Четверг, 21 января, 16:00
дома Исследования Греческие компании жертвы вымогателей CrySIS / Dharma! Бесконечная атака?

Греческие компании жертвы вымогателей CrySIS / Dharma! Бесконечная атака?

По данным ряда малых и средних предприятий и гигантов в Греции в 2019 году CRYSIS ή Dharma вымогателей, которая с 2016 года сеет террор для своих жертв, заразила несколько компаний.

CRYSIS

В то время как мировое интернет-сообщество почувствовало, что тирания CrySIS Ransomware закончилась, несколько Греческие компании они отрицают это, влюбляясь в его жертв вредоносных программ и платить - большинство из них - большие суммы денег за расшифровку их файлов.

На самом деле, согласно Лаборатории Malwarebytesво всем мире вы наблюдаете увеличение числа вымогателей CrySIS на 148% с февраля по март 2019 года.

В греческом деловом мире вымогателей Кажется, беспокоили несколько компаний которые считали себя неприкосновенными или которые никогда не ожидали быть целью Хакеры.

После исследования SecNews, οι Хакеры за терактами стоят исключительно с целью заработать деньги спрашивая как выкуп, Это означает, что компании не являются объектом личных интересов или заговоров со стороны своих конкурентов.

Οι Хакеры они действуют как «профессионалы» и, как только они получают выкуп, отправляют ключ расшифровки в файлы.

Согласно исследованию SecNews, китайцы и / или русские, скорее всего, стоят за атаками. хакерские команды, Фактически это организованные группы, которые заработали миллионы (!) Долларов [б. 500.000.000 миллионов долларов] злоумышленных действий.

CrySIS греческие компании

Что такое CrySISДхарма вымогателей и как это работает?

Цели CrySIS / Dharma Windows системы, и в основном нацелен на бизнес, Он использует различные методы распространения:

  • CrySIS распространяется как вредоносные вложения в спам электронная почта, В частности, вредоносные вложения используют дубликаты расширений файлов, которые в настройках Windows по умолчанию могут казаться неисполняемыми, пока они на самом деле.
  • CrySIS также может в конечном итоге замаскированные под установочные файлы для законного программного обеспечения, включая AV продавцы, Хакеры, стоящие за CrySIS, предлагают инсталляторы «acacia» для различных легитимных приложений в виде исполняемых файлов, которые можно загружать и которые распространяются через различные веб-сайты и публичные сети.
  • Большую часть времени, CrySIS / Dharma доставляется вручную на целевые атаки с использованием учетных данных RDP утечка или слабость. Это означает, что злоумышленник имеет доступ к жертвам машины до грубого принуждения. атаковать по протоколу Windows RDP через порт 3389.

В недавней атаке CrySIS была отправлена ​​в виде ссылки на спам по электронной почте. Ссылка перенаправляет на установщик, который защищен пароль, Пароль был сообщен потенциальным жертвам в электронном письме, и в дополнение к исполняемому файлу CrySIS / Dharma программа установки содержала устаревшее средство удаления от известного поставщика средств безопасности.

это компания машиностроение стратегия был использован, чтобы держать пользователей подозрительными. Видя знакомое решение по безопасности в установочном пакете, можно считать его безопасным.

CrySIS Ransomware греческих компаний

инфекция

Как только CrySIS заражает систему, создает записи реестра и шифрует практически каждый тип файла, минуя системные и вредоносные файлы. Выполняет шифрование с использованием одного сильный алгоритм шифрования (AES-256 в сочетании с асимметричным шифрованием RSA-1024), который применяется к фиксированным, съемным и сетевым дискам.

До шифрования CrySIS удаляет все точки восстановления Windows выполнение команды vssadmin delete shadows / all / quiet.

Это троянец который распространяется из-за вымогателей собирает имя компьютера и количество зашифрованных файлов из определенных форматов, отправив их на удаленный сервер C2, контролируемый им хакер, В некоторых версиях Windows он также пытается действует с правами администратора, тем самым расширяя список файлов, которые можно зашифровать.

После успешной атаки RDP было замечено, что перед выполнением полезной нагрузки вымогателей, CrySIS удаляет его программное обеспечение безопасности установлен в системе.

вымогателей греческих компаний

Выкуп

Когда CrySIS завершает шифрование, оставляет записку на рабочем столе с указанием суммы, которую жертва должна заплатить если он хочет получить свои файлы, предоставив два адреса электронной почты для связи с хакерами.

Требуемый выкуп обычно составляет около 1 Bitcoin, но были случаи, когда цены, по-видимому, были скорректированы с учетом дохода пострадавшей компании. Экономически обоснованные компании часто платят больше.

Как защитить себя?

