Home Sådan gendannes fra Play Ransomware-angreb

Sådan gendannes fra Play Ransomware-angreb

Play Ransomware blev første gang set i juni 2022, og Latinamerika, især Brasilien, er Play-hackergruppens primære mål. Angriberne menes at være fra Rusland, da dets krypteringsteknikker ligner de russiske ransomware-grupper Hive og Nokoyawa. Efter at være kommet ind på netværket gennem en sårbarhed i systemet, vil Play ransomware kryptere dine filer og derefter efterlade en løsesumseddel. I notatet står der, at dine data er låst indtil løsesumsbetalingen.

Hvilken slags malware er Play?

Play er en type ransomware, der bruger Cobalt Strike til post-kompromis og SystemBC RAT til persistens. Det krypterer filerne, ændrer filernes udvidelse og efterlader en løsesumseddel. Gruppen udnytter ProxyNotShell sårbarheder i Microsoft Exchange til at inficere netværk og stjæle virksomheder og organisationers data.Play ransomware bruger dobbelt afpresningstaktik, da det ikke kun krypterer dataene, men også kopierer dem og truer med at lække filerne, hvis 2 ransom ikke betales.Play-hackergruppe angreb Argentinas retsvæsen i Cordobafår dem til at lukke deres it-system. Som et resultat blev retsvæsenet tvunget til at bruge papir og pen til at indsende officielle dokumenter. Eksperter mener, at det skete via phishing-e-mails.

Identificer Play ransomware

Bekræftet navn

  • Spil virus

Trusselstype

  • Ransomware
  • Krypto virus
  • Filer skab

Udvidelse til krypterede filer

  • .SPIL

Løsepenge krævende besked

  • ReadMe.txt

Er der en gratis decryptor tilgængelig?

  • Nej, der er ingen offentlig dekrypteringsnøgle til Play ransomware

Detektionsnavne

  • AvastWin32:Malware-gen
  • EmsisoftGen:Variant.Fragtor.104675 (B)
  • KasperskyTID:Trojan-Ransom.Win32.Crypmodng.gen
  • MalwarebytesRansom.FileCryptor
  • MicrosoftLøsesum:Win32/Crypmodng!mclg
  • SophosMal/Generisk-S

Symptomer

  • Kan ikke åbne filer gemt på din computer
  • Nye filtypenavne
  • En meddelelse om løsesum på dit skrivebord
  • Filer omdøbt med tilfældige bogstaver

Fordelingsmetoder

Foreslået læsning:Hvad er Vishing? Definition, angrebsmetoder og forebyggelse

  • Inficerede e-mail-vedhæftede filer (phishing-e-mails)
  • Torrent-websteder (inficerede links eller filer)
  • Ondsindede annoncer (malvertising)

Konsekvenser

  • Låste filer
  • Stjålne adgangskoder
  • Databrud

Forebyggelse

  • Antivirus og anti-malware
  • Opdateret software
  • Opdateret operativsystem (OS)
  • Firewalls
  • Åbn ikke en vedhæftet fil fra en ukendt kilde
  • Brug e-mail-sikkerhedsapplikation til at blokere ondsindede e-mails
  • Download ikke filer fra mistænkelige websteder
  • Brug applikationer til at blokere ekstern uautoriseret adgang til netværket
  • Klik ikke på annoncer, medmindre du er sikker på, at det er sikkert
  • Få kun adgang til websteder fra pålidelige kilder

Spil ransomware domæner

  • hxxp://185[.]150[.]117[.]186:80/asdfgsdhsdfgsdfg'
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv'
  • hxxp://newspraize[.]com
  • newspraize[.]com
  • realmacnow[.]com
  • hacktool[.]win32[.]toolpow[.]sm
  • hxxp://realmacnow[.]com

Hvordan inficerede Play din computer

Som med mange ransomware-angreb er phishing en primær metode for Play ransomware til at inficere et netværk. Hvis der er en sårbarhed i dit sikkerhedssystem, er din virksomhed åben for et cyberangreb. De mest almindelige måder, hvorpå Play ransomware inficerer computere og netværk er:

  • Ondsindede vedhæftede filer og links i spam-e-mails/beskeder
  • Online svindel
  • Tvivlsomme download-kanaler
  • Ulovlige softwareaktiveringsværktøjer (revner)
  • Falske opdateringer
  • Dyk forbi (tyvede og vildledende) downloads

Spam e-mail kampagner. Dette er et phishing-e-mailangreb, hvor hackere bruger social engineering til at bedrage ofrene til at klikke på ondsindede links eller vedhæftede filer. Derefter downloades udnyttelsessættet til maskinen, og trusselsaktørerne kan udløse ransomware når som helst. Disse e-mails kan målrettes, når hackere har til hensigt at få adgang til en bestemt virksomhed eller kan være ikke-målrettet phishing, når de sender en masse spamkampagne med malware.Uofficielle kilder til download af software og cracks.Piratsoftware og crack er normalt ondsindede programmer. Desuden vil denne software ikke have de nødvendige opdateringer til at forbedre programmet og forhindre sårbarheder, som hackere kan udnytte.Kendte softwaresårbarheder.Hackere bruger software med kendte sårbarheder til også at angribe virksomheder. Derfor er det meget vigtigt også at holde al software opdateret og beskytte fjernadministrationsværktøjer som RDP.

Spil kryptering og løsesum note

Hver fil vil have en filtypenavn .PLAY efter krypteringen. Ransomware bruger det generiske RSA-AES hybrid kryptosystem til at kryptere filer. Afspil løsesum note er virkelig simpelt, hvilket er en af ​​de vigtigste forskelle fra andre ransomware. Det meste af tiden er noten simpelthen ordet "PLAY" efterfulgt af den e-mailadresse, som ofrene skal kontakte angriberne. Nogle varianter kan tilføje linket til Tor-webstedet og e-mail-adressen.Eksempel på indholdet for Spil løsepengenota:

SPIL

nyhedsportal, to netværkslinks:

mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkkknndqwae6byd.onion

k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion

[e-mail beskyttet]

Hvordan virker Play ransomware

Play ransomware har et intermitterende krypteringssystem. Det fungerer efter 10 trin, der ikke kun krypterer dataene, men også stjæler det og truer med at lække det.

1. Indledende adgang

Play ransomware får normalt adgang til netværk og systemer gennem gamle legitime legitimationsoplysninger, der er blevet genbrugt på tværs af flere platforme, eller som tidligere er blevet lækket. Exposed Remote Desktop Protocols (RDP) er også en gateway til Play ransomware-angreb.

2. Udførelse

Udførelsestrinnet involverer brug af planlagte opgaver og PsExec. Hackerne kontrollerer mange brugermaskiner og også Windows-legit-værktøjer til at udføre processer på andre systemer i denne fase og derefter sprede ransomwaren på tværs af netværket.

3. Vedholdenhed

Hackerne fortsætter med at bruge konti som en persistensmekanisme, der muliggør RDP-adgang.

4. Privilegium Eskalering

I denne fase bruger hackere Mimikatz til at udtrække højtprivilegerede legitimationsoplysninger fra hukommelsen.

5. Forsvarsunddragelse

Derefter vil ransomware deaktivere antivirus og anti-malware-software. Derefter bruger de Windows indbyggede værktøj wevtutil til at dække deres spor og deaktivere Windows Defender.

6. Legitimationsadgang

I dette trin vil Play dumpe legitimationsoplysninger på målværten og få domæneadministratoradgang.

7. Opdagelse

Under opdagelsestrinnet vil hackere indsamle flere oplysninger om miljøet.

8. Sidebevægelse

Til sideværts bevægelse bruger Play forskellige værktøjer, såsom:

  • Cobalt Strike
  • SystemBC
  • Imperium
  • Mimikat

9. Eksfiltration

Til eksfiltrering er Plays tilgang at opdele dataene i bidder. De bruger WinRAR til at komprimere dataene og overføre dem ved hjælp af .RAR-filformat.

10. Indvirkning

Det sidste trin er at kryptere dataene og tilføje filtypen .PLAY til filerne og placeringen af ​​en løsesumseddel.

Vi har allerede nævnt flere måder, du kan forhindre Play ransomware-angreb på. Her er en komplet liste over, hvad du skal gøre for at holde dine data og din virksomhed sikker.

1. Slet forældede og ubrugte brugerkonti

Ubrugte konti er sårbarheder, som hackere kan udnytte. Dette er den primære måde, som Play ransomware bruger til at få adgang til RDP og sende phishing-e-mails. Deaktiver og luk ubrugte konti såvel som dem, der er brugt af tidligere medarbejdere.

2. Brug stærke adgangskoder

Brug altid stærke og unikke adgangskoder til hver konto og del dem kun med nødvendige personer. Dette kan garantere, at kun autoriseret personale får adgang til hver virksomhedskonto.

3. Anvend multifaktorgodkendelse

Du kan bruge to-faktor-godkendelse eller biometrisk oplåsning for at sikre, at kun autoriserede personer har adgang til mapper, enheder eller konti.

4. Planlæg regelmæssige sikkerhedskopier

Behold mindst tre kopier af dine data, med mindst én gemt offline og off-site. Så selvom du bliver ramt af en katastrofe, som er naturlig eller menneskeskabt (som ransomware), er dine data altid sikre. Regelmæssig sikkerhedskopiering kan forhindre nedetider og sikre, at du aldrig mister nogen følsomme data.

5. Brug en cybersikkerhedsløsning

Du kan enten have et it-team til at garantere din virksomheds sikkerhed eller hyre en cybersikkerhedstjeneste. Uanset hvad skal du kigge efter sårbarheder i netværket, såsom bagdøre, udnyttelsessæt og youtube-software.

6. Hav en genopretningsplan i hånden

Datagendannelsesplaner er dokumenter, der fungerer som guider til, hvad man skal gøre i tilfælde af en katastrofe. Dette kan hjælpe dig med at genoprette din virksomhed hurtigere og mere sikkert. Se, hvordan du opretter en datagendannelsesplan med vores dybdegående vejledning.

Sådan håndteres Play ransomware-angrebet

Det første skridt til at komme sig efter Play-angrebet er at isolere den inficerede computer ved at afbryde forbindelsen til internettet og fjerne enhver tilsluttet enhed. Så skal du kontakte de lokale myndigheder. I tilfælde af amerikanske indbyggere og virksomheder er detlokalt FBI feltkontorog denInternet Crime Complaint Center (IC3).For at rapportere et ransomware-angreb skal du indsamle alle de oplysninger, du kan om det, herunder:

  • Skærmbilleder af løsesumsedlen
  • Kommunikation med Play-skuespillere (hvis du har dem)
  • Eksempel på en krypteret fil

Du må ikke slette ransomwaren og beholde alle beviser for angrebet. Det er vigtigt for digital efterforskning, så eksperter kan spore tilbage til hackergruppen og identificere dem. Bruger dataene på dit inficerede system, så myndighederne kan undersøge angrebet og finde den ansvarlige. En efterforskning af cyberangreb adskiller sig ikke fra enhver anden kriminel efterforskning: den kræver beviser for at finde angriberne.

Efter at have isoleret enheden og kontaktet myndigheder, skal du følge de næste trin for at hente dine data:

1. Kontakt din Incident Response Retainer

En cyberhændelsesreaktion er processen med at reagere på og håndtere en cybersikkerhedshændelse. An Incident Response Retainer er en serviceaftale med en cybersikkerhedsudbyder, der giver organisationer mulighed for at få ekstern hjælp til cybersikkerhedshændelser. Det giver organisationer en struktureret form for ekspertise og support gennem en sikkerhedspartner, hvilket gør dem i stand til at reagere hurtigt og effektivt i tilfælde af en cyberhændelse. En hændelsesretainer giver organisationer ro i sindet og tilbyder ekspertsupport før og efter en cybersikkerhedshændelse. Den specifikke karakter og struktur af en hændelsesberedskab vil variere afhængigt af udbyderen og organisationens krav. En god hændelsesretainer bør være robust, men fleksibel, og levere dokumenterede tjenester til at forbedre en organisations langsigtede sikkerhedsposition.

2. Identificer ransomware-infektionen

Du kan kontrollere, hvilken ransomware der inficerede din maskine med filtypenavnet (nogle ransomware bruger filtypenavnet som deres navn, f.eks. hajd ransomware), eller det vil være på løsesumsedlen. Med disse oplysninger kan du lede efter en offentlig dekrypteringsnøgle. Play har det dog ikke endnu.

3. Fjern ransomware og eliminer udnyttelsessæt

Før du genopretter dine data, skal du garantere, at din enhed er ransomware-fri, og at angriberne ikke kan foretage et nyt angreb gennem udnyttelsessæt eller andre sårbarheder. En tjeneste til fjernelse af ransomware kan slette ransomwaren, oprette et retsmedicinsk dokument til undersøgelse, fjerne sårbarheder og gendanne dine data.

4. Brug en sikkerhedskopi til at gendanne dataene

Sikkerhedskopier er den mest effektive måde at gendanne data på. Sørg for at holde daglige eller ugentlige sikkerhedskopier, afhængigt af dit dataforbrug.

5. Kontakt en ransomware-gendannelsestjeneste

At betale løsesummen garanterer ikke, at dine data vil blive returneret til dig. Den eneste garanterede måde, du kan gendanne hver fil, er, hvis du har en sikkerhedskopi af den. Hvis du ikke har en nylig sikkerhedskopi, kan ransomware-datagendannelsestjenester hjælpe dig med at dekryptere og gendanne filerne.SalvageData-eksperter kan sikkert gendanne dine filer og garantere, at Play ransomware ikke angriber dit netværk igen.Kontakt vores eksperter 24/7 for nødgendannelse, eller find et gendannelsescenter i nærheden af ​​dig.

Related Posts

Sådan opsættes internet på Windows 11 og 10

Sådan opsættes internet på Windows 11 og 10

2025-04-09
Thailand Visa

Thailand Visa

2025-05-16
Sådan fjernes Windows 10

Sådan fjernes Windows 10

2025-04-30
Kan ikke finde kontoransøgninger i Windows 10/8.1/8, hvordan man gør

Kan ikke finde kontoransøgninger i Windows 10/8.1/8, hvordan man gør

2025-04-30
Er Hyphanet sikkert? Hvad du behøver at vide om det decentraliserede netværk

Er Hyphanet sikkert? Hvad du behøver at vide om det decentraliserede netværk

2025-08-29
Rette: USB-stik tilsluttet/afbrudt i Samsung-telefoner

Rette: USB-stik tilsluttet/afbrudt i Samsung-telefoner

2024-09-11
Microsoft Outlook, der viser "Din login-oplevelse ændrer sig"

Microsoft Outlook, der viser "Din login-oplevelse ændrer sig"

2025-01-20
Hvordan lægger man dato

Hvordan lægger man dato

2025-04-11
Dead Pixel & Monitor Test

Dead Pixel & Monitor Test

2025-04-11
Sådan bruger du sikkerhedstjek på iPhone i iOS 16

Sådan bruger du sikkerhedstjek på iPhone i iOS 16

2025-01-09
Sådan finder og downloader du printerdriver på Windows 11

Sådan finder og downloader du printerdriver på Windows 11

2024-12-23
Dybdegående Windows 11/10-vejledninger, tips og tricks!

Dybdegående Windows 11/10-vejledninger, tips og tricks!

2024-12-04
Dead Pixel & Monitor Test

Dead Pixel & Monitor Test

2025-04-04
Sådan deaktiveres WebRTC

Sådan deaktiveres WebRTC

2025-09-21
Linux tip, tutorials, anmeldelser og mere

Linux tip, tutorials, anmeldelser og mere

2025-04-06