Що таке Snatch Ransomware і як його видалити

Здається, що розробники злочинного програмного забезпечення ніколи не сплять, коли оборона зростає. Вони завжди шукають різні способи відточувати свою зброю атаки. Однією з найновіших методів є використання програм-вимагачів, які можуть змусити пристрій Windows перезавантажтеся в безпечний режим безпосередньо перед початком шифрування, маючи намір обійти захист кінцевої точки.

Цей конкретний штам відомий як Snatch завдяки його авторам, які називають себе командою Snatch. Це було виявили дослідники Sophos Labs, який окреслив своє відкриття разом із розумінням того, як такі банди проникають на підприємства та інші організації з їхнього списку хіт.

Ми збираємося пояснити, що таке програмне забезпечення-вимагач Snatch, як воно працює та як ви можете видалити його зі своїх пристроїв.

Також на Guiding Tech

Що таке Snatch Ransomware

Snatch — це новий варіант програмного забезпечення-вимагача, виконуваний файл якого змушує пристрої Windows навіть перезавантажуватися в безпечний режим перед початком процесу шифрування в спробі обійти захист кінцевої точки, який часто не виконується в цьому режим.

Виявлений дослідниками SophosLabs та командою керованого реагування на загрози Sophos, випадкове програмне забезпечення-вимагач є одним із багатьох компонентів групи шкідливих програм використовується в серії ретельно організованих атак, що включають великий збір даних.

The новий тип програм-вимагачів використовує унікальний метод зараження, який застосовує складне шифрування AES, щоб користувачі, чиї машини заражені, не могли отримати доступ до своїх файлів.

Програма-вимагач Snatch була вперше помітно активна в квітні 2019 року, але була випущена в кінці 2018 року. Однак, збільшення кількості зашифрованих файлів і нотаток про викуп привів до його відкриття та дослідженню командою дослідників з Sophos.

Його форма криптовірусу атакує високопрофільні цілі, але це новий штам, створений за допомогою Google Go Програма включає в себе набір інструментів, включаючи крадіжку даних і функцію вимагання. Крім того, він має Кобальтовий удар reverse-shell та інші інструменти, які використовуються тестувальниками на проникнення та системними адміністраторами.

Примітка: Виявлений Sophos варіант може працювати лише в Windows у 32-розрядних і 64-розрядних версіях від 7 до 10.

Як працює Snatch Ransomware

Як вірус блокування файлів, Snatch ransomware не має зв’язків з іншими штамами. Тим не менш, її розробники випустили дев'ять варіантів загрози, які додають різні розширення після шифрування даних за допомогою шифру AES.

Хитрість полягає в тому, щоб перезавантажити машини в безпечний режим, а потім програма-вимагач обмежує доступ до ваших даних, шифруючи файли. Після цього хакери намагаються вимагати у вас гроші, вимагаючи викуп у вигляді біткойнів в обмін на розблокування ваших файлів і повернення доступу до даних.

Є причина, чому їх трюк спрацьовує. Деякі антивірусні програми не запускаються в безпечному режимі, і розробники виявили, що вони можуть легко змінити ключ реєстру Windows і просто завантажити комп’ютер у безпечному режимі. Таким чином, програмне забезпечення-вимагач працює непомітно вашим програмним забезпеченням безпеки.

Коли його вперше встановлено на вашому пристрої, воно надходить через SuperBackupMan, службу Windows, і налаштовується безпосередньо перед початком перезавантаження комп’ютера, тому ви не можете його вчасно зупинити.

Після встановлення зловмисники використовують доступ адміністратора для запуску BCDEDIT, інструменту командного рядка Windows, щоб негайно змусити ваш комп’ютер перезавантажитися в безпечному режимі.

Потім у вашій папці %AppData% або %LocalAppData% створюється виконуваний файл із випадковим іменем, який буде запущено та почне сканувати літери дисків вашого комп’ютера на наявність файлів для шифрування.

Також на Guiding Tech

Файли, націлені на Snatch Ransomware

Існують певні розширення файлів, які він шифрує, зокрема .doc, .docx, .pdf, .xls та багато інших, які він заражає та змінює їхні розширення на Snatch, щоб ви не могли відкрити їх знову.

