Home Everest Ransomware: Visas vadovas

Everest Ransomware: Visas vadovas

Everesto išpirkos reikalaujanti programinė įranga yra liūdnai pagarsėjusi kibernetinių nusikaltėlių grupė, veikianti nuo 2020 m. gruodžio mėn. Jos taikosi į įvairių pramonės šakų ir regionų organizacijas, kurių aukos yra didelės, įskaitantNASAir Brazilijos vyriausybė.Rusakalbių grupė teigia turinti prieigą prie neskelbtinų sistemos duomenų ir dažnai reikalauja išpirkos mainais už pavogtos informacijos nepaskelbimą. Ši taktika vadinama dvigubu turto prievartavimu. Everesto išpirkos reikalaujanti programinė įranga yra žinoma dėl savo duomenų išfiltravimo galimybių ir buvo susieta su kitomis išpirkos reikalaujančiomis programomis, tokiomis kaip Everbe 2.0 ir BlackByte. Grupė ne tik nutekina informaciją,jie parduoda prieigą prie užkrėsto tinklo. Tai reiškia, kad pažeistos organizacijos vienu metu turi kovoti su keliomis infekcijomis ir pasikartojančiomis atakomis.

„SalvageData“ ekspertai rekomenduoja imtis aktyvių duomenų saugumo priemonių, tokių kaip reguliarios atsarginės kopijos, griežta kibernetinio saugumo praktika ir programinės įrangos atnaujinimas, kad apsisaugotų nuo išpirkos reikalaujančių programų atakų. ir,išpirkos reikalaujančios programinės įrangos atakos atveju susisiekite su mūsųransomware atkūrimo ekspertainedelsiant.

Kokia kenkėjiška programa yra Everest?

Everesto išpirkos reikalaujanti programinė įranga yra kenkėjiškų programų tipas, specialiai skirtas įvairių pramonės šakų ir regionų organizacijoms. Jis užšifruoja aukos failus, padarydamas juos neprieinamas, o mainais už iššifravimo raktą reikalauja išpirkos. Ekspertai mano, kad tai yra „Black-Byte“ šeimos dalis ir anksčiau buvo susieta su „Everbe 2.0“ šeima. „Everest“ išpirkos reikalaujančių programų grupė aktyviai veikia mažiausiai nuo 2020 m. gruodžio mėn. Buvo pastebėta, kad išpirkos reikalaujančios programos naudoja teisėtas pažeistas vartotojų paskyras ir nuotolinio darbalaukio protokolą (RDP), skirtą judėjimui į šoną. Jie taip pat nusitaikė į keletą valstijų, įskaitant Argentiną, Peru ir Braziliją, vyriausybines įstaigas.

Siūloma skaityti:Scarab Ransomware: Visas vadovas

Viskas, ką žinome apie Everest Ransomware

Patvirtintas vardas

  • Everesto virusas

Grėsmės tipas

  • Ransomware
  • Kripto virusas
  • Failų spintelė
  • Dvigubas turto prievartavimas

Šifruotų failų plėtinys

  • .EVERESTAS

Išpirkos reikalaujantis pranešimasPranešimas paprastai rodomas kaip iššokantis langas arba tekstinis failas, rodomas darbalaukyje arba aplankuose, kuriuose yra užšifruoti failai.Ar yra nemokamas iššifruotojas?Ne, nėra viešojo Everesto išpirkos reikalaujančios programinės įrangos iššifravimo priemonės.Paskirstymo būdai

  • Sukčiavimo el. laiškai
  • Išnaudojimo rinkiniai
  • Nuotolinio darbalaukio protokolas (RDP) pažeistas
  • Kenkėjiški atsisiuntimai

Pasekmės

  • Failai yra užšifruoti ir užrakinti iki išpirkos mokėjimo
  • Duomenų nutekėjimas
  • Palieka tinklą atvirą naujoms vienalaikėms atakoms
  • Dvigubas turto prievartavimas

Kas yra Everesto išpirkos raštelyje

Everest ransomware rodomas išpirkos pranešimas gali skirtis priklausomai nuo naudojamo varianto. Everest ransomware rodomas išpirkos pranešimas neturi konkretaus failo pavadinimo. Pranešimas rodomas kaip iššokantis langas arba tekstinis failas, kuris rodomas darbalaukyje arba aplankuose, kuriuose yra užšifruotų failų.

Jei suprantate, kad esate išpirkos reikalaujančių programų auka, susisiekę su „SalvageData“ išpirkos reikalaujančių programų pašalinimo ekspertais suteiksite saugią duomenų atkūrimo paslaugą ir išpirkos reikalaujančių programų pašalinimą po atakos.

Kaip Everesto išpirkos reikalaujanti programa užkrečia mašiną ar tinklą?

Sukčiavimo el. laiškai

Sukčiavimo el. laiškai yra įprastas metodas, kurį užpuolikai naudoja platindami Everesto išpirkos reikalaujančią programinę įrangą. Užpuolikai siunčia el. laiškus, kurie atrodo iš teisėto šaltinio, pvz., banko ar įmonės, ir kuriuose yra kenkėjiškas priedas arba nuoroda į svetainę, kurioje yra kenkėjiška programa. Kai auka spustelėja priedą arba nuorodą, kenkėjiška programa įdiegiama jos sistemoje.

Išnaudojimo rinkiniai

Išnaudojimo rinkiniai yra automatizuotos programos, kurias naudoja kibernetiniai nusikaltėliai, norėdami išnaudoti žinomus sistemų ar programų pažeidžiamumus. Jie gali būti naudojami slaptai atakoms pradėti, kol aukos naršo internete, siekiant atsisiųsti ir vykdyti tam tikros rūšies kenkėjiškas programas. Everesto išpirkos reikalaujantys užpuolikai naudoja išnaudojimo rinkinius, kad išnaudotų aukų sistemų pažeidžiamumą ir įdiegtų kenkėjiškas programas. Išnaudojimo rinkiniai gali būti pristatomi per kenkėjiškas svetaines arba el.

Nuotolinio darbalaukio protokolas (RDP) pažeistas

Remote Desktop Protocol (RDP) yra protokolas, leidžiantis asmeniui nuotoliniu būdu valdyti kompiuterį, prijungtą prie interneto. Nuotolinis asmuo mato viską, kas yra valdomo kompiuterio ekrane, o jo klaviatūra ir pelė veikia taip pat, kaip ir fiziškai prijungtos prie nuotolinio kompiuterio. Tačiau RDP tapo mėgstamiausiu išpirkos reikalaujančių programų atakų taikiniu, o piktybiniai kibernetiniai veikėjai sukūrė metodus, kaip identifikuoti ir išnaudoti pažeidžiamas KPP sesijas per internetą, kad pavogtų, diegtų ir prisijungtų. ransomware atakos. Užpuolikai naudoja brutalios jėgos slaptažodžio spėjimo atakas, kad surastų KPP prisijungimo duomenis.

Kenkėjiški atsisiuntimai

Kenkėjiški atsisiuntimai yra kenkėjiškų programų platinimo būdas, kai vartotojas apgaudinėjamas, kad jie atsisiųstų ir įdiegtų kenkėjiškomis programomis užkrėstą programinę įrangą arba failus. Užpuolikai Everesto išpirkos reikalaujančios programinės įrangos aktoriai naudoja netikrus programinės įrangos naujinius arba atsisiuntimus, kad apgaudinėtų aukas, kad jos atsisiųstų ir įdiegtų kenkėjišką programą. Kenkėjiški atsisiuntimai gali būti pristatyti el. paštu arba svetainėmis.

Kaip veikia Everesto išpirkos reikalaujanti programa

Kai kenkėjiška programa įdiegiama aukų sistemose, ji užšifruoja jų failus naudodama AES ir DES algoritmus ir prie užšifruotų failų prideda plėtinį „.EVEREST“. Tada užpuolikai parodo išpirkos pranešimą, kuriame pateikiamos instrukcijos, kaip su jais susisiekti ir sumokėti išpirką, kad gautų iššifravimo raktą.

Šoninis judėjimas

Everest ransomware naudojo teisėtų pažeistų vartotojų abonementų ir nuotolinio darbalaukio protokolo (RDP) derinį, kad galėtų judėti į šoną tinklo infrastruktūroje.

Prieiga prie kredencialų

Norėdami gauti prieigą prie papildomų kredencialų, grėsmės veikėjas panaudojo ProcDump, kuris buvo naudojamas LSASS proceso kopijai sukurti. Taip buvo sukurtas failas. Be to, NTDS duomenų bazės kopija taip pat buvo sugeneruota ir saugoma kaip failas pavadinimu ntds.dit.zip.

Gynybos išsisukinėjimas

Per visą incidentą grėsmės veikėjas nuosekliai pašalino įvairius įrankius, žvalgybos išvