Paano Makitungo sa Ragnar Locker Ransomware (05.20.24)

Ang Ransomware ay isang napaka pangit na malware sapagkat hinihiling ng mga umaatake sa biktima na magbayad para sa kanyang mahalagang datos na mailabas mula sa pagiging hostage. Tahimik na nahawahan ng ransomware ang aparato ng biktima, na-encrypt ang mahalagang data (kasama ang mga backup na file), pagkatapos ay nag-iiwan ng mga tagubilin sa kung magkano ang dapat bayaran at kung paano ito dapat bayaran. Matapos ang lahat ng mga hassles na ito, ang biktima ay walang garantiya na palalabasin ng salakay ang decryption key upang ma-unlock ang mga file. At kung sakaling gawin nila ito, ang ilan sa mga file ay maaaring masira, na gawing walang silbi ang mga ito sa huli.

Sa paglipas ng mga taon, ang paggamit ng ransomware ay lumago sa katanyagan dahil ito ang pinaka direktang paraan para kumita ang mga hacker. Kailangan lang nilang i-drop ang malware, pagkatapos ay hintaying magpadala ang gumagamit ng pera sa pamamagitan ng Bitcoin. Ayon sa data mula sa Emsisoft, ang bilang ng mga pag-atake ng ransomware sa 2019 ay tumaas ng 41% sa nakaraang taon, na nakakaapekto sa humigit-kumulang na 1,000 mga organisasyong U.S. Inihula pa ng Cybersecurity Ventures na aatakihin ng ransomware ang mga negosyo tuwing 11 segundo.

Simula ngayong taon, sinalakay ng Ragnar Locker, isang bagong uri ng malware, ang Energias de Portugal (EDP), isang kumpanya ng electric utility sa Portugal, na puno ng opisina sa Lisbon . Ang mga umaatake ay humingi ng 1,580 bitcoin bilang pantubos, na katumbas ng humigit-kumulang na $ 11 milyon.

Ano ang Ragnar Locker Ransomware?

Ang Ragnar Locker ay isang uri ng ransomware ng malware na nilikha hindi lamang upang i-encrypt ang data, kundi pati na rin upang pumatay ng mga naka-install na application, tulad ng ConnectWise at Kaseya, na karaniwang ginagamit ng mga pinamamahalaang service provider at maraming mga serbisyo sa Windows. Pinalitan ng pangalan ng Ragnar Locker ang mga naka-encrypt na file sa pamamagitan ng pagdaragdag ng isang natatanging extension na binubuo ng salitang ragnar na sinusundan ng isang string ng mga random na numero at character. Halimbawa kasama ang halimbawa sa itaas. Ang mensahe ng ransom ay maaaring mapangalanan RGNR_0DE48AAB.txt.

Ang ransomware na ito ay tumatakbo lamang sa mga Windows computer, ngunit hindi pa ito sigurado kung ang mga may-akda ng malware na ito ay nagdisenyo din ng isang bersyon ng Mac ng Ragnar Locker. Karaniwan itong tina-target ang mga proseso at aplikasyon na karaniwang ginagamit ng mga pinamamahalaang service provider upang mapanatili ang kanilang atake mula sa napansin at tumigil. Ang Ragnar Locker ay naglalayon lamang sa mga gumagamit na nagsasalita ng Ingles.

Ang Ragnar Locker ransomware ay unang napansin noong katapusan ng Disyembre 2019, nang ginamit ito bilang bahagi ng pag-atake laban sa mga nakompromiso na network. Ayon sa mga eksperto sa seguridad, ang pag-atake ng Ragnar Locker sa higanteng enerhiya sa Europa ay isang mahusay na naisip at lubusang binalak na pag-atake.

Narito ang isang halimbawa ng mensahe ng ransom na Ragnar Locker:

Kumusta *! Kung babasahin mo ang mensaheng ito, ang iyong network ay NAPATAPOS at lahat ng iyong mga file at ang data ay ENCRYPTED

ni RAGNAR_LOCKER! Paano maganap ang iyong system? * ********* *****

Napasok ang iyong network, ang lahat ng iyong mga file at backup ay naka-lock! Kaya't mula ngayon ay WALANG MAKATULONG SA IYO upang maibalik ang iyong mga file, MALIBAN SA amin.

Ngunit huwag mag-alala! Ang iyong mga file ay HINDI Pinsala o NAWALA, nabago lamang ang mga ito. Maaari mo itong makuha BALIK kaagad sa PAGBAYAD.

PAANO maaari mong mapinsala ang iyong DATA sa pamamagitan ng iyong sarili kung susubukan mong DECRYPT ng anumang iba pang software, nang walang OUR SPECIFIC ENCRYPTION KEY !!!

Paano magbalik ang iyong mga file? i-decrypt ang lahat ng iyong mga file at data na kailangan mong bayaran para sa pag-encrypt SUSI:

BTC wallet para sa pagbabayad: * Halagang babayaran (sa Bitcoin): 25

****

*********** Gaano karaming oras ang kailangan mong bayaran? *********

* Dapat kang makipag-ugnay sa amin sa loob ng 2 araw pagkatapos mong mapansin ang pag-encrypt upang makakuha ng isang mas mahusay na presyo.

* Ang presyo ay tataas ng 100% (dobleng presyo) pagkalipas ng 14 na Araw kung walang contact na ginawa.

* Ang susi ay ganap na mabubura sa loob ng 21 araw kung walang contact na ginawa o walang kasunduan na ginawa. muling nagbebenta. > Upang mapatunayan na maaari talaga naming mai-decrypt ang iyong data, mai-decrypt namin ang isa sa iyong naka-lock na mga file!

Ang presyo para sa decryptor ay batay sa laki ng network, bilang ng mga empleyado, taunang kita.

Mangyaring huwag mag-atubiling makipag-ugnay sa amin para sa halagang BTC na dapat bayaran.

! KUNG hindi mo alam kung paano makakuha ng mga bitcoin, bibigyan ka namin ng payo kung paano palitan ang pera.

NARITO ANG SIMPLE MANUAL KUNG PAANO MAKAKONCONTAT SA AMIN!

!!!!!!!!!!!!!

1) Pumunta sa opisyal na website ng TOX messenger (hxxps: //tox.chat/download.html) 1) I-download at i-install ang qTOX sa iyong PC, piliin ang platform (Windows, OS X, Linux, atbp.)

3) Buksan ang messenger, i-click ang "Bagong Profile" at lumikha ng profile. 4) I-click ang pindutang "Magdagdag ng mga kaibigan" at hanapin ang aming contact * 5) Para sa pagkilala, ipadala sa aming data ng suporta mula sa —RAGNAR SECRET—

MAHALAGA ! KUNG sa ilang kadahilanan HINDI KA MAAARING MAKIKAPAG-ugnay sa amin sa qTOX, narito ang aming reserbang mailbox (*) magpadala ng isang mensahe na may isang data mula sa —RAGNAR SECRET—

BABALA Huwag subukang i-decrypt ang mga file gamit ang anumang software ng third-party (permanenteng masisira ito) Huwag muling i-install ang iyong OS, maaari itong humantong sa kumpletong pagkawala ng data at mga file hindi mai-decrypt. HINDI kailanman!

-Ang iyong Lihim na SUSI para sa pag-decryption ay nasa aming server, ngunit hindi ito maiimbak magpakailanman. HUWAG SAYANG MAG-SASIMBA NG PANAHON!

—RAGNAR SECRET—

***** ***** *****

Ano ang Ginagawa ng Ragnar Locker?

Ang Ragnar Locker ay karaniwang ihinahatid sa pamamagitan ng mga tool ng MSP tulad ng ConnectWise, kung saan ang mga cybercriminals ay naghuhulog ng isang lubos na naka-target na ransomware na maipapatupad na file. Ang pamamaraan ng paglaganap na ito ay ginamit ng nakaraang lubos na nakakahamak na ransomware, tulad ng Sodinokibi. Kapag nangyari ang ganitong uri ng pag-atake, ang mga may-akda ng ransomware ay nakalusot sa mga samahan o pasilidad sa pamamagitan ng hindi ligtas o hindi ligtas na naka-secure na mga koneksyon sa RDP. Gumagamit ito pagkatapos ng mga tool upang magpadala ng mga script ng Powershell sa lahat ng naa-access na mga endpoint. Pagkatapos ay nag-download ang mga script ng isang payload sa pamamagitan ng Pastebin na idinisenyo upang maipatupad ang ransomware at i-encrypt ang mga endpoint. Sa ilang mga pagkakataon, ang payload ay nagmumula sa isang maipapatupad na file na inilunsad bilang bahagi ng isang pag-atake na nakabatay sa file. Mayroon ding mga kaso kapag na-download ang mga karagdagang script bilang bahagi ng isang ganap na pag-atake na walang file.

