Como lidar com o Ragnar Locker Ransomware (05.20.24)
Ransomware é um malware muito desagradável porque os atacantes exigem que a vítima pague por seus dados importantes para serem liberados do refém. O ransomware infecta furtivamente o dispositivo da vítima, criptografa os dados importantes (incluindo os arquivos de backup) e deixa instruções sobre quanto resgate deve ser pago e como deve ser pago. Depois de todos esses aborrecimentos, a vítima não tem garantia de que o invasor irá realmente liberar a chave de descriptografia para desbloquear os arquivos. E se isso acontecer, alguns dos arquivos podem ser corrompidos, tornando-os inúteis no final.
Com o passar dos anos, o uso de ransomware cresceu em popularidade porque é a maneira mais direta de os hackers ganharem dinheiro. Eles só precisam eliminar o malware e esperar que o usuário envie dinheiro por meio do Bitcoin. De acordo com dados da Emsisoft, o número de ataques de ransomware em 2019 aumentou 41% em relação ao ano anterior, afetando cerca de 1.000 organizações dos EUA. A Cybersecurity Ventures chegou a prever que o ransomware atacará as empresas a cada 11 segundos.
No início deste ano, Ragnar Locker, uma nova cepa de malware, atacou a Energias de Portugal (EDP), uma empresa portuguesa de energia elétrica com sede em Lisboa . Os invasores exigiram 1.580 bitcoins como resgate, o que equivale a cerca de US $ 11 milhões.
O que é Ragnar Locker Ransomware?Ragnar Locker é um tipo de malware ransomware criado não apenas para criptografar dados, mas também para eliminar aplicativos instalados, como ConnectWise e Kaseya, que geralmente são usados por provedores de serviços gerenciados e vários serviços do Windows. O Ragnar Locker renomeia os arquivos criptografados acrescentando uma extensão única composta da palavra ragnar seguida por uma sequência de números e caracteres aleatórios. Por exemplo, um arquivo com o nome A.jpg será renomeado para A.jpg.ragnar_0DE48AAB.
Depois de criptografar os arquivos, ele cria uma mensagem de resgate usando um arquivo de texto, com o mesmo formato de nome que com o exemplo acima. A mensagem de resgate pode ter o nome RGNR_0DE48AAB.txt.
Este ransomware só funciona em computadores Windows, mas ainda não é certo se os autores desse malware também projetaram uma versão para Mac do Ragnar Locker. Ele geralmente visa processos e aplicativos comumente usados por provedores de serviços gerenciados para evitar que seus ataques sejam detectados e interrompidos. O Ragnar Locker destina-se apenas a usuários que falam inglês.
O ransomware Ragnar Locker foi detectado pela primeira vez no final de dezembro de 2019, quando foi usado como parte de ataques contra redes comprometidas. De acordo com especialistas em segurança, o ataque do Ragnar Locker ao gigante europeu da energia foi um ataque bem planejado e planejado.
Aqui está um exemplo da mensagem de resgate do Ragnar Locker:
> Olá *!********************
Se você está lendo esta mensagem, então sua rede foi PENETRADA e todos os seus arquivos e os dados foram ENCRYPTED
por RAGNAR_LOCKER!
********************
********* O que acontece com o seu sistema? * ***********
Sua rede foi invadida, todos os seus arquivos e backups foram bloqueados! Portanto, a partir de agora, NINGUÉM PODE AJUDÁ-LO a recuperar seus arquivos, EXCETO NÓS.
Você pode pesquisar no Google, não há CHANCES de descriptografar dados sem nossa CHAVE SECRETA.
Mas não se preocupe! Seus arquivos NÃO ESTÃO DANIFICADOS ou PERDIDOS, eles são apenas MODIFICADOS. Você pode recuperá-lo assim que PAGAR.
Estamos procurando apenas DINHEIRO, então não temos interesse em remover suas informações ou remover suas informações, é apenas um NEGÓCIO $ -)
NO ENTANTO, você pode danificar seus DADOS por si mesmo se tentar DESCRIPTO por qualquer outro software, sem NOSSA CHAVE DE ENCRIPTAÇÃO ESPECÍFICA !!!
Além disso, todas as suas informações confidenciais e privadas foram coletadas e se você decidir NÃO pagar,
faremos o upload para visualização pública!
****
*********** Como recuperar seus arquivos? ******
Para descriptografar todos os seus arquivos e dados que você tem que pagar pela criptografia CHAVE:
Carteira BTC para pagamento: *
Valor a pagar (em Bitcoin): 25
****
*********** Quanto tempo você tem para pagar? **********
* Você deve entrar em contato conosco dentro de 2 dias após notar a criptografia para obter um preço melhor.
* O preço será aumentado em 100% (preço duplo) após 14 dias se não houver contato.
* A chave seria completamente apagada em 21 dias se não houvesse contato ou acordo.
Algumas informações confidenciais roubadas dos servidores de arquivos seriam enviadas publicamente ou revendedor.
****
*********** E se os arquivos não puderem ser restaurados? ******
Para provar que realmente podemos descriptografar seus dados, iremos descriptografar um de seus arquivos bloqueados!
Basta enviar para nós e você o receberá de volta GRATUITAMENTE.
O preço do descriptografador é baseado no tamanho da rede, número de funcionários e receita anual.
Fique à vontade para nos contatar para saber o valor de BTC que deve ser pago.
****
! SE você não sabe como conseguir bitcoins, nós o aconselharemos como trocar o dinheiro.
!!!!!!!!!!!!!
! AQUI ESTÁ O MANUAL SIMPLES DE COMO FAZER CONOSCO!
!!!!!!!!!!!!!
1) Vá para o site oficial do TOX messenger (hxxps: //tox.chat/download.html)
2) Baixe e instale o qTOX no seu PC, escolha a plataforma (Windows, OS X, Linux, etc.)
3) Abra o messenger, clique em “Novo Perfil” e crie o perfil.
4) Clique no botão “Adicionar amigos” e pesquise nosso contato *
5) Para identificação, envie para o nosso suporte os dados de —SEGRETO DE ARGNAR—
IMPORTANTE ! SE por alguma razão você NÃO PODER ENTRE EM CONTATO conosco no qTOX, aqui está nossa caixa de correio de reserva (*) envie uma mensagem com os dados de —SEGREDO ARGNAR—
AVISO!
-Não tente descriptografar arquivos com nenhum software de terceiros (será danificado permanentemente)
-Não reinstale o seu sistema operacional, isso pode levar à perda total de dados e arquivos não pode ser descriptografado. NUNCA!
-Sua SECRET KEY para descriptografia está em nosso servidor, mas não será armazenada para sempre. NÃO PERCA TEMPO !
********************
—SEGRETO DE ARGNAR—
*
—SEGRETO DE ARGNAR—
*********************
O que o armário Ragnar faz?O Ragnar Locker geralmente é fornecido por meio de ferramentas MSP como o ConnectWise, em que os cibercriminosos deixam cair um arquivo executável ransomware altamente direcionado. Essa técnica de propagação foi usada por ransomware anterior altamente malicioso, como o Sodinokibi. Quando esse tipo de ataque acontece, os autores do ransomware se infiltram em organizações ou instalações por meio de conexões RDP inseguras ou mal protegidas. Em seguida, ele usa ferramentas para enviar scripts Powershell para todos os terminais acessíveis. Os scripts então baixam uma carga via Pastebin projetada para executar o ransomware e criptografar os endpoints. Em alguns casos, a carga útil vem na forma de um arquivo executável que é iniciado como parte de um ataque baseado em arquivo. Também há casos em que scripts adicionais são baixados como parte de um ataque completamente sem arquivos.
O Ragnar Locker visa especificamente o software normalmente executado por provedores de serviços gerenciados, incluindo as seguintes strings:
- vss
- sql
- memtas
- mepocs
- sofos
- veeam
- backup
- pulseway
- logme
- logmein
- conectar
- splashtop
- kaseya
O ransomware primeiro rouba os arquivos de um alvo e os carrega em seus servidores. O que é único no Ragnar Locker é que eles não simplesmente criptografam os arquivos, mas também ameaçam a vítima de que os dados serão divulgados publicamente se o resgate não for pago, como é o caso da EDP. Com a EDP, os atacantes ameaçaram liberar os supostos 10 TB de dados roubados, o que poderia ser um dos maiores vazamentos de dados da história. Os invasores alegaram que todos os parceiros, clientes e concorrentes serão informados da violação e seus dados vazados serão enviados para notícias e imagens da mídia para consumo público. Embora o porta-voz da EDP tenha anunciado que o ataque não teve impacto no serviço de energia e na infraestrutura da concessionária, a violação de dados iminente é algo que os preocupa.
Desativar serviços e encerrar processos são táticas comuns usadas por malware para desativar programas de segurança, sistemas de backup, bancos de dados e servidores de e-mail. Assim que esses programas forem encerrados, seus dados podem ser criptografados.
Quando iniciado pela primeira vez, o Ragnar Locker verificará as preferências de idioma configuradas do Windows. Se a preferência de idioma for inglês, o malware continuará com a próxima etapa. Mas se o Ragnar Locker detectou que o idioma está definido como um dos países da ex-URSS, o malware encerrará o processo e não com a criptografia do computador.
O Ragnar Locker compromete as ferramentas de segurança do MSP antes que possam bloquear o ransomware seja executado. Uma vez dentro, o malware inicia o processo de criptografia. Ele usa uma chave RSA-2048 incorporada para criptografar os arquivos importantes.
O Ragnar Locker não criptografa todos os arquivos. Ele irá ignorar algumas pastas, nomes de arquivos e extensões, como:
- kernel32.dll
- Windows
- Windows.old
- navegador Tor
- Internet Explorer
- Opera
- software Opera
- Mozilla
- Mozilla Firefox
- $ Recycle.Bin
- ProgramData
- Todos os usuários
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr .efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
Além de anexar uma nova extensão de arquivo para os arquivos criptografados, o Ragnar Locker também adiciona um marcador de arquivo 'RAGNAR' ao final de cada arquivo criptografado.
Ragnar Locker então deixa cair uma mensagem de resgate chamada '.RGNR_ [extensão] .txt' contendo detalhes sobre o valor do resgate, o endereço de pagamento bitcoin, um ID de chat TOX para ser usado para se comunicar com os invasores e um endereço de e-mail de backup se houver problemas com TOX. Ao contrário de outros ransomware, o Ragnar Locker não tem uma quantia fixa de resgate. Varia de acordo com a meta e é calculado individualmente. Em alguns relatórios, o valor do resgate pode variar entre $ 200.000 e $ 600.000. No caso da EDP, o resgate pedido foi de 1.580 bitcoins ou $ 11 milhões.
Como remover o Ragnar LockerSe o seu computador teve o azar de estar infectado com o Ragnar Locker, a primeira coisa que você precisa fazer é verificar se todos os seus arquivos foram criptografados. Você também precisa verificar se seus arquivos de backup também foram criptografados. Ataques como este destacam a importância de ter um backup de seus dados importantes porque, pelo menos, você não terá que se preocupar em perder o acesso aos seus arquivos.
Não tente pagar o resgate porque será inútil. Não há garantia de que o invasor enviará a chave de descriptografia correta e que seus arquivos nunca vazarão para o público. Na verdade, é altamente possível que os invasores continuem a extorquir dinheiro de você porque sabem que você está disposto a pagar.
O que você pode fazer é excluir o ransomware primeiro do seu computador antes de tentar descriptografar isto. Você pode usar seu aplicativo antivírus ou antimalware para verificar se há malware em seu computador e seguir as instruções para excluir todas as ameaças detectadas. Em seguida, desinstale qualquer aplicativo ou extensão suspeita que possa estar relacionada ao malware.
Finalmente, procure uma ferramenta de descriptografia que combine com o Ragnar Locker. Existem vários descriptografadores que foram projetados para arquivos criptografados por ransomware, mas você deve verificar primeiro o fabricante do seu software de segurança se ele tiver um disponível. Por exemplo, Avast e Kaspersky têm sua própria ferramenta de descriptografia que os usuários podem usar. Aqui está uma lista de outras ferramentas de descriptografia que você pode experimentar.
Como se proteger do Ragnar LockerO ransomware pode ser bastante problemático, especialmente se não houver uma ferramenta de descriptografia capaz de desfazer a criptografia feita pelo malware . Para proteger seu dispositivo contra ransomware, particularmente Ragnar Locker, aqui estão algumas das dicas que você precisa ter em mente:
- Empregue uma política de senha forte, usando uma autenticação de fator duplo ou multifator (MFA) se possível. Se não for possível, gere senhas únicas e aleatórias que serão difíceis de adivinhar.
- Certifique-se de bloquear o computador ao sair de sua mesa. Esteja você saindo para almoçar, fazer uma pequena pausa ou apenas ir ao banheiro, bloqueie seu computador para evitar acesso não autorizado.
- Crie um plano de backup e recuperação de dados, especialmente para informações críticas sobre computador. Armazene as informações mais críticas armazenadas fora da rede ou em um dispositivo externo, se possível. Teste esses backups regularmente para ter certeza de que funcionam corretamente no caso de uma crise real.
- Faça com que seus sistemas sejam atualizados e instalados com os patches de segurança mais recentes. O ransomware geralmente explora vulnerabilidades no seu sistema, então certifique-se de que a segurança do seu dispositivo seja hermética.
- Desconfie dos vetores comuns de phishing, que é o método de distribuição mais comum de ransomware. Não clique em links aleatórios e sempre verifique os anexos de e-mail antes de baixá-los para o seu computador.
- Tenha um software de segurança robusto instalado em seu dispositivo e mantenha o banco de dados atualizado com as ameaças mais recentes.
Vídeo do youtube: Como lidar com o Ragnar Locker Ransomware
05, 2024