Cum să vă ocupați de Ragnar Locker Ransomware (05.19.24)

Anti-malware

Ransomware este un malware foarte urât, deoarece atacatorii cer victimei să plătească pentru ca datele sale importante să fie eliberate din ostatic. Ransomware-ul infectează pe ascuns dispozitivul victimei, criptează datele importante (inclusiv fișierele de rezervă), apoi lasă instrucțiuni cu privire la câtă răscumpărare ar trebui plătită și cum ar trebui plătită. După toate aceste probleme, victima nu are nicio garanție că atacatorul va elibera efectiv cheia de decriptare pentru a debloca fișierele. Și dacă o fac vreodată, unele fișiere ar putea fi corupte, ceea ce le va face inutile în cele din urmă.

De-a lungul anilor, utilizarea ransomware-ului a crescut în popularitate, deoarece este cel mai direct mod prin care hackerii pot câștiga bani. Trebuie doar să renunțe la malware, apoi să aștepte ca utilizatorul să trimită bani prin Bitcoin. Conform datelor de la Emsisoft, numărul atacurilor ransomware în 2019 a crescut cu 41% față de anul precedent, afectând aproximativ 1.000 de organizații americane. Cybersecurity Ventures a prezis chiar că ransomware-ul va ataca companiile la fiecare 11 secunde.

La începutul acestui an, Ragnar Locker, o nouă specie de malware, a atacat Energias de Portugal (EDP), o companie portugheză de utilități electrice, cu sediul în Lisabona . Atacatorii au cerut 1.580 de bitcoin ca răscumpărare, ceea ce echivalează cu aproximativ 11 milioane de dolari.

Ce este Ragnar Locker Ransomware?

Ragnar Locker este un malware de tip ransomware creat nu doar pentru a cripta date, ci și pentru a distruge aplicațiile instalate, cum ar fi ConnectWise și Kaseya, care sunt de obicei utilizate de furnizorii de servicii gestionate și de mai multe servicii Windows. Ragnar Locker redenumește fișierele criptate prin adăugarea unei extensii unice compuse din cuvântul ragnar urmat de un șir de numere și caractere aleatorii. De exemplu, un fișier cu numele A.jpg va fi redenumit în A.jpg.ragnar_0DE48AAB.

După criptarea fișierelor, acesta creează un mesaj de răscumpărare folosind un fișier text, cu același format de nume ca cu exemplul de mai sus. Mesajul de răscumpărare ar putea fi numit RGNR_0DE48AAB.txt.

Acest ransomware rulează numai pe computere Windows, dar nu este încă sigur dacă autorii acestui malware au conceput și o versiune Mac a Ragnar Locker. De obicei, vizează procesele și aplicațiile utilizate în mod obișnuit de furnizorii de servicii gestionate pentru a împiedica detectarea și oprirea atacului lor. Ragnar Locker se adresează numai utilizatorilor de limbă engleză.

Ransomware-ul Ragnar Locker a fost detectat pentru prima dată la sfârșitul lunii decembrie 2019, când a fost folosit ca parte a atacurilor împotriva rețelelor compromise. Potrivit experților în securitate, atacul Ragnar Locker asupra gigantului energetic european a fost un atac bine gândit și bine planificat.

Iată un exemplu al mesajului de răscumpărare Ragnar Locker:

Bună *!

*******************

Dacă citiți acest mesaj, atunci rețeaua dvs. a fost PENETRATĂ și toate fișierele dvs. iar datele au fost Criptate

de RAGNAR_LOCKER!

********************

********* Ce se întâmplă cu sistemul dvs.? * ***********

Rețeaua dvs. a fost pătrunsă, toate fișierele și copiile de rezervă au fost blocate! Deci, de acum, NIMENI NU VĂ PUTĂ AJUTA să vă recuperați fișierele, EXCEPȚI-NE.

Puteți să o faceți pe Google, nu există șanse să decriptați datele fără cheia noastră SECRETĂ.

Dar nu vă faceți griji! Fișierele dvs. NU SUNT DAUNATE sau PIERDUTE, sunt doar MODIFICATE. Puteți obține ÎNAPOI imediat ce PLĂTIȚI.

Căutăm doar BANI, așa că nu există niciun interes pentru noi să vă ținem cont sau să ștergem informațiile dvs., este doar un BUSINESS $ -)

ORICUM îți poți deteriora datele DUMNEAVOASTRĂ dacă încerci să DECRIFREZI cu orice alt software, fără CHEIA NOSTRĂ SPECIFICĂ DE Criptare !!!

De asemenea, toate informațiile dvs. sensibile și private au fost colectate și dacă decideți să nu plătiți,

îl vom încărca pentru vizualizare publică!

****

*********** Cum să vă recuperați fișierele? ******

decriptați toate fișierele și datele pe care trebuie să le plătiți pentru criptare CHEIE:

Portofelul BTC pentru plată: *

Suma de plătit (în Bitcoin): 25

****

*********** Cât timp aveți de plătit? **********

* Ar trebui să ne contactați în termen de 2 zile după ce ați observat criptarea pentru a obține un preț mai bun.

* Prețul va fi mărit cu 100% (preț dublu) după 14 zile dacă nu se face contact.

* Cheia va fi ștearsă complet în 21 de zile dacă nu există contacte sau nu se face tranzacție.

Unele informații sensibile furate de pe serverele de fișiere vor fi încărcate în public sau în revânzător.

****

*********** Ce se întâmplă dacă fișierele nu pot fi restaurate? ******

Pentru a demonstra că într-adevăr vă putem decripta datele, vom decripta unul dintre fișierele blocate!

Doar trimiteți-ne-o și o veți primi înapoi GRATUIT.

Prețul pentru decriptor se bazează pe dimensiunea rețelei, numărul de angajați, veniturile anuale.

Vă rugăm să ne contactați pentru suma de BTC care ar trebui plătită.

****

! DACĂ nu știți cum să obțineți bitcoin, vă vom oferi sfaturi despre cum să schimbați banii.

!!!!!!!!!!!!!

! IATĂ MANUALUL SIMPLU CUM PUTEȚI CONTCAT CU NOI!

!!!!!!!!!!!!!

1) Accesați site-ul oficial al TOX messenger (hxxps: //tox.chat/download.html)

2) Descărcați și instalați qTOX pe computer, alegeți platforma (Windows, OS X, Linux etc.)

3) Deschideți messenger, faceți clic pe „Profil nou” și creați profilul.

4) Faceți clic pe butonul „Adăugați prieteni” și căutați contactul nostru *

5) Pentru identificare, trimiteți datele noastre de asistență din —RAGNAR SECRET—

IMPORTANT ! DACĂ, din anumite motive, nu ne puteți contacta în qTOX, iată căsuța noastră poștală de rezervă (*) trimiteți un mesaj cu date de la —RAGNAR SECRET—

AVERTISMENT!

-Nu încercați să decriptați fișiere cu niciun software terță parte (acesta va fi deteriorat definitiv)

-Nu reinstalați sistemul de operare, acest lucru poate duce la pierderea completă a datelor și a fișierelor nu poate fi decriptat. NICIODATĂ!

-CHEEA SECRETĂ pentru decriptare este pe serverul nostru, dar nu va fi stocată definitiv. NU PIERDE TIMPUL !

********************

—RAGNAR SECRET—

*******************

Ce face Ragnar Locker?

Ragnar Locker este de obicei livrat prin instrumente MSP, cum ar fi ConnectWise, în care infractorii cibernetici renunță la un fișier executabil ransomware foarte vizat. Această tehnică de propagare a fost utilizată de ransomware-urile foarte dăunătoare anterioare, cum ar fi Sodinokibi. Când se întâmplă acest tip de atac, autorii ransomware-ului se infiltrează în organizații sau facilități prin conexiuni RDP nesecurizate sau prost securizate. Apoi folosește instrumente pentru a trimite scripturi Powershell către toate punctele finale accesibile. Scripturile descarcă apoi o sarcină utilă prin Pastebin concepută pentru a executa ransomware-ul și a cripta punctele finale. În unele cazuri, sarcina utilă vine sub forma unui fișier executabil care este lansat ca parte a unui atac bazat pe fișiere. Există, de asemenea, cazuri în care scripturile suplimentare sunt descărcate ca parte a unui atac complet fără fișiere.

Ragnar Locker vizează în mod specific software-ul rulat în mod obișnuit de furnizorii de servicii gestionate, inclusiv următoarele șiruri:

vss
mepocs
sophosveeam backup<>pulseway
logmein

connectwise

splashtop

kaseya

Ransomware fură mai întâi fișierele unei ținte și le încarcă pe serverele lor. Ceea ce este unic la Ragnar Locker este că nu pur și simplu criptează fișierele, ci amenință și victima că datele vor fi publicate public dacă răscumpărarea nu a fost plătită, cum ar fi cazul EDP. Cu EDP, atacatorii au amenințat că vor elibera presupusele 10 TB de date furate, care ar putea fi una dintre cele mai mari scurgeri de date din istorie. Atacatorii au susținut că toți partenerii, clienții și concurenții vor fi informați cu privire la încălcare și că datele lor vor fi trimise către știri și imagini media pentru consum public. Deși purtătorul de cuvânt al EDP a anunțat că atacul nu a avut un impact asupra serviciului de energie electrică și a infrastructurii, încălcarea datelor care se apropie este ceva care îi îngrijorează.
Dezactivarea serviciilor și terminarea proceselor sunt tactici obișnuite utilizate de malware pentru a dezactiva programele de securitate, sistemele de rezervă, bazele de date și serverele de e-mail. Odată ce aceste programe au fost terminate, datele lor pot fi apoi criptate.

La lansarea pentru prima dată, Ragnar Locker va scana preferințele de limbă Windows configurate. Dacă preferința lingvistică este engleza, malware-ul va continua cu pasul următor. Dar dacă Ragnar Locker a detectat că limba este setată ca una dintre fostele țări ale URSS, malware-ul va încheia procesul și nu va cripta computerul.

Ragnar Locker compromite instrumentele de securitate ale MSP înainte de a putea bloca ransomware-ul să nu fie executat. Odată ajuns în interior, malware-ul inițiază procesul de criptare. Folosește o cheie RSA-2048 încorporată pentru a cripta fișierele importante.

Ragnar Locker nu criptează toate fișierele. Va omite unele dosare, nume de fișiere și extensii, cum ar fi:

kernel32.dll

Windows
Windows.old
Tor browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$ Recycle.Bin

ProgramData

Toți utilizatorii

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr .efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat
<бntuser.dat.log antuser.ini thumb.db sys .dll bb.msi drv În afară de adăugare o nouă extensie de fișier la fișierele criptate, Ragnar Locker adaugă, de asemenea, un marker de fișier „RAGNAR” la sfârșitul fiecărui fișier criptat.
Ragnar Locker lansează apoi un mesaj de răscumpărare numit „.RGNR_ [extensie] .txt” care conține detalii despre suma răscumpărării, adresa de plată bitcoin, un ID de chat TOX care trebuie utilizat pentru a comunica cu atacatorii și o adresă de e-mail de rezervă dacă există probleme cu TOX. Spre deosebire de alte ransomware, Ragnar Locker nu are o cantitate fixă de răscumpărare. Acesta variază în funcție de țintă și este calculat individual. În unele rapoarte, valoarea răscumpărării ar putea varia între 200.000 și 600.000 de dolari. În cazul EDP, răscumpărarea cerută a fost de 1.580 bitcoin sau 11 milioane de dolari.
Cum să eliminați Ragnar Locker
Dacă computerul dvs. a fost nefericit să fie infectat cu Ragnar Locker, primul lucru pe care trebuie să-l faceți este să verificați dacă toate fișierele dvs. au fost criptate. De asemenea, trebuie să verificați și dacă fișierele de rezervă au fost criptate. Atacurile de acest gen evidențiază importanța de a avea o copie de rezervă a datelor importante, deoarece cel puțin nu va trebui să vă faceți griji cu privire la pierderea accesului la fișierele dvs.
Nu încercați să plătiți răscumpărarea, deoarece va fi inutilă. Nu există nicio garanție că atacatorul vă va trimite cheia corectă de decriptare și că fișierele dvs. nu vor fi niciodată difuzate publicului. De fapt, este foarte posibil ca atacatorii să continue să vă extorce bani deoarece știu că sunteți dispus să plătiți.

Ce puteți face este să ștergeți ransomware-ul mai întâi de pe computer înainte de a încerca să decriptați aceasta. Puteți utiliza aplicația antivirus sau anti-malware pentru a vă scana computerul pentru a detecta malware și urmați instrucțiunile pentru a șterge toate amenințările detectate. Apoi, dezinstalați orice aplicații sau extensii suspecte care ar putea fi legate de malware.
În cele din urmă, căutați un instrument de decriptare care să se potrivească cu Ragnar Locker. Există mai mulți decriptori care au fost proiectați pentru fișiere criptate de ransomware, dar ar trebui să verificați mai întâi producătorul de software de securitate dacă au unul disponibil. De exemplu, Avast și Kaspersky au propriul lor instrument de decriptare pe care utilizatorii îl pot folosi. Iată o listă cu alte instrumente de decriptare pe care le puteți încerca.
Cum să vă protejați de Ragnar Locker
Ransomware poate fi destul de supărător, mai ales dacă nu există un instrument de decriptare capabil să anuleze criptarea efectuată de malware . Pentru a vă proteja dispozitivul de ransomware, în special Ragnar Locker, iată câteva dintre sfaturile pe care trebuie să le aveți în vedere:

Folosiți o politică puternică de parolă, utilizând o autentificare cu dublu factor sau multi-factor (AMF) dacă este posibil. Dacă nu este posibil, generați parole unice, aleatorii, care vor fi greu de ghicit.
Asigurați-vă că blocați computerul când părăsiți biroul. Indiferent dacă ieșiți la prânz, faceți o scurtă pauză sau pur și simplu mergeți la toaletă, blocați computerul pentru a preveni accesul neautorizat.

Creați un plan de backup și recuperare a datelor, în special pentru informații critice despre calculator. Stocați cele mai importante informații stocate în afara rețelei sau pe un dispozitiv extern, dacă este posibil. Testați periodic aceste copii de siguranță pentru a vă asigura că acestea funcționează corect în caz de criză reală.

Asigurați-vă că sistemele dvs. sunt actualizate și instalate cu cele mai recente patch-uri de securitate. Ransomware-ul exploatează de obicei vulnerabilitățile din sistemul dvs., deci asigurați-vă că securitatea dispozitivului dvs. este etanșă.

Fiți atenți la vectorii obișnuiți pentru phishing, care este cea mai comună metodă de distribuție a ransomware-ului. Nu faceți clic pe linkuri aleatorii și scanați întotdeauna atașamentele de e-mail înainte de a le descărca pe computer.
Aveți un software robust de securitate instalat pe dispozitivul dvs. și mențineți baza de date actualizată cu cele mai recente amenințări.

Video YouTube.: Cum să vă ocupați de Ragnar Locker Ransomware

05, 2024

Categorii

Windows

Anti-malware

Aplicații software

Dosare

Mac

Android

Tehnologie

Repararea computerului

VPN

PC

SteelSeries

Corsar

Discord

Jocuri ASTRO

Jocuri similare

WOW

Overwatch

Fornite

Merge Dragons!

Razer

Roblox

Steam

Minecraft

Golf-clash

General

Depanarea jocului

Joc Reporniți

Blizzard

Necategorizat

Articole similare

Puteți încărca Astro A50 în timp ce jucați

Jocuri ASTRO

Cum se remediază Qcamain10x64.sys BSOD în Windows 10

Windows

Am sacrificat totul, ce ai dat WoW

WOW

Lightforged Draenei vs Draenei În WoW

WOW

2 motive pentru care Drov Ruiner nu apare în WoW

WOW

Cele mai bune 5 jocuri multiplayer pe Steam pe care ar trebui să le încercați

Steam

3 moduri de a remedia ventilatorul Corsair PSU care nu se învârte

Corsar

Cum să remediați Touch of Weakness Quest Nu este disponibil în WoW

WOW

Eroare Roblox la trimiterea datelor Vă rugăm să vă reconectați: 3 moduri de remediere

Roblox

Top 5 jocuri precum City Of Heroes (Jocuri similare cu City Of Heroes)

Jocuri similare

Cum să vă ocupați de Ragnar Locker Ransomware (05.19.24)

Video YouTube.: Cum să vă ocupați de Ragnar Locker Ransomware

Articole

Minecraft folosind prea multă memorie: 3 remedieri

4 moduri de a repara motorul SteelSeries nu se va deschide

8 moduri de a remedia Overwatch fără probleme muzicale

Top 5 jocuri precum Fable (alternative la Fable)

Top 5 jocuri precum Chrono Trigger (alternative la Chrono Trigger)

Ultimele articole

Misiuni de tabără în Merge Dragons (explicat)

2 moduri de a rezolva problema Razer Naga Trinity cu dublu clic

Roblox Activați accesul Studio la serviciile API

Corsair SP120L vs SP120: Care este diferența

Cum să creați urmăritorul de fitness final din Android