0xxx – це тип програм-вимагачів, які вперше з’явилися на початку 2021 року і відтоді завдають величезної шкоди організаціям у всьому світі. По суті, 0xxx — це зараження програмним забезпеченням-вимагачем, яке шифрує файли на ПК користувача, додаючи .0XXX до поширених розширень файлів, таких як .txt, .docx, .xlsx. Після зараження перейменовані файли більше не доступні для користувачів. Щоб відновити доступ до заблокованих даних, жертву просять заплатити викуп у біткоїнах. Потім кіберзлочинці, які стоять за інфекцією 0xxx, стверджують, що натомість нададуть інструмент для розшифровки.
Після короткого вступу про програмне забезпечення-вимагач і два його основні типи, ця публікація в блозі охоплює програму-вимагач 0xxx, методи захисту даних та способи відновлення даних, якщо ваша система заражена.
Перш ніж почати
Щоб уникнути катастрофічної втрати даних через атаку програм-вимагачів, використовуйте NAKIVO Backup & Replication, щоб забезпечити безпеку та доступ до критичних даних у будь-який час. Рішення для резервного копіювання та аварійного відновлення дає змогу підтримувати декілька копій робочих навантажень для різних цілей, захищати дані резервного копіювання від шифрування програмами-вимагателями та виконувати швидке відновлення, щоб уникнути тривалого простою.
Що таке Ransomware?
Програми-вимагачі – це тип зловмисного програмного забезпечення, яке зазвичай встановлюється на пристрій без відома або згоди користувача. У більшості випадків, як тільки пристрій зараджено, програма-викуп шифрує деякі або всі файли, і кіберзлочинці вимагають плату в обмін на інструмент розшифровки (який може надаватися або не надаватися навіть після сплати викупу). Програми-вимагачі найчастіше встановлюються, натискаючи посилання в фішингових електронних листах або відкриваючи шкідливі вкладення від невідомих відправників.
Програма-вимагач не тільки блокує доступ до файлів, але також може поширюватися з одного пристрою на інший у мережі, копіюючи себе в мережеві пристрої зберігання даних або хмарні облікові записи. Тільки це класифікує програмне забезпечення-вимагач як одну з найбільш небезпечних форм зловмисного програмного забезпечення та кіберзагроз загалом.
Ідея програм-вимагачів полягає в тому, щоб максимально ускладнити жертвам отримання своїх даних. Деякі варіанти програм-вимагачів жертвують цілісністю даних після шифрування або навіть дозволяють хакерам вносити зміни або видаляти файли. Це робить надзвичайно складним для жертв відновлення даних і може призвести до постійної втрати даних без створення резервних копій, які можна використовувати для відновлення на момент часу.
Типи програм-вимагачів
Програми-вимагачі можна розділити на два основних типи: нешифруючі та шифрувальні.
Нешифруюча програма-вимагачі, не шифрує файли. Натомість віна тримає вашу систему в заручниках. Цей тип програм-вимагачів відображає повідомлення під час запуску операційної системи або під час відкриття браузера, в якому повідомляється, що пристрій, який використовується, був захоплений урядом (або державним органом) через незаконну діяльність. Вимагають викуп в обмін на зняття звинувачень проти вас і розблокування вашого пристрою. Як правило, нешифруючі програми-вимагачі не впливають на цілісність ваших даних і можуть бути видалені з пристрою.
З іншого боку, шифруюче програмне забезпечення-викуп проникає у ваш пристрій, як правило, через шкідливе вкладення електронної пошти або фішингове посилання та блокує доступ до файлів і програм на цьому пристрої, доки ви не сплатите вказаний викуп. Але навіть після сплати викупу ви не гарантуєте, що отримаєте інструмент розшифровки, щоб відновити доступ до ваших файлів. У деяких випадках зловмисники можуть також погрожувати оприлюднити деякі конфіденційні дані.
Шифрування програм-вимагачів є найшкідливішим типом програм-вимагачів і, можливо, однією з найжорстокіших кіберзагроз, які з’явилися за останні роки. Компанії, які платять великі суми грошей, щоб повернути свої дані, заохочують кіберзлочинців розширювати свою діяльність і націлюватися на більше жертв.
Що таке 0xxx?
0xxx — це тип шифруючого програмного забезпечення-вимагача, який використовує алгоритми AES і RSA для шифрування файлів. AES і RSA — це потужні стандарти безпеки шифрування, які використовуються урядами та організаціями з конфіденційними даними. Протягом багатьох років стандарти AES і RSA поступово стали основним продуктом світу програм-вимагачів, оскільки обидва алгоритми вважаються основною рушійною силою деяких з найвідоміших штамів, таких як Cryptolocker і Teslacrypt.
Як і інші програми-вимагачі в тій же категорії, такі як Redeemer, Ouelezin Zebi та Iqll, 0xxx забороняє доступ до файлів, шифруючи їх, перейменовує їх розширення та створює текстовий файл у кожній папці на зараженому диску, що містить повідомлення з вимогою викупу. .
