Cara Mengendalikan Ragnom Locker Ransomware (05.19.24)

Ransomware adalah perisian hasad yang sangat jahat kerana penyerang menuntut mangsa membayar data pentingnya agar tidak dibebaskan dari tebusan. Ransomware secara diam-diam menjangkiti peranti mangsa, menyulitkan data penting (termasuk fail sandaran), kemudian meninggalkan petunjuk mengenai berapa banyak wang tebusan yang harus dibayar dan bagaimana ia harus dibayar. Setelah semua kerumitan ini, mangsa tidak mempunyai jaminan bahawa penyerang akan melepaskan kunci penyahsulitan untuk membuka kunci fail. Dan jika mereka pernah melakukannya, beberapa fail mungkin rosak, sehingga akhirnya tidak berguna

Selama bertahun-tahun, penggunaan ransomware semakin popular kerana ini adalah kaedah paling langsung bagi penggodam untuk mendapatkan wang. Mereka hanya perlu menjatuhkan perisian hasad, kemudian menunggu pengguna menghantar wang melalui Bitcoin. Menurut data dari Emsisoft, jumlah serangan ransomware pada tahun 2019 meningkat 41% berbanding tahun sebelumnya, yang mempengaruhi sekitar 1,000 organisasi A.S. Cybersecurity Ventures meramalkan bahawa ransomware akan menyerang perniagaan setiap 11 saat. . Penyerang menuntut 1,580 bitcoin sebagai tebusan, yang setara dengan sekitar $ 11 juta.

Apa itu Ragnar Locker Ransomware?

Ragnar Locker adalah malware jenis ransomware yang dibuat bukan hanya untuk mengenkripsi data, tetapi juga untuk membunuh aplikasi yang dipasang, seperti ConnectWise dan Kaseya, yang biasanya digunakan oleh penyedia perkhidmatan yang dikendalikan dan beberapa perkhidmatan Windows. Ragnar Locker menamakan semula fail yang dienkripsi dengan menambahkan peluasan unik yang terdiri daripada kata ragnar diikuti oleh rentetan nombor dan aksara rawak. Sebagai contoh, fail dengan nama A.jpg akan diganti namanya menjadi A.jpg.ragnar_0DE48AAB.

Setelah menyulitkan fail, ia kemudian membuat mesej tebusan menggunakan fail teks, dengan format nama yang sama dengan dengan contoh di atas. Mesej tebusan boleh diberi nama RGNR_0DE48AAB.txt.

Ransomware ini hanya berjalan pada komputer Windows, tetapi belum pasti apakah pengarang perisian hasad ini juga telah merancang Ragnar Locker versi Mac. Ini biasanya mensasarkan proses dan aplikasi yang biasa digunakan oleh penyedia perkhidmatan terkelola untuk mencegah serangan mereka agar tidak dapat dikesan dan dihentikan. Ragnar Locker hanya ditujukan kepada pengguna berbahasa Inggeris.

Ragnar Locker ransomware pertama kali dikesan sekitar akhir Disember 2019, ketika digunakan sebagai bagian dari serangan terhadap jaringan yang dikompromikan. Menurut pakar keselamatan, serangan Ragnar Locker ke gergasi tenaga Eropah adalah serangan yang difikirkan baik dan dirancang secara menyeluruh.

Berikut adalah contoh mesej tebusan Ragnar Locker:

Helo *!

********************

Sekiranya anda membaca mesej ini, maka rangkaian anda DIJALANKAN dan semua fail anda dan data telah DIKENAKAN

oleh RAGNAR_LOCKER!

********************

********* Apa yang berlaku dengan sistem anda? * ***********

Rangkaian anda ditembusi, semua fail dan sandaran anda terkunci! Oleh itu, dari sekarang, TIDAK ADA SATU YANG BOLEH MEMBANTU ANDA untuk mengembalikan fail anda, KECUALI KAMI.

Anda boleh google, tidak ada Peluang untuk menyahsulit data tanpa RAHSIA RAHSIA kami.

Tetapi jangan risau! Fail anda TIDAK KEROSAKAN atau HILANG, hanya diubah suai. Anda boleh mendapatkannya KEMBALI sebaik sahaja anda MEMBAYAR.

Kami hanya mencari WANG, jadi tidak ada minat bagi kami untuk mengemas atau menghapus maklumat anda, itu hanya USAHA $ -)

Bagaimanapun anda boleh merosakkan DATA anda sendiri sekiranya anda cuba MENGHASILKAN oleh perisian lain, tanpa KUNCI ENCRYPTION KHUSUS KAMI !!!

Juga, semua maklumat sensitif dan peribadi anda dikumpulkan dan jika anda memutuskan TIDAK membayar,

kami akan memuat naiknya untuk tatapan umum!

****

*********** Bagaimana cara mengembalikan fail anda? ******

Ke nyahsulitkan semua fail dan data yang harus anda bayar untuk enkripsi KEY:

Dompet BTC untuk pembayaran: *

Jumlah yang perlu dibayar (dalam Bitcoin): 25

****

*********** Berapa lama masa yang perlu anda bayar? **********

* Anda harus menghubungi kami dalam 2 hari setelah anda menyedari enkripsi untuk mendapatkan harga yang lebih baik.

* Harga akan dinaikkan sebanyak 100% (harga berganda) setelah 14 Hari jika tidak ada kontak yang dilakukan.

* Kunci akan dihapus sepenuhnya dalam 21 hari jika tidak ada kontak yang dibuat atau tidak ada kesepakatan yang dibuat.

Beberapa maklumat sensetif yang dicuri dari pelayan fail akan dimuat secara terbuka atau ke penjual semula.

****

*********** Bagaimana jika fail tidak dapat dipulihkan? ******

Untuk membuktikan bahawa kami benar-benar dapat menyahsulitkan data anda, kami akan menyahsulitkan salah satu fail anda yang terkunci!

Hantarkan sahaja kepada kami dan anda akan mengembalikannya secara PERCUMA.

Harga dekripsi berdasarkan ukuran rangkaian, jumlah pekerja, pendapatan tahunan.

Jangan ragu untuk menghubungi kami untuk jumlah BTC yang harus dibayar.

****

! JIKA anda tidak tahu bagaimana mendapatkan bitcoin, kami akan memberi anda nasihat bagaimana menukar wang.

!!!!!!!!!!!!!

! DI SINI ADALAH MANUAL YANG SEDERHANA CARA MENDAPATKAN KONTCAT DENGAN KAMI!

!!!!!!!!!!!!!

1) Pergi ke laman web rasmi messenger TOX (hxxps: //tox.chat/download.html)

2) Muat turun dan pasang qTOX pada PC anda, pilih platform (Windows, OS X, Linux, dll.)

3) Buka messenger, klik "New Profile" dan buat profil.

4) Klik butang "Tambah teman" dan cari kenalan kami *

5) Untuk pengenalan, kirimkan ke data sokongan kami dari —RAGNAR SECRET—

PENTING ! JIKA atas beberapa sebab anda TIDAK DAPAT MENGHUBUNGI kami di qTOX, berikut adalah kotak surat simpanan kami (*) menghantar mesej dengan data dari —RAGNAR SECRET—

PERINGATAN!

-Jangan cuba mendekripsi fail dengan perisian pihak ketiga (ia akan rosak secara kekal)

-Jangan memasang semula OS anda, ini boleh menyebabkan kehilangan data dan fail selesai tidak boleh didekripsi. TIDAK PERNAH!

-KUNCI RAHSIA anda untuk penyahsulitan ada di pelayan kami, tetapi ia tidak akan disimpan selama-lamanya. JANGAN BUANG MASA!

********************

—RAHSIA RAHSIA—

*

—RAGNAR SECRET—

********************

Apa yang Dilakukan oleh Ragnar Locker?

Ragnar Locker biasanya dihantar melalui alat MSP seperti ConnectWise, di mana penjenayah siber menjatuhkan fail eksekusi ransomware yang sangat disasarkan. Teknik penyebaran ini telah digunakan oleh ransomware yang sangat berbahaya sebelumnya, seperti Sodinokibi. Apabila serangan jenis ini berlaku, penulis ransomware menyusup ke organisasi atau kemudahan melalui sambungan RDP yang tidak terjamin atau tidak selamat. Ia kemudian menggunakan alat untuk menghantar skrip Powershell ke semua titik akhir yang dapat diakses. Skrip kemudian memuat turun muatan melalui Pastebin yang dirancang untuk melaksanakan ransomware dan mengenkripsi titik akhir. Dalam beberapa keadaan, muatan datang dalam bentuk file yang dapat dieksekusi yang diluncurkan sebagai bagian dari serangan berbasis file. Terdapat juga kes ketika skrip tambahan diunduh sebagai bagian dari serangan tanpa fail sepenuhnya.

Ragnar Locker secara khusus menargetkan perisian yang biasanya dijalankan oleh penyedia perkhidmatan yang dikendalikan, termasuk rentetan berikut:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Ransomware terlebih dahulu mencuri fail sasaran dan memuat naiknya ke pelayan mereka. Yang unik dari Ragnar Locker ialah mereka tidak hanya menyulitkan fail tetapi juga mengancam mangsa bahawa data tersebut akan dikeluarkan secara terbuka jika wang tebusan belum dibayar, seperti halnya EDP. Dengan EDP, penyerang mengancam akan melepaskan 10TB data yang dicuri, yang boleh menjadi salah satu kebocoran data terbesar dalam sejarah. Penyerang tersebut mendakwa bahawa semua rakan kongsi, pelanggan, dan pesaing akan diberitahu mengenai pelanggaran tersebut dan data mereka yang bocor akan dikirimkan ke media berita dan media untuk penggunaan awam. Walaupun jurucakap EDP telah mengumumkan bahawa serangan itu tidak memberi kesan pada perkhidmatan tenaga dan infrastruktur utiliti, pelanggaran data yang menjulang adalah sesuatu yang mereka bimbangkan.

Menonaktifkan perkhidmatan dan menghentikan proses adalah taktik umum yang digunakan oleh perisian hasad untuk mematikan program keselamatan, sistem sandaran, pangkalan data, dan pelayan e-mel. Setelah program ini dihentikan, data mereka kemudian dapat dienkripsi.

Ketika pertama kali dilancarkan, Ragnar Locker akan mengimbas pilihan bahasa Windows yang dikonfigurasi. Sekiranya pilihan bahasa adalah bahasa Inggeris, perisian hasad akan diteruskan dengan langkah seterusnya. Tetapi jika Ragnar Locker mengesan bahawa bahasa tersebut ditetapkan sebagai salah satu negara bekas USSR, perisian hasad akan menghentikan prosesnya dan tidak akan menyulitkan komputer.

Ragnar Locker menjejaskan alat keselamatan MSP sebelum mereka dapat menyekat ransomware dari dilaksanakan. Setelah masuk, malware memulakan proses penyulitan. Ia menggunakan kunci RSA-2048 tertanam untuk menyulitkan fail penting.

Ragnar Locker tidak menyulitkan semua fail. Ini akan melangkau beberapa folder, nama fail, dan peluasan, seperti:

  • kernel32.dll
  • Windows
  • Windows.old
  • Penyemak imbas Tor
  • Internet Explorer
  • Google
  • Opera
  • Perisian Opera
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Semua Pengguna
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Selain daripada melampirkan pelanjutan fail baru ke fail yang dienkripsi, Ragnar Locker juga menambah penanda fail 'RAGNAR' di akhir setiap fail yang dienkripsi.

Ragnar Locker kemudian menjatuhkan mesej tebusan bernama '.RGNR_ [extension] .txt' yang mengandungi perincian mengenai jumlah tebusan, alamat pembayaran bitcoin, ID sembang TOX yang akan digunakan untuk berkomunikasi dengan penyerang, dan alamat e-mel sandaran sekiranya terdapat masalah dengan TOX. Tidak seperti ransomware lain, Ragnar Locker tidak mempunyai jumlah tebusan yang tetap. Ini berbeza mengikut sasaran dan dikira secara individu. Dalam beberapa laporan, jumlah tebusan dapat bervariasi antara $ 200,000 hingga $ 600,000. Dalam kes EDP, wang tebusan yang diminta adalah 1,580 bitcoin atau $ 11 juta.

Cara Menghapus Ragnar Locker

Sekiranya komputer anda tidak bernasib baik untuk dijangkiti Ragnar Locker, perkara pertama yang perlu anda lakukan ialah memeriksa jika semua fail anda telah dienkripsi. Anda juga perlu memeriksa sama ada fail sandaran anda juga telah dienkripsi. Serangan seperti ini menekankan pentingnya memiliki sandaran data penting anda kerana sekurang-kurangnya, anda tidak perlu risau kehilangan akses ke fail anda.

Jangan cuba membayar tebusan kerana ia tidak akan berguna. Tidak ada jaminan bahawa penyerang akan mengirimkan kunci penyahsulitan yang betul dan fail anda tidak akan pernah dibocorkan kepada umum. Sebenarnya, sangat mungkin penyerang terus memeras wang daripada anda kerana mereka tahu bahawa anda bersedia membayar.

Apa yang boleh anda lakukan ialah menghapus ransomware terlebih dahulu dari komputer anda sebelum cuba mendekripsi ia. Anda boleh menggunakan aplikasi antivirus atau anti-malware untuk mengimbas perisian hasad komputer dan mengikuti arahan untuk menghapus semua ancaman yang dikesan. Seterusnya, hapus pemasangan aplikasi atau sambungan yang mencurigakan yang mungkin berkaitan dengan perisian hasad.

Akhirnya, cari alat penyahsulitan yang sepadan dengan Ragnar Locker. Terdapat beberapa dekripsi yang telah dirancang untuk fail yang dienkripsi oleh ransomware, tetapi anda harus memeriksa pengeluar perisian keselamatan anda terlebih dahulu jika ada. Sebagai contoh, Avast dan Kaspersky mempunyai alat penyahsulitan mereka sendiri yang boleh digunakan pengguna. Berikut adalah senarai alat penyahsulitan lain yang boleh anda cuba.

Cara Melindungi Diri Anda dari Ragnar Locker

Ransomware boleh menjadi sangat menyusahkan, terutamanya jika tidak ada alat penyahsulitan yang ada yang dapat mengurungkan penyulitan yang dilakukan oleh perisian hasad . Untuk melindungi peranti anda dari ransomware, terutama Ragnar Locker, berikut adalah beberapa petua yang perlu anda perhatikan:

  • Gunakan polisi kata laluan yang kuat, menggunakan pengesahan dua faktor atau pelbagai faktor (MFA) jika boleh. Sekiranya tidak mungkin, buat kata laluan unik dan rawak yang sukar diteka
  • Pastikan mengunci komputer semasa meninggalkan meja anda. Sama ada anda keluar untuk makan tengah hari, berehat sebentar, atau hanya ke tandas, kunci komputer anda untuk mengelakkan akses yang tidak dibenarkan.
  • Buat cadangan data dan pelan pemulihan, terutamanya untuk maklumat penting mengenai komputer. Simpan maklumat paling kritikal yang tersimpan di luar rangkaian atau pada peranti luaran jika boleh. Uji sandaran ini secara berkala untuk memastikan bahawa ia berfungsi dengan betul sekiranya berlaku krisis sebenar.
  • Pastikan sistem anda dikemas kini dan dipasang dengan patch keselamatan terkini. Ransomware biasanya mengeksploitasi kerentanan dalam sistem anda, jadi pastikan keselamatan peranti anda kedap udara.
  • Berhati-hatilah dengan vektor biasa untuk pancingan data, yang merupakan kaedah pengedaran ransomware yang paling biasa. Jangan mengklik pautan rawak dan selalu mengimbas lampiran e-mel sebelum memuat turunnya ke komputer anda.
  • Pasang perisian keselamatan yang kuat pada peranti anda dan perbarui pangkalan data dengan ancaman terkini.

Video YouTube.: Cara Mengendalikan Ragnom Locker Ransomware

05, 2024