš računalnik v varnem načinu. Tako izsiljevalska programska oprema deluje neopaženo s strani vaše varnostne programske opreme.
Ko je prvič nameščen v vaši napravi, pride prek storitve SuperBackupMan, storitve Windows, in se nastavi tik pred ponovnim zagonom računalnika, tako da ga ne morete pravočasno ustaviti.
Ko so nameščeni, napadalci uporabijo skrbniški dostop za zagon BCDEDIT, orodja ukazne vrstice Windows, da prisilijo vaš računalnik, da se takoj znova zažene v varnem načinu.
Nato v vaši mapi %AppData% ali %LocalAppData% ustvari naključno imenovano izvedljivo datoteko, ki se bo zagnala in začela skenirati črke pogona vašega računalnika za datoteke za šifriranje.
Tudi na Guiding Tech
Datoteke, ki jih cilja Snatch Ransomware
Obstajajo določene razširitve datotek, ki jih šifrira, vključno z .doc, .docx, .pdf, .xls in številnimi drugimi, ki jih okuži in spremeni njihove razširitve v Snatch, tako da jih ne morete znova odpreti.
Izsiljevalska programska oprema pusti opombo z besedilno datoteko Readme_Restore_Files.txt in zahteva karkoli med enim in petimi bitcoini v zameno za ključ za dešifriranje z informacijami o tem, kako komunicirati s hekerji, da bi dobili vaše podatkovne datoteke nazaj.
Ko izsiljevalska programska oprema v celoti pregleda vaš računalnik, uporabi vssadmin.exe, ukaz Windows, da izbriše vse kopije senčnih količin na njem, tako da jih ne morete obnoviti in uporabiti za obnovitev šifriranih podatkovnih datotek. Zadnji korak je, da šifrirajte vse podatkovne datoteke na vašem trdem disku.
Trenutno okuženih datotek ni mogoče dešifrirati zaradi prefinjene narave uporabljenega šifriranja AES. Vendar pa imate še vedno rešitev, če je vaš računalnik okužen z obnovitvijo datotek iz najnovejše varnostne kopije.
Snatch ransomware cilja na redne uporabnike prek neželene e-pošte. Toda danes so glavne tarče korporacije. S plačilom takšnim kriminalcem ne samo izgubite denar in nimate nobenega zagotovila, da vam bodo poslali ključ za dešifriranje, ampak jih tudi spodbuja, da nadaljujejo s svojo kibernetsko kriminaliteto.
Če nimate posodobljene varnostne kopije, ne morete storiti veliko drugega kot počakati, da varnostni strokovnjaki pripravijo dešifriranje Snatch ransomware. To lahko traja dolgo, vendar obstajajo drugi načini, kako se lahko zaščitite pred takšnimi napadi.
Kako odstraniti Snatch Ransomware iz računalnika
Eden najboljših načinov za odstranitev izsiljevalske in druge zlonamerne programske opreme Snatch je namestitev dobre protivirusne varnostne programske opreme, kot sta Malwarebytes ali SpyHunter, ki lahko skenira, zazna in odpravi grožnjo. Vsi protivirusni motorji ga ne morejo ujeti, ker gre za povsem novo zlonamerno programsko opremo, zato je dobro skenirati z več programi.
Sebe in svoje naprave lahko zaščitite pred napadi izsiljevalske programske opreme s preprostimi koraki, kot je npr prenašanje programske opreme iz zaupanja vrednih virov in se izogibajte odpiranju e-poštnih prilog iz nezaupanja vrednih virov viri.
Drugi načini, kako lahko zaščitite sebe in svojo organizacijo pred Snatch in drugimi vrstami izsiljevalske programske opreme, vključujejo:
- Ohranite posodobljen operacijski sistem in varnostno kopirajte svoje podatke.
- Opravite redno revizijo gesla.
- Namestite večplastno, celovito varnostno programsko opremo za zaščito vseh vstopnih točk pred napadom izsiljevalske programske opreme.
- Zavarovanje orodij za oddaljeni dostop in drugih ranljivih programov, ker napadalci Snatch najamejo druge kriminalce, ki imajo izkušnje z uporabo spletnih lupin ali lahko vdrejo v strežnike SQL z napadi z injekcijo.
- Zaščitite svoj vmesnik oddaljenega namizja tako, da ga postavite za VPN v vašem omrežju, tako da ljudje do njih ne bodo dostopali brez poverilnic VPN.
- Izvajajte redne in temeljite preglede vseh naprav v vašem domu ali organizaciji, da zagotovite, da so zaščitene in nadzorovane, saj Snatch izkorišča takšne dostopne točke in opore za vstop.
- Nastavite in uporabite večfaktorsko preverjanje pristnosti za vse skrbnike v vaši organizaciji, tako da napadalci ne bodo mogli nasilno vsiliti vaših poverilnic.
- Izvedite popolno iskanje groženj v vašem omrežju, da ugotovite kakršno koli takšno dejavnost pred okužbo.
Tudi na Guiding Tech
Zaščitite svoj sistem
Snatch ransomware lahko zveni skoraj smrtno nevarno, saj deluje, da paralizira vaše datoteke in naprave. Preden pomislite na plačilo te odkupnine, poskusite z zgornjimi koraki odstraniti grožnjo in vedno sprejmete preventivne ukrepe, da zagotovite, da se te in takšne grožnje ne bodo pojavile v vašem računalniku ali omrežju.
Naslednji: Če sumite, da je vaš telefon okužen z izsiljevalsko programsko opremo, si oglejte naš naslednji članek, če želite izvedeti, kako to zaznati in odstraniti.