Ang Ragnar Locker ay partikular na nag-target ng software na karaniwang pinapatakbo ng mga pinamamahalaang mga service provider, kasama ang mga sumusunod na string:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • kumonekta
  • splashtop
  • kaseya

    • Ang ransomware ay unang nakawin ang mga file ng isang target at i-upload ito sa kanilang mga server. Ano ang kakaiba tungkol sa Ragnar Locker ay hindi nila simpleng naka-encrypt ang mga file ngunit nagbabanta rin sa biktima na ang data ay ilalabas sa publiko kung hindi nabayaran ang pantubos, tulad ng kaso sa EDP. Sa EDP, nagbanta ang mga umaatake na palayain ang dapat na 10TB ng ninakaw na data, na maaaring isa sa pinakamalaking paglabas ng data sa kasaysayan. Inangkin ng mga umaatake na ang lahat ng kasosyo, kliyente, at kakumpitensya ay aabisuhan tungkol sa paglabag at ang kanilang naipuslit na data ay ipapadala sa mga balita at imgs ng media para sa pampublikong pagkonsumo. Bagaman inihayag ng tagapagsalita ng EDP na ang pag-atake ay walang epekto sa serbisyo ng kapangyarihan at imprastraktura ng utility, ang umuusbong na paglabag sa data ay isang bagay na pinag-aalala nila.

    Ang hindi pagpapagana ng mga serbisyo at pagwawakas ng mga proseso ay karaniwang taktika na ginagamit ng malware upang hindi paganahin ang mga programa sa seguridad, mga backup system, database, at mga mail server. Kapag natapos na ang mga programang ito, maaaring naka-encrypt ang kanilang data.

    Kapag unang inilunsad, i-scan ng Ragnar Locker ang naka-configure na mga kagustuhan sa wika ng Windows. Kung ang kagustuhan sa wika ay Ingles, magpapatuloy ang malware sa susunod na hakbang. Ngunit kung nakita ng Ragnar Locker na ang wika ay itinakda bilang isa sa mga dating bansa ng USSR, tatapusin ng malware ang proseso at hindi sa pag-encrypt ng computer. ang ransomware mula sa pagpapatupad. Kapag nasa loob na, sinisimulan ng malware ang proseso ng pag-encrypt. Gumagamit ito ng naka-embed na RSA-2048 key upang ma-encrypt ang mga mahahalagang file.

    Ang Ragnar Locker ay hindi naka-encrypt ang lahat ng mga file. Lalaktawan nito ang ilang mga folder, filename, at extension, tulad ng:

    • kernel32.dll
    • Windows
    • Windows.old
    • Tor browser
    • Internet Explorer
    • Google
    • Opera
    • Opera Software
    • Mozilla
    • Mozilla Firefox
    • $ Recycle.Bin
    • ProgramData
    • Lahat ng Mga Gumagamit
    • autorun.inf
    • boot.ini
    • bootfont.bin
    • bootsect.bak
    • bootmgr
    • bootmgr .efi
    • bootmgfw.efi
    • desktop.ini
    • iconcache.db
    • ntldr
    • ntuser.dat
    • ntuser.dat.log
    • ntuser.ini
    • thumbs.db
    • .sys
    • .dll
    • .lnk
    • .msi
    • .drv
    • .exe

    Bukod sa pagdaragdag isang bagong extension ng file sa mga naka-encrypt na file, ang Ragnar Locker ay nagdaragdag din ng isang 'RAGNAR' file marker sa dulo ng bawat naka-encrypt na file.

    Ang Ragnar Locker pagkatapos ay bumaba ng isang mensahe ng ransom na pinangalanang '.RGNR_ [extension] .txt' na naglalaman ng mga detalye sa halaga ng ransom, ang address ng pagbabayad bitcoin, isang TOX chat ID na gagamitin upang makipag-usap sa mga umaatake, at isang backup na email address kung may mga problema sa TOX. Hindi tulad ng iba pang ransomware, ang Ragnar Locker ay walang isang nakapirming halaga ng ransom. Nag-iiba ito ayon sa target at isa-isa itong kinakalkula. Sa ilang mga ulat, ang halaga ng pagtubos ay maaaring mag-iba sa pagitan ng $ 200,000 hanggang $ 600,000. Sa kaso ng EDP, tinanong ang ransom na 1,580 bitcoin o $ 11 milyon.

