Американският Интернет център за докладване на престъпления (Internet Crime Complaint Center, IC3) и Федералното бюро за разследвания на САЩ алармират за появата на нова тактика на рансъмуер група, която атакува активно организации и институции в страната и по света.

Познат още като HDDCryptor, рансъмуера Mamba е известен от години в Мрежата, но наскоро атаките с програмата са получили внезапен ръст, което е и причината американските власти да издадат този специален бюлетин. Вместо да използват своят собствена програма за криптиране или модифициран модел на познат рансъмуер, престъпниците са интегрирали в своите операции широкодостъпния и популярен софтуер с открит код Disk Cryptor. Програмата често се рекламира като достойна алтернативна на инструмента на Microsoft BitLocker и се използва, както за пълно, така и за частично дисково криптиране.

Disk Cryptor бива използван пакетиран с програмно решение на престъпниците и след като попадне и се изпълни на системата, рансъмуер инсталира своята собствена услуга, след което рестартира машината, което е нужно за инсталиране на драйвера на програмата, обясняват от IC3 (pdf).

„Криптиращият ключ и променливата, определяща времето на изключване се запазват в конфигурационния файл (myConf.txt) и могат да бъдат прочетени до втория рестарт след около два часа, когато и същинското криптиране вече е приключило и се появява бележката с искането на откуп. Ако бъдат засечени файлове, свързани с DiskCryptor трябва да бъде направен опит да се определи дали конфигурационния файл все още е достъпен. Ако може, то тогава данните могат да се възстановят без заплащане на откуп. Тази възможност е ограничена до момента, в който системата се рестартира за втори път“, обясняват специалистите.

Освен очакваните съвети за минимизиране на щетите от потенциална рансъмуер атака, като поддържането на софтуера винаги актуален, правенето на редовни резервни копия, използването на мрежова сегментация, използването на мултифакторна защита, промяна на паролите и деактивирането на неактините точки за отдалечен достъп, IC3 предоставят и съвет за конкретния случай – включването на основните файлове на Disk Cryptor в черния списък, използван от решенията за защита в организацията.

2.7 3 гласа
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари