Hvordan håndtere Ragnar Locker Ransomware (05.19.24)

Anti-skadelig programvare

Ransomware er en veldig ekkel malware fordi angriperne krever at offeret betaler for at hans eller hennes viktige data skal frigjøres fra å være gisler. Ransomware smitter smygende enhetens enhet, krypterer viktige data (inkludert sikkerhetskopifilene), og gir deretter instruksjoner om hvor mye løsepenger som skal betales og hvordan de skal betales. Etter alle disse problemene har offeret ingen garanti for at angriperen faktisk vil frigjøre dekrypteringsnøkkelen for å låse opp filene. Og hvis de noen gang gjør det, kan noen av filene bli ødelagt, noe som gjør dem ubrukelige til slutt.

Gjennom årene har bruken av ransomware vokst i popularitet fordi det er den mest direkte måten hackere tjener penger på. De trenger bare å slippe skadelig programvare, og deretter vente på at brukeren skal sende penger gjennom Bitcoin. Ifølge data fra Emsisoft økte antall ransomware-angrep i 2019 med 41% fra året før, og påvirket rundt 1000 amerikanske organisasjoner. Cybersecurity Ventures spådde til og med at ransomware vil angripe bedrifter hvert 11. sekund.

Tidligere i år angrep Ragnar Locker, en ny stamme av skadelig programvare, Energias de Portugal (EDP), et portugisisk elselskap med hovedkontor i Lisboa. . Angriperne krevde 1 580 bitcoins som løsepenger, noe som tilsvarer rundt 11 millioner dollar.

Hva er Ragnar Locker Ransomware?

Ragnar Locker er skadelig programvare av ransomware, som ikke bare er laget for å kryptere data, men også for å drepe installerte applikasjoner, som ConnectWise og Kaseya, som vanligvis brukes av administrerte tjenesteleverandører og flere Windows-tjenester. Ragnar Locker omdøper de krypterte filene ved å legge til en unik utvidelse sammensatt av ordet ragnar etterfulgt av en streng med tilfeldige tall og tegn. For eksempel vil en fil med navnet A.jpg bli omdøpt til A.jpg.ragnar_0DE48AAB.

Etter å ha kryptert filene, oppretter den en løsemelding ved hjelp av en tekstfil, med samme navneformat som med eksemplet ovenfor. Gyldeløsemeldingen kan hete RGNR_0DE48AAB.txt.

Denne løseprogrammet kjører bare på Windows-datamaskiner, men det er foreløpig ikke sikkert om forfatterne av denne skadelige programvaren også har designet en Mac-versjon av Ragnar Locker. Den retter seg vanligvis mot prosesser og applikasjoner som ofte brukes av administrerte tjenesteleverandører for å forhindre at angrepet blir oppdaget og stoppet. Ragnar Locker er bare rettet mot engelsktalende brukere.

Ragnar Locker ransomware ble først oppdaget rundt slutten av desember 2019, da den ble brukt som en del av angrep mot kompromitterte nettverk. Ifølge sikkerhetseksperter var Ragnar Locker-angrepet på den europeiske energigiganten et gjennomtenkt og grundig planlagt angrep.

Her er et eksempel på Ragnar Locker-løsepenger:

Hei *!

********************

Hvis du leser denne meldingen, ble nettverket ditt PENETRERT og alle filene dine og data er Kryptert

av RAGNAR_LOCKER!

********************

********* Hva skjer med systemet ditt? * ***********

Nettverket ditt ble penetrert, alle filene og sikkerhetskopiene dine var låst! Så fra nå av er det INGEN KAN HJELPE DEG med å få tilbake filene dine, Bortsett fra oss.

Du kan google det, det er ingen sjanser for å dekryptere data uten vår HEMMELIGE NØKKEL.

Men ikke bekymre deg! Filene dine er IKKE SKADET eller mistet, de er bare MODIFISERT. Du kan få den TILBAKE så snart du BETALER.

Vi leter bare etter PENGER, så det er ingen interesse for oss å stålsette eller slette informasjonen din, det er bare en VIRKSOMHET $ -)

Du kan imidlertid skade DATAene dine selv hvis du prøver å AVKREPTE ved hjelp av annen programvare, uten VÅR SPESIFIKK Krypteringsnøkkel !!!

Også all sensitiv og privat informasjon ble samlet inn, og hvis du bestemmer deg for IKKE å betale,

vil vi laste den opp for offentlig visning!

****

*********** Hvordan får du tilbake filene dine? ******

Til dekryptere alle filene og dataene du må betale for krypteringsnøkkelen:

BTC-lommebok for betaling: *

Beløp å betale (i Bitcoin): 25

****

*********** Hvor mye tid har du å betale? **********

* Du bør komme i kontakt med oss innen to dager etter at du har lagt merke til krypteringen for å få en bedre pris.

* Prisen økes med 100% (dobbeltpris) etter 14 dager hvis det ikke er kontakt.

* Nøkkelen vil bli fullstendig slettet på 21 dager hvis det ikke er gjort kontakt eller ingen avtale.

Noe sensettiv informasjon stjålet fra filserverne vil bli lastet opp offentlig eller til re-selger.

****

*********** Hva om filer ikke kan gjenopprettes? ******

For å bevise at vi virkelig kan dekryptere dataene dine, dekrypterer vi en av de låste filene dine!

Bare send dem til oss, så får du det tilbake GRATIS.

Prisen for dekryptereren er basert på nettverksstørrelse, antall ansatte, årlige inntekter.

Ta gjerne kontakt med oss for beløpet på BTC som skal betales.

****

! HVIS du ikke vet hvordan du får bitcoins, vil vi gi deg råd om hvordan du bytter pengene.

!!!!!!!!!!!!!

! HER ER DEN ENKELE HÅNDBOKEN HVORDAN FÅ KONTAKT MED OSS!

!!!!!!!!!!!!!

1) Gå til den offisielle nettsiden til TOX messenger (hxxps: //tox.chat/download.html)

2) Last ned og installer qTOX på din PC, velg plattformen (Windows, OS X, Linux osv.)

3) Åpne messenger, klikk “Ny profil” og opprett profil.

4) Klikk “Legg til venner” -knappen og søk i kontakten vår *

5) For identifikasjon, send til supportdataene våre fra —RAGNAR SECRET—

VIKTIG ! HVIS du av en eller annen grunn KAN IKKE KONTAKTE oss i qTOX, her er reservepostkassen vår (*) send en melding med data fra —RAGNAR SECRET—

ADVARSEL!

- Ikke prøv å dekryptere filer med tredjepartsprogramvare (den vil bli skadet permanent)

-Ikke installer operativsystemet på nytt, dette kan føre til fullstendig tap av data og filer kan ikke dekrypteres. ALDRI!

-DEN HEMMELIGE NØKKELEN for dekryptering er på serveren vår, men den blir ikke lagret for alltid. IKKE KAST BORT TID !

********************

—RAGNAR SECRET—

*******************

Hva gjør Ragnar Locker?

Ragnar Locker leveres vanligvis via MSP-verktøy som ConnectWise, der nettkriminelle slipper en svært målrettet kjørbar fil for ransomware. Denne forplantningsteknikken har blitt brukt av tidligere svært skadelig ransomware, som Sodinokibi. Når denne typen angrep skjer, infiltrerer forfatterne av ransomware organisasjoner eller fasiliteter via usikrede eller dårlig sikrede RDP-forbindelser. Deretter bruker den verktøy for å sende Powershell-skript til alle tilgjengelige sluttpunkter. Skriptene laster deretter ned en nyttelast via Pastebin designet for å utføre ransomware og kryptere sluttpunktene. I noen tilfeller kommer nyttelasten i form av en kjørbar fil som lanseres som en del av et filbasert angrep. Det er også tilfeller når flere skript lastes ned som en del av et helt filfritt angrep.

Ragnar Locker retter seg spesifikt mot programvare som ofte drives av administrerte tjenesteleverandører, inkludert følgende strenger:

vss
sql
memtas
mepocs
sophos
veeam
sikkerhetskopi
pulseway
logme
logmein
connectwise
splashtop
kaseya

Ransomware stjeler først et måls filer og laster det opp til serverne sine. Det unike med Ragnar Locker er at de ikke bare krypterer filene, men også truer offeret med at dataene vil bli offentliggjort hvis løsepenger ikke er betalt, slik som tilfellet med EDP. Med EDP truet angriperne med å frigjøre den antatte 10 TB stjålet data, noe som kan være en av de største datalekkasjene i historien. Angriperne hevdet at alle partnere, klienter og konkurrenter vil bli informert om bruddet, og deres lekkede data vil bli sendt til nyheter og media for offentlig konsum. Selv om talsmann for EDP har kunngjort at angrepet ikke har hatt noen innvirkning på strømforsyningens strømtjeneste og infrastruktur, er det truende databruddet noe de er bekymret for.

Deaktivering av tjenester og avslutningsprosesser er vanlige taktikker som brukes av skadelig programvare for å deaktivere sikkerhetsprogrammer, sikkerhetskopieringssystemer, databaser og e-postservere. Når disse programmene er avsluttet, kan dataene deres krypteres.

Når den først ble startet, vil Ragnar Locker skanne de konfigurerte språkinnstillingene for Windows. Hvis språkinnstillingen er engelsk, fortsetter skadelig programvare med neste trinn. Men hvis Ragnar Locker oppdaget at språket er angitt som et av de tidligere Sovjetunionens land, vil skadelig programvare avslutte prosessen og ikke med kryptering av datamaskinen.

Ragnar Locker kompromitterer MSPs sikkerhetsverktøy før de kan blokkere. løsepenger fra å bli kjørt. Når den er inne, starter skadelig programvare krypteringsprosessen. Den bruker en innebygd RSA-2048-nøkkel for å kryptere viktige filer.