Програма-вимагач залишає текстовий файл Readme_Restore_Files.txt, вимагаючи від одного до п’яти біткойнів в обмін на ключ дешифрування з інформацією про те, як зв’язатися з хакерами, щоб отримати ваші файли даних назад.

Після того, як програма-вимагач повністю сканує ваш комп’ютер, вона використовує vssadmin.exe, команду Windows, щоб видалити всі копії тіньових томів на ньому, щоб ви не могли відновити та використовувати їх для відновлення зашифрованих файлів даних. Останній крок – це шифрувати будь-які файли даних на вашому жорсткому диску.

Наразі заражені файли неможливо розшифрувати через складний характер використовуваного шифрування AES. Однак у вас все ще є рятівний круг, якщо ваш комп’ютер заражений, відновивши файли з останньої резервної копії.

Snatch ransomware був націлений на звичайних користувачів через спам. Але сьогодні головними цілями є корпорації. Сплачуючи таким злочинцям, ви не тільки втрачаєте гроші і не маєте гарантії, що вони надішлють вам ключ дешифрування, але це також спонукає їх продовжувати свою кіберзлочинність.

Якщо у вас немає оновленої резервної копії, ви нічого не можете зробити, окрім як чекати, поки експерти з безпеки не знайдуть дешифратор Snatch. Це може зайняти багато часу, але є інші способи захистити себе від таких атак.

Як видалити Snatch Ransomware зі свого комп'ютера

Один із найкращих способів видалення програм-вимагачів Snatch та інших шкідливих програм — це встановлення хорошого антивірусного програмного забезпечення, такого як Malwarebytes або SpyHunter, яке може сканувати, виявляти та усувати загрозу. Не всі антивірусні системи можуть його розпізнати, оскільки це абсолютно нове шкідливе програмне забезпечення, тому краще сканувати за допомогою кількох програм.

Ви можете захистити себе та свої пристрої від атак програм-вимагачів, виконавши прості кроки, як-от завантажувати програмне забезпечення з надійних джерел і уникати відкриття вкладень електронної пошти з ненадійних джерела.

Інші способи захисту себе та своєї організації від Snatch та інших типів програм-вимагачів включають:

• Підтримуйте оновлену операційну систему та продовжуйте створювати резервні копії даних.
• Виконуйте регулярний аудит паролів.
• Розгорніть багаторівневе комплексне програмне забезпечення безпеки, щоб захистити всі точки входу від атаки програм-вимагачів.
• Захист інструментів віддаленого доступу та інших вразливих програм, оскільки зловмисники Snatch наймають інших злочинців, які мають досвід використання веб-оболонок або здатні зламати сервери SQL за допомогою ін’єкційних атак.
• Захистіть свій інтерфейс віддаленого робочого столу, розмістивши їх за VPN у своїй мережі, щоб люди не отримували доступ до них без облікових даних VPN.
• Регулярно проводьте ретельні перевірки всіх пристроїв у вашому домі чи організації, щоб переконатися, що вони захищені та контролюються, оскільки Snatch використовує такі точки доступу та опорні точки, щоб отримати доступ.
• Налаштуйте та використовуйте багатофакторну автентифікацію для будь-яких адміністраторів у вашій організації, щоб зловмисники не могли зловживати вашими обліковими даними.
• Виконайте повний пошук загроз у своїй мережі, щоб виявити будь-яку подібну активність до зараження.

Також на Guiding Tech

Захистіть свою систему

Програмне забезпечення-вимагач може здатися майже небезпечним для життя, оскільки воно паралізує ваші файли та пристрої. Перш ніж думати про сплату викупу, виконайте наведені вище дії, щоб усунути загрозу, і завжди вживайте превентивних заходів, щоб ця та подібні загрози не відображалися на вашому комп’ютері чи мережі.

Далі: Якщо ви підозрюєте, що ваш телефон заражено програмним забезпеченням-вимагачем, перегляньте нашу наступну статтю, щоб дізнатися, як це виявити та видалити.