Хотя у вас есть возможность использовать другое программное обеспечение для удаленной работы на ваших рабочих компьютерах, RDP - это, по сути, безопасный и простой в использовании протокол с предустановленным клиентом в системах Windows, а также клиентами, доступными для других операционных систем. Есть несколько шагов, которые вы можете предпринять, чтобы кому-то было намного сложнее получить доступ к вашей сети через неавторизованные соединения. RDP:

  • Используйте это, чтобы сделать это более грубым для грубой силы, чтобы преуспеть надежные пароли.
  • Не выключайте проверка подлинности на уровне сети (Аутентификация на сетевом уровне - NLA) так как он предлагает дополнительный уровень аутентификации. Включите, если это еще не было.
  • Изменить порт RDP так что сканеры портов, ищущие открытые порты RDP, потеряют ваши. По умолчанию сервер слушает дверь 3389 как для TCP, так и для UDP.
  • Ή использовать удаленный сервер Gateway Server, что также дает вам некоторые дополнительные преимущества в плане безопасности и эксплуатации, такие как 2FA. Τα бревна сеансов RDP может быть очень полезным, когда вы хотите контролировать различные движения. Поскольку эти журналы не найдены на взломанной машине, хакерам сложнее подделать.
  • Ограничить доступ к определенным IP-адресамесли возможно. Там не должно быть необходимости для многих IP-адреса что нужен доступ к RDP.
  • Существует множество возможностей увеличить пользовательские разрешения на компьютерах с Windows даже при использовании RDP, но все известные методы были исправлены. Поэтому, как всегда, убедитесь, что ваши системы полностью обновлены заплата.
  • Используйте эффективный и простой в использовании стратегия резервного копирования. Доверие к точкам восстановления не соответствует требованиям и совершенно бесполезно, когда Ransomware впервые удаляет точки восстановления, как в случае CrySIS.
  • Обучить персонал о тебе фишинговые атаки и повысить осведомленность о кибербезопасности.
  • конец, используйте многоуровневое, передовое решение для безопасности чтобы защитить ваши машины от атак вымогателей.

МНК

TИзвестно, что Ransom.Crysis использует эти расширения для зашифрованных файлов:

.crysis, .dharma, wallet, .java, .adobe, .viper1, .write, .bip, .zzzzz, .viper2, .arrow, .gif, .xtbl, .onion, .bip, .cezar, .combo, .cesar, .cmb, .AUF, .arena, .brrr, .btc, .cobra, .gamma, .heets, .java, .monro, .USA, .bkp, .xwx, .btc, .best, .bgtx , .boost, .heets, .waifu, .qwe, .gamma, .ETH, .bet, ta, .air, .vanss ,. 888, .FUNNY, .amber, .gdb, .frend, .like, .KARLS, .xxxxx, .aqva, .lock, .korea, .plomb, .tron, .NWA, .AUDIT, .com, .cccmn, .azero, .Bear, .bk666, .fire, .stun, .myjob, .ms13, .war, .carcn, .risk, .btix, .bkpx, .he, .ets, .santa, .gate, .bizer , .LOVE, .LDPR, .MERS, .bat, .qbix, .aa1, и .wal

 

До настоящего времени был обнаружен следующий выкуп имена:

  • текст
  • КАК расшифровать ваши данные.txt
  • Readme для восстановления ваших файлов .txt
  • Инструкция по расшифровке.txt
  • FILES ENCRYPTED.txt
  • Файлы зашифрованы !! .txt
  • HTA

Общие хэши файлов:

  • 0aaad9fd6d9de6a189e89709e052f06b
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c

 

вымогателей

Если вы стали жертвой этой атаки, вы можете связаться с исследовательской группой SecNews нажав на https://www.secnews.gr/ask-us/.

 

В целях конфиденциальности имена греческих компаний, ставших жертвами CrySIS.Дхарма вымогателей, не разглашается.

 

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

COSMOTE и Microsoft предоставляют новые облачные решения для бизнеса

COSMOTE и Microsoft расширяют свое сотрудничество, предлагая еще более продвинутые и высококачественные облачные решения для больших и малых ...

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...

Microsoft: «нулевое доверие» защищает от изощренных хакерских атак

Согласно Microsoft, методы, использованные хакерами SolarWinds, были сложными, но распространенными и предотвратимыми. Чтобы избежать атак в будущем ...

США: Twitter блокирует аккаунт посольства Китая из-за «дегуманизации»

Твиттер заявил, что заблокировал аккаунт посольства Китая в США за твит о его женщинах ...

Жертвы программ-вымогателей платят выкуп, чтобы предотвратить утечку их данных

Хранение резервных копий очень важно, особенно в случае атак программ-вымогателей. Однако похоже, что хакеры используют новые методы, с ...

Поклонники QAnon: разочарованы в социальных сетях после приведения Байдена к присяге

Некоторые сторонники QAnon выразили разочарование в онлайн-форумах и чатах по поводу приведения к присяге Джо Байдена. Наиболее...

COVID-19: Amazon хочет помочь Байдену распространять вакцины

Amazon предложила помочь президенту Байдену распространять вакцины от COVID-19. Письмо от Дэйва Кларка, вице-президента ...

Nitro PDF: утечка базы данных с 77 миллионами пользовательских файлов!

20 января хакер просочился из украденной базы данных, содержащей адреса электронной почты, имена и пароли для более ...