Ragnar Locker krypterer ikke alle filene. Det hopper over noen mapper, filnavn og utvidelser, for eksempel:

kernel32.dll
Windows
Windows.old
Tor-nettleser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Alle brukere
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Bortsett fra å legge til en ny filtype til de krypterte filene, Ragnar Locker legger også til en 'RAGNAR' filmarkør på slutten av hver krypterte fil.

Ragnar Locker slipper deretter en løsepostmelding med navnet '.RGNR_ [utvidelse] .txt' som inneholder detaljer om løsepengerbeløpet, bitcoin-betalingsadressen, en TOX-chat-ID som skal brukes til å kommunisere med angriperne, og en backup-e-postadresse hvis det er problemer med TOX. I motsetning til andre løsepenger har ikke Ragnar Locker en fast mengde løsepenger. Det varierer i henhold til målet, og det beregnes individuelt. I noen rapporter kan løsepengene variere mellom $ 200 000 og $ 600 000. I tilfelle av EDP, ble løsepenger spurt om 1.580 bitcoin eller $ 11 millioner.

Hvordan fjerne Ragnar Locker

Hvis datamaskinen din var uheldig å bli smittet med Ragnar Locker, er det første du må gjøre å sjekke hvis alle filene dine er kryptert. Du må også sjekke om sikkerhetskopifilene dine også er kryptert. Angrep som dette fremhever viktigheten av å ha en sikkerhetskopi av viktige data, for i det minste trenger du ikke bekymre deg for å miste tilgangen til filene dine.

Ikke prøv å betale løsepenger fordi det vil være ubrukelig. Det er ingen garanti for at angriperen vil sende deg den riktige dekrypteringsnøkkelen, og at filene dine aldri vil lekkes til publikum. Det er faktisk veldig mulig at angriperne vil fortsette å presse penger fra deg fordi de vet at du er villig til å betale.

Det du kan gjøre er å slette løsepenger først fra datamaskinen din før du prøver å dekryptere. den. Du kan bruke antivirus- eller anti-malware-appen til å skanne datamaskinen din for skadelig programvare og følge instruksjonene for å slette alle oppdagede trusler. Avinstaller deretter mistenkelige apper eller utvidelser som kan være relatert til skadelig programvare.

Til slutt, se etter et dekrypteringsverktøy som samsvarer med Ragnar Locker. Det er flere dekryptorer som er designet for filer kryptert av ransomware, men du bør først sjekke produsenten av sikkerhetsprogramvaren din hvis de har en tilgjengelig. For eksempel har Avast og Kaspersky sitt eget dekrypteringsverktøy som brukerne kan bruke. Her er en liste over andre dekrypteringsverktøy du kan prøve.

Slik beskytter du deg mot Ragnar Locker

Ransomware kan være ganske plagsomt, spesielt hvis det ikke finnes noe eksisterende dekrypteringsverktøy som kan angre krypteringen utført av skadelig programvare. . For å beskytte enheten din mot løsepenger, spesielt Ragnar Locker, er det noen av tipsene du må huske på:

Bruk en sterk passordpolicy ved å bruke en dobbeltfaktor- eller flerfaktorautentisering (MFA) hvis mulig. Hvis det ikke er mulig, generer du tilfeldige, unike passord som det vil være vanskelig å gjette.
Sørg for å låse datamaskinen når du forlater skrivebordet. Enten du skal ut på lunsj, ta en kort pause eller bare gå på toalettet, må du låse datamaskinen for å forhindre uautorisert tilgang.
Lag en plan for sikkerhetskopiering og gjenoppretting av data, spesielt for kritisk informasjon om din datamaskin. Lagre den mest kritiske informasjonen som er lagret utenfor nettverket eller på en ekstern enhet hvis mulig. Test disse sikkerhetskopiene regelmessig for å sikre at de fungerer riktig i tilfelle en reell krise.
Sørg for at systemene dine blir oppdatert og installert med de nyeste sikkerhetsoppdateringene. Ransomware utnytter vanligvis sårbarheter i systemet ditt, så sørg for at enhetens sikkerhet er lufttett.
Vær forsiktig med de vanlige vektorene for phishing, som er den vanligste distribusjonsmetoden for ransomware. Ikke klikk på tilfeldige lenker og skann alltid e-postvedlegg før du laster dem ned til datamaskinen.
Ha en robust sikkerhetsprogramvare installert på enheten din og hold databasen oppdatert med de siste truslene.

YouTube Video.: Hvordan håndtere Ragnar Locker Ransomware

05, 2024

Hvordan håndtere Ragnar Locker Ransomware (05.19.24)

YouTube Video.: Hvordan håndtere Ragnar Locker Ransomware

Artikler

Topp 8 triks du kan gjøre på din Samsung-telefon

7 måter å fikse iCUE som ikke oppdager tastatur

3 måter å fikse diskordvolum på ikke fungerer

Topp 5 spill som Archeage (Alternativer til Archeage)

Go-movix.com

Siste artikler

Hvorfor er Xname og bestemmelse nødvendig for spill?

Alle er Steve og Alex Glitch i Minecraft

Go-movix.com

Er BetterDiscord trygt å bruke (besvart)

Android-tips du bør bruke for å gjøre livet ditt enklere