Згенерований файл «!0XXX_DECRYPTION_README.TXT» містить набір інструкцій, яких жертви повинні дотримуватися, щоб розшифрувати свої дані. Але спочатку жертви повідомляють, що всі їхні файли були зашифровані вірусом 0xxx і що інструмент розшифровки можна придбати за біткоїн.
Потім жертв просять надіслати електронною поштою унікальний ідентифікатор (32-значний шістнадцятковий код у верхньому регістрі), призначений їм разом із трьома зашифрованими файлами на вказану адресу. В якості підтвердження концепції жертвам надсилають електронною поштою три раніше надіслані файли, повністю розшифровані та без вірусів. У цьому ж електронному листі жертви отримають адресу біткоїн-гаманця, на яку потрібно переказати вказаний викуп. Нарешті, кіберзлочинці, які стоять за вірусом 0xxx, зобов’язуються надіслати інструмент дешифрування після здійснення платежу.
Ось знімок екрана текстового файлу 0xxx з програмою-вимагачем, який інструктує жертву, як сплатити викуп:
Як 0xxx зараджає комп’ютери?
Незважаючи на те, що програмне забезпечення-вимагач для поширення покладається на безліч переносників інфекції, двома найпоширенішими способами поширення 0xxx кіберзлочинцями є фішингові електронні листи та зловмисне програмне забезпечення троянів.
Найпоширеніший з усіх векторів, фішинг став більш складним і небезпечним, ніж будь-коли раніше. Фішинговий електронний лист – це лист-шахрайство, який змушує одержувача натиснути посилання або завантажити шкідливий вміст, що може призвести до атаки програм-вимагачів. Фішингові електронні листи створені так, ніби вони надіслані з надійного джерела, наприклад, банку чи компанії, що займається кредитними картками. Такі електронні листи можуть містити файли, які діють як носії програм-вимагачів. Після завантаження та встановлення шкідливі файли можуть негайно заразити систему програмним забезпеченням-вимагачем 0xxx.
Троян — це тип зловмисного програмного забезпечення, яке на перший погляд здається законним програмним забезпеченням, але запрограмоване на пошкодження даних у системі чи мережі. Трояни часто випадково завантажуються з підозрілих веб-сайтів, які стверджують, що містять незаконні інструменти активації (також звані «краком») та підроблені оновлення для таких програм, як Google Chrome або Microsoft Office. Після встановлення троянське зловмисне програмне забезпечення може відкрити бекдор для зловмисника, який може переглядати та маніпулювати даними на хост-системі. Якщо зловмисник успішно отримує повний доступ до системи, можна легко здійснити ін’єкцію програм-вимагачів, наприклад 0xxx.
Як виявити 0xxx Ransomware?
Є кілька індикаторів, які можуть допомогти вам виявити 0xxx ransomware на вашому пристрої:
• Підозрілі зміни розширень імен файлів. Перший порядок дій програми-вимагача 0xxx — додати .0XXX до всіх розширень файлів. Це конкретне програмне забезпечення-вимагач зберігає оригінальні імена файлів. Наприклад, document.pdf перетворюється на document.pdf.0XXX. Це не просте перейменування розширення назви файлу, а скоріше ознака того, що файл був зашифрований.
• Висока активність ЦП: програма-вимагач 0xxx споживає багато ресурсів, і, як наслідок, програми можуть бути помітно повільнішими у запуску та завантаженні. Шифрування та перейменування тисяч файлів — це завдання, що вимагає багато процесора, і воно може уповільнити роботу системи до такої міри, що вона перестане реагувати.
• Неможливість доступу до файлів. Основна мета програми-вимагача 0xxx – заборонити вам доступ до файлів. Якщо файли та документи зашифровані, їх не можна відкрити, і для відновлення їх початкового стану потрібно використовувати інструмент розшифровки. Інструмент розшифровки можна надати лише після сплати вказаного викупу.
• Ненормальний мережевий зв’язок: якщо ваша система заражена програмним забезпеченням-вимагачем 0xxx, у вас може виникнути сповільнення Інтернету. Кіберзлочинці, які стоять за атаками програм-вимагачів, можуть створити систему зв’язку між своїми серверами та зараженими комп’ютерами для маніпулювання файлами. Це може призвести до постійних проблем з підключенням.
Як захистити системи від програм-вимагачів?
Організації будь-якого розміру не повинні недооцінювати загрозу програм-вимагачів. Незалежно від того, наскільки надійною є ваша система безпеки, програми-вимагачі все одно можуть знайти свій шлях на вашому комп’ютері чи комп’ютері співробітника. Жодна організація не застрахована від загрози програм-вимагачів. Тому, щоб захистити дані вашої організації від будь-якої форми програмного забезпечення-вимагача, ви повинні застосувати багатошаровий підхід.
Навчати співробітників
Створіть ефективну навчальну програму для працівників із програмним забезпеченням-вимагачем, щоб навчити колег, що таке програмне забезпечення-вимагач і як воно працює. Ви також повинні розповісти, як уникнути зараження зловмисним програмним забезпеченням і як реагувати на атаку програм-вимагачів, якщо і коли це станеться.