    Paano Tanggalin ang Ragnar Locker

    Kung ang iyong computer ay sawi na nahawahan ng Ragnar Locker, ang unang bagay na kailangan mong gawin ay suriin kung ang lahat ng iyong mga file ay na-encrypt. Kailangan mo ring suriin kung ang iyong mga backup na file ay na-encrypt din. Ang mga pag-atake na tulad nito ay nagha-highlight ng kahalagahan ng pagkakaroon ng pag-backup ng iyong mahalagang data dahil hindi bababa sa, hindi ka mag-aalala tungkol sa pagkawala ng access sa iyong mga file.

    Huwag subukang bayaran ang ransom dahil magiging walang silbi. Walang garantiya na magpapadala sa iyo ang umaatake ng tamang decryption key at na ang iyong mga file ay hindi kailanman maipalabas sa publiko. Sa katunayan, lubos na posible na ang mga magsasalakay ay magpapatuloy na mang-akit ng pera mula sa iyo dahil alam nila na handa kang magbayad.

    ito Maaari mong gamitin ang iyong antivirus o anti-malware app upang i-scan ang iyong computer para sa malware at sundin ang mga tagubilin na tanggalin ang lahat ng napansin na mga banta. Susunod, i-uninstall ang anumang mga kahina-hinalang app o extension na maaaring nauugnay sa malware.

    Panghuli, hanapin ang isang tool sa pag-decryption na tumutugma sa Ragnar Locker. Mayroong maraming mga decryptor na idinisenyo para sa mga file na naka-encrypt ng ransomware, ngunit dapat mo munang suriin ang tagagawa ng seguridad ng software kung mayroon silang isang magagamit. Halimbawa, ang Avast at Kaspersky ay may sariling decryption tool na maaaring magamit ng mga gumagamit. Narito ang isang listahan ng iba pang mga tool sa pag-decryption na maaari mong subukan.

    Paano Protektahan ang Iyong Sarili mula sa Ragnar Locker

    Ang Ransomware ay maaaring maging lubos na nakakagulo, lalo na kung walang umiiral na tool sa pag-decryption na may kakayahang ma-undo ang pag-encrypt na ginawa ng malware . Upang maprotektahan ang iyong aparato mula sa ransomware, partikular ang Ragnar Locker, narito ang ilan sa mga tip na kailangan mong tandaan:

    • Gumamit ng isang malakas na patakaran sa password, gamit ang isang dobleng kadahilanan o pagpapatotoo ng multi-factor (MFA) kung maaari. Kung hindi posible, bumuo ng mga random, natatanging mga password na mahirap hulaan.
    • Siguraduhin na i-lock ang iyong computer kapag umalis sa iyong desk. Labas ka man para sa tanghalian, pahinga, o pagpunta lamang sa banyo, i-lock ang iyong computer upang maiwasan ang hindi awtorisadong pag-access.
    • Lumikha ng isang backup ng data at plano sa pagbawi, lalo na para sa kritikal na impormasyon sa iyong computer Itabi ang pinaka-kritikal na impormasyon na nakaimbak sa labas ng network o sa isang panlabas na aparato kung maaari. Regular na subukan ang mga backup na ito upang matiyak na gumagana ang tama sa kaganapan ng isang tunay na krisis.
    • Gawing nai-update at na-install ang iyong mga system gamit ang pinakabagong mga patch ng seguridad. Karaniwang nagsasamantala ang Ransomware ng mga kahinaan sa iyong system, kaya tiyaking ang seguridad ng iyong aparato ay mahigpit sa hangin.
    • Mag-ingat sa mga karaniwang vector para sa phishing, na kung saan ay ang pinaka-karaniwang paraan ng pamamahagi ng ransomware. Huwag mag-click sa mga random na link at laging i-scan ang mga attachment ng email bago i-download ang mga ito sa iyong computer.
    • Mag-install ng isang matatag na software ng seguridad sa iyong aparato at panatilihing na-update ang database sa mga pinakabagong banta.

    Youtube Video.: Paano Makitungo sa Ragnar Locker Ransomware

    05, 2024