Суббота, 30 Май, 04: 08
дома Исследования Греческие компании жертвы вымогателей CrySIS / Dharma! Бесконечная атака?

Греческие компании жертвы вымогателей CrySIS / Dharma! Бесконечная атака?

По данным ряда малых и средних предприятий и гигантов в Греции в 2019 году CRYSIS ή Дхарма вымогателей, которая с 2016 года сеет террор для своих жертв, заразила несколько компаний.

CRYSIS

В то время как мировое интернет-сообщество почувствовало, что тирания CrySIS Ransomware закончилась, несколько Греческие компании они отрицают это, влюбляясь в его жертв вредоносных программ и платить - большинство из них - большие суммы денег за расшифровку их файлов.

На самом деле, согласно Лаборатории Malwarebytesво всем мире вы наблюдаете увеличение числа вымогателей CrySIS на 148% с февраля по март 2019 года.

В греческом деловом мире вымогателей Кажется, беспокоили несколько компаний которые считали себя неприкосновенными или которые никогда не ожидали быть целью Хакеры.

После исследования SecNews, οι Хакеры за терактами стоят исключительно с целью заработать деньги спрашивая как выкуп, Это означает, что компании не являются объектом личных интересов или заговоров со стороны своих конкурентов.

Οι Хакеры они действуют как «профессионалы» и, как только они получают выкуп, отправляют ключ расшифровки в файлы.

Согласно исследованию SecNews, китайцы и / или русские, скорее всего, стоят за атаками. хакерские команды, Фактически это организованные группы, которые заработали миллионы (!) Долларов [б. 500.000.000 миллионов долларов] злоумышленных действий.

CrySIS греческие компании

Что такое CrySISДхарма вымогателей и как это работает?

Цели CrySIS / Dharma Windows системы, и в основном нацелен на бизнес, Он использует различные методы распространения:

  • CrySIS распространяется как вредоносные вложения в спам электронная почта, В частности, вредоносные вложения используют дубликаты расширений файлов, которые в настройках Windows по умолчанию могут казаться неисполняемыми, пока они на самом деле.
  • CrySIS также может в конечном итоге замаскированные под установочные файлы для законного программного обеспечения, включая AV продавцы, Хакеры, стоящие за CrySIS, предлагают инсталляторы «acacia» для различных легитимных приложений в виде исполняемых файлов, которые можно загружать и которые распространяются через различные веб-сайты и публичные сети.
  • Большую часть времени, CrySIS / Dharma доставляется вручную на целевые атаки с использованием учетных данных RDP утечка или слабость. Это означает, что злоумышленник имеет доступ к жертвам машины до грубого принуждения. атаковать по протоколу Windows RDP через порт 3389.

В недавней атаке CrySIS была отправлена ​​в виде ссылки на спам по электронной почте. Ссылка перенаправляет на установщик, который защищен пароль, Пароль был сообщен потенциальным жертвам в электронном письме, и в дополнение к исполняемому файлу CrySIS / Dharma программа установки содержала устаревшее средство удаления от известного поставщика средств безопасности.

это компания машиностроение стратегия был использован, чтобы держать пользователей подозрительными. Видя знакомое решение по безопасности в установочном пакете, можно считать его безопасным.

CrySIS Ransomware греческих компаний

инфекция

Как только CrySIS заражает систему, создает записи реестра и шифрует практически каждый тип файла, минуя системные и вредоносные файлы. Выполняет шифрование с использованием одного сильный алгоритм шифрования (AES-256 в сочетании с асимметричным шифрованием RSA-1024), который применяется к фиксированным, съемным и сетевым дискам.

До шифрования CrySIS удаляет все точки восстановления Windows выполнение команды vssadmin delete shadows / all / quiet.

Это троянец который распространяется из-за вымогателей собирает имя компьютера и количество зашифрованных файлов из определенных форматов, отправив их на удаленный сервер C2, контролируемый им хакер, В некоторых версиях Windows он также пытается действует с правами администратора, тем самым расширяя список файлов, которые можно зашифровать.

После успешной атаки RDP было замечено, что перед выполнением полезной нагрузки вымогателей, CrySIS удаляет его программное обеспечение безопасности установлен в системе.

вымогателей греческих компаний

Выкуп

Когда CrySIS завершает шифрование, оставляет записку на рабочем столе с указанием суммы, которую жертва должна заплатить если он хочет получить свои файлы, предоставив два адреса электронной почты для связи с хакерами.

Требуемый выкуп обычно составляет около 1 Bitcoin, но были случаи, когда цены, по-видимому, были скорректированы с учетом дохода пострадавшей компании. Экономически обоснованные компании часто платят больше.

Как защитить себя?

Хотя у вас есть возможность использовать другое программное обеспечение для удаленной работы на ваших рабочих компьютерах, RDP - это, по сути, безопасный и простой в использовании протокол с предустановленным клиентом в системах Windows, а также клиентами, доступными для других операционных систем. Есть несколько шагов, которые вы можете предпринять, чтобы кому-то было намного сложнее получить доступ к вашей сети через неавторизованные соединения. RDP:

  • Используйте это, чтобы сделать это более грубым для грубой силы, чтобы преуспеть надежные пароли.
  • Не выключайте проверка подлинности на уровне сети (Аутентификация на уровне сети - NLA) так как он предлагает дополнительный уровень аутентификации. Включите, если это еще не было.
  • Изменить порт RDP так что сканеры портов, ищущие открытые порты RDP, потеряют ваши. По умолчанию сервер слушает дверь 3389 как для TCP, так и для UDP.
  • Ή использовать удаленный сервер Gateway Server, что также дает вам некоторые дополнительные преимущества в плане безопасности и эксплуатации, такие как 2FA. Τα бревна сеансов RDP может быть очень полезным, когда вы хотите контролировать различные движения. Поскольку эти журналы не найдены на взломанной машине, хакерам сложнее подделать.
  • Ограничить доступ к определенным IP-адресамесли возможно. Там не должно быть необходимости для многих IP-адреса что нужен доступ к RDP.
  • Существует множество возможностей увеличить пользовательские разрешения на компьютерах с Windows даже при использовании RDP, но все известные методы были исправлены. Поэтому, как всегда, убедитесь, что ваши системы полностью обновлены заплата.
  • Используйте эффективный и простой в использовании стратегия резервного копирования. Доверие к точкам восстановления не соответствует требованиям и совершенно бесполезно, когда Ransomware впервые удаляет точки восстановления, как в случае CrySIS.
  • Обучить персонал о тебе фишинговые атаки и повысить осведомленность о кибербезопасности.
  • конец, используйте многоуровневое, передовое решение для безопасности чтобы защитить ваши машины от атак вымогателей.

МНК

TИзвестно, что Ransom.Crysis использует эти расширения для зашифрованных файлов:

.crysis, .dharma, кошелек, .java, .adobe, .viper1, .write, .bip, .zzzzz, .viper2, .arrow, .gif, .xtbl, .onion, .bip, .cezar, .combo, .cesar, .cmb, .AUF, .arena, .brrr, .btc, .cobra, .gamma, .heets, .java, .monro, .USA, .bkp, .xwx, .btc, .best, .bgtx , .boost, .heets, .waifu, .qwe, .gamma, .ETH, .bet, та, .air, .vanss ,. 888, .FUNNY, .amber, .gdb, .frend, .like, .KARLS, .xxxxx, .aqva, .lock, .korea, .plomb, .tron, .NWA, .AUDIT, .com, .cccmn, .azero, .Bear, .bk666, .fire, .stun, .myjob, .ms13, .war, .carcn, .risk, .btix, .bkpx, .he, .ets, .santa, .gate, .bizer , .LOVE, .LDPR, .MERS, .bat, .qbix, .aa1 и .wal

До настоящего времени был обнаружен следующий выкуп имена:

  • текст
  • КАК расшифровать ваши данные.txt
  • Readme для восстановления ваших файлов .txt
  • Инструкция по расшифровке.txt
  • ФАЙЛЫ ENCRYPTED.txt
  • Файлы зашифрованы !! .txt
  • HTA

Общие хэши файлов:

  • 0aaad9fd6d9de6a189e89709e052f06b
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c

вымогателей

Если вы стали жертвой этой атаки, вы можете связаться с исследовательской группой SecNews нажав на https://www.secnews.gr/ask-us/.

В целях конфиденциальности имена греческих компаний, ставших жертвами CrySIS.Дхарма вымогателей, не разглашается.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

LIVE NEWS

Cisco была взломана с использованием серверов SaltStack

Сегодня Cisco заявила, что некоторые из серверов поддержки Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) были скомпрометированы из-за использования критически важных ...

Valak Malware: крадет данные с серверов Microsoft Exchange

В 2019 году Valak Malware был впервые обнаружен как загрузчик вредоносных программ. Однако недавно стало известно, что ...

Устройство «против 5G» стоимостью 350 долларов - это всего лишь USB-накопитель

Поклонники теории заговора 5G уже приобрели USB-ключ против 5G за $ 350, который ...

Windows 10 Pro с 13 $ с кодом скидки SecNews

Получите Windows 10 Pro за 13 долларов с дисконтным кодом SecNews: в настоящее время рабочие часы ...

Утечка данных 47,5 миллионов пользователей Truecaller

Приложение Truecaller помогает выявлять анонимные звонки и позволяет выделять спамеров.

Call of Duty Warzone: официальный анонс нового сезона!

"Call of Duty: Warzone Season 4" подтвердил свой релиз 3 июня, разместив трейлер через официальный аккаунт ...

АНБ: Самые известные российские хакеры совершают новые атаки!

Как объявило АНБ в четверг, идет кампания по взлому электронной почты, в которой участвует пресловутая российская разведывательная группа, которая ...

Mitron: индийская альтернатива TikTok становится все более популярной

После стремительного успеха TikTok было создано несколько приложений, предлагающих аналогичные функции ...

GitHub: предупреждает разработчиков Java о новых вредоносных программах

GitHub Inc. предупреждает разработчиков о новом вредоносном ПО, которое распространяется на его сайт через ...

Критические уязвимости в плагине WordPress: Обновите немедленно!

В плагине WordPress PageLayer были обнаружены две очень серьезные уязвимости, которые, если используются хакерами, могут ...