Регулярне надсилання електронної пошти співробітникам про новини про програмне забезпечення-вимагач і небезпеку, пов’язану з кіберзагрозами, є хорошою практикою, особливо якщо робочий процес вашої організації покладається на хмарні інструменти продуктивності та співпраці, як-от Microsoft Office 365.
Проведення регулярних тренінгів щодо обізнаності з програмним забезпеченням-вимагачем може значно допомогти співробітникам розрізняти шахрайський і законний вміст, який можна знайти в електронних листах, вкладених файлах і на веб-сайтах. Отже, ймовірність помилкових дій, таких як відкриття фішингових посилань і завантаження шкідливого програмного забезпечення, може значно знизитися.
Налаштуйте фільтри електронної пошти
Більшість основних служб електронної пошти включають фільтри, які можуть захистити вас або ваших колег від кіберзагроз, зокрема від програм-вимагачів. Деякі служби пропонують розширені заходи безпеки, як-от автоматичне виявлення та відхилення підозрілих листів з ненадійних або невідомих джерел. Раніше я розповідав про те, як налаштувати Microsoft Defender для Office 365 для захисту від фішингу та імітації, і перераховував усі кроки, необхідні для максимального захисту електронної пошти.
Скануйте та відстежуйте вашу систему
Запуск запланованого повного сканування системи за допомогою оновленої антивірусної або антивірусної програми може допомогти виявити підозрілу активність, таку як масове перейменування розширення файлу або незвичайне використання диска. Антивірус з останнім визначенням може нейтралізувати загрозу програм-вимагачів, поміщаючи в карантин завантажене зловмисне програмне забезпечення, таким чином обмежуючи поширення інфекції у вашій системі та мережі. Також переконайтеся, що ви встановили найновіші виправлення безпеки для вашої операційної системи, як тільки вони стануть доступними.
Резервне копіювання даних
Регулярне створення резервних копій відповідно до правила резервного копіювання 3-2-1 гарантує, що ваші дані зможуть пережити атаку програм-вимагачів з мінімальною шкодою. Правило 3-2-1 є широко використовуваним і ефективним методом резервного копіювання даних. Правило передбачає, що ви повинні зберігати принаймні 3 копії ваших даних і зберігати їх на 2 різних видах носіїв, зберігаючи 1 копію поза межами сайту.
Крім того, ви можете використовувати нові технології резервного копіювання, як-от незмінні резервні копії, щоб захистити свої дані від програм-вимагачів. Завдяки незмінним резервним копіям, які покладаються на модель WORM (Write Once Read Many), ваші дані створюються в тому сховищі, який можна записати один раз. До даних на цьому томі можна отримати доступ багато разів, але їх неможливо перезаписати, змінити чи видалити протягом певного періоду часу.
Як відновити файли після атаки 0xxx Ransomware?
Якщо ваш комп’ютер заражений програмним забезпеченням-вимагачем 0xxx, ви не зможете відновити будь-які дані, якщо не заплатите викуп, або, принаймні, кіберзлочинці хочуть, щоб ви вірили. Хоча антивірусне або антивірусне програмне забезпечення може видалити зловмисне програмне забезпечення та обмежити його поширення, вони не надають вам можливості відновити вже заражені файли. Єдиним рішенням є відновлення файлів із резервної копії, якщо вона була створена до зараження та зберігається в іншому місці.
Якщо ви шукаєте повне рішення для захисту даних, розгляньте можливість розгортання NAKIVO Backup & Replication. NAKIVO Backup & Replication може забезпечити високоякісний захист для всіх середовищ, включаючи віртуальні, фізичні, хмарні та SaaS. Використовуйте рішення для захисту машин VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Amazon EC2, Windows/Linux і даних Microsoft 365.
NAKIVO Backup & Replication пропонує ваші резервні копії даних ще один рівень захисту від програм-вимагачів. Рішення дозволяє зробити ваші дані резервного копіювання незмінними на стільки часу, скільки вам потрібно, як у локальному сховищі ОС Linux, так і в сегментах Amazon S3. Таким чином, ваші резервні копії не можуть бути змінені, перезаписані або видалені, доки не закінчиться цей період. Якщо ваші резервні копії заблоковані, дані резервної копії захищені від шифрування програмним забезпеченням-вимагачем, і ви можете швидко відновити їх, якщо зловмисна атака, як-от 0XXX, вразить ваші системи.
Бажаєте використовувати інноваційні та сучасні технології, надсилайте листа на info@wiseit.com.ua або заповніть форму зворотнього зв’язку.
Nakivo — компанія, що розробляє програмне забезпечення для аварійного відновлення, яке забезпечує резервне копіювання, реплікацію та відновлення ВМ для середовищ VMware.
Компанія Nakivo зупинила бізнес у Росії та Білорусії, на підтримку України та її суверенної незалежності. Компанія Wise IT вдячна своїм партнерам за підтримку санкції для країн-агресорів, які оголосили США, ЄС та ще понад 30 країн світу.
Слава Україні!