Шта је Снатцх Рансомваре и како га уклонити

Чини се да програмери софтвера за криминал никада не спавају док одбрана расте. Они су увек у потрази за различитим начинима да оспособе своје оружје за напад. Једна од најновијих техника је сој рансомваре-а који може приморати Виндовс уређај поново покрените у безбедном режиму непосредно пре него што шифровање започне, намеравајући да заобиђе заштиту крајње тачке.

Овај конкретан сој је познат као Снатцх захваљујући својим ауторима, који себе називају Снатцх Теам. Било је открили истраживачи Сопхос Лабс, који су изнели своје откриће заједно са увидом у то како такве банде проваљују у предузећа и друге ентитете на њиховој листи за напад.

Објаснићемо шта је Снатцх рансомваре, како функционише и како можете да га уклоните са својих уређаја.

Такође на Гуидинг Тецх

Шта је Снатцх Рансомваре

Снатцх је нова варијанта рансомваре-а чија извршна приморава Виндовс уређаје да се поново покрену у безбедном режиму чак и пре него што процес шифровања почне у покушају да се заобиђе заштита крајње тачке која се често не ради у овом случају режим.

Открили су истраживачи СопхосЛабс и Сопхос Манагед Тхреат Респонсе тим, уграби рансомваре је међу више компоненти констелације злонамерног софтвера који се користи у континуираној серији пажљиво оркестрираних напада који обухватају обимно прикупљање података.

Тхе нова врста рансомваре-а користи јединствени метод инфекције који примењује софистицирану АЕС енкрипцију тако да корисници чије су машине заражене не могу да приступе својим датотекама.

Снатцх рансомваре је први пут био приметно активан у априлу 2019, али је објављен крајем 2018. Међутим повећање броја шифрованих датотека и белешки о откупнини довела до његовог открића и праћења од стране тима истраживача на Софосу.

Његов облик крипто-вируса напада мете високог профила, али овај нови сој, креиран коришћењем Гоогле Го програм, садржи колекцију алата укључујући функцију крађе података и рансомваре. Плус, има а Цобалт Стрике реверсе-схелл и други алати које користе тестери пенетрације и администратори система.

Белешка: Варијанта коју је открио Сопхос може да ради на Виндовс-у само у 32-битним и 64-битним издањима од верзије 7 до 10.

Како функционише Снатцх Рансомваре

Као вирус за закључавање датотека, Снатцх рансомваре нема везе са другим сојевима. Ипак, њени програмери су објавили девет варијанти претње, које додају различите екстензије након што су подаци шифровани АЕС шифром.

Трик је да поново покренете машине у безбедном режиму, а затим рансомвер ограничава приступ вашим подацима шифровањем ваших датотека. Након тога, хакери покушавају да изнуде новац од вас тражећи откупнину у облику биткоина у замену за откључавање ваших датотека и враћање приступа подацима.

Постоји разлог зашто њихов трик функционише. Неки антивирусни софтвер се не покреће у безбедном режиму, а програмери су открили да могу лако да измене кључ регистратора оперативног система Виндовс и једноставно покрену вашу машину у безбедном режиму. Дакле, рансомваре ради неоткривен од стране вашег безбедносног софтвера.

Први пут када се инсталира на ваш уређај, долази преко СуперБацкупМан-а, Виндовс услуге, и поставља се непосредно пре него што рачунар почне да се поново покреће, тако да не можете да га зауставите на време.

Једном инсталирани, нападачи користе администраторски приступ за покретање БЦДЕДИТ, Виндовс алатке командне линије, како би натерали ваш рачунар да се одмах поново покрене у безбедном режиму.

Затим креира извршну датотеку са случајним именом у вашој фасцикли %АппДата% или %ЛоцалАппДата%, која ће бити покренута и почиње да скенира слова диск јединице вашег рачунара у потрази за датотекама за шифровање.

Такође на Гуидинг Тецх

Датотеке које циља Снатцх Рансомваре

Постоје специфичне екстензије датотека које шифрује, укључујући .доц, .доцк, .пдф, .клс и многе друге, које инфицира и мења њихове екстензије у Снатцх тако да не можете поново да их отворите.

Рансомвер оставља напомену о текстуалној датотеци Реадме_Ресторе_Филес.ткт, захтевајући било шта између једног и пет биткоина у замену за кључ за дешифровање, са информацијама о томе како да комуницирате са хакерима да бисте добили ваше датотеке са подацима назад.

Након што рансомваре у потпуности скенира ваш рачунар, користи вссадмин.еке, Виндовс команду за брисање свих копија сенки на њему, тако да не можете да их опоравите и користите за враћање шифрованих датотека са подацима. Последњи корак је да шифрујте све датотеке са подацима на вашем чврстом диску.

Тренутно се заражене датотеке не могу дешифровати због софистициране природе коришћене АЕС енкрипције. Међутим, још увек имате спас ако је ваш рачунар заражен враћањем датотека из најновије резервне копије.

Снатцх рансомваре је циљао обичне кориснике путем нежељене е-поште. Али данас су главне мете корпорације. Плаћањем таквим криминалцима не само да губите новац и немате гаранцију да ће вам послати кључ за дешифровање, већ их то такође подстиче да наставе са својим сајбер криминалом.

Ако немате ажурирану резервну копију, не можете ништа друго да урадите осим да сачекате док стручњаци за безбедност не пронађу Снатцх рансомваре дешифровање. То би могло потрајати, али постоје и други начини да се заштитите од таквих напада.

Како уклонити Снатцх Рансомваре са свог рачунара

Један од најбољих начина да уклоните Снатцх рансомваре и други злонамерни софтвер је инсталирање доброг антивирусног безбедносног софтвера као што је Малваребитес или СпиХунтер који може да скенира, открије и елиминише претњу. Не могу га сви антивирусни мотори ухватити јер је то потпуно нов малвер, па је добро скенирати помоћу неколико програма.

Можете заштитити себе и своје уређаје од напада рансомвера тако што ћете предузети једноставне кораке као што су преузимање софтвера из поузданих извора и избегавање отварања прилога е-поште од непоузданих извори.

Други начини на које можете заштитити себе и своју организацију од Снатцх-а и других врста рансомваре-а укључују:

• Одржавајте ажуриран оперативни систем и наставите да правите резервне копије података.
• Извршите редовну ревизију лозинке.
• Примените вишеслојни, свеобухватни безбедносни софтвер да бисте заштитили све улазне тачке од напада рансомваре-а.
• Обезбеђивање алата за даљински приступ и других рањивих програма јер Снатцх нападачи унајмљују друге криминалце са искуством у коришћењу веб шкољки или способним да хакују СКЛ сервере путем напада убризгавањем.
• Заштитите свој интерфејс удаљене радне површине тако што ћете их ставити иза ВПН-а на вашој мрежи тако да им људи неће приступати без ВПН акредитива.
• Вршите редовне и темељне провере свих уређаја у вашем дому или организацији како бисте били сигурни да су заштићени и надгледани док Снатцх користи такве приступне тачке и упоришта за улазак.
• Подесите и користите вишефакторску аутентификацију за све администраторе у вашој организацији тако да нападачи не могу грубо да наметну ваше акредитиве.
• Извршите потпуни лов на претње на вашој мрежи да бисте идентификовали такву активност пре инфекције.

Такође на Гуидинг Тецх

Заштитите свој систем

Снатцх рансомваре може звучати готово опасно по живот јер парализује ваше датотеке и уређаје. Пре него што помислите да платите откупнину, испробајте горенаведене кораке да бисте уклонили претњу и увек предузимајте превентивне мере како бисте осигурали да се ове и такве претње не појављују на вашем рачунару или мрежи.

Следеће: Ако сумњате да је ваш телефон заражен рансомвером, погледајте наш следећи чланак да бисте сазнали како да то откријете и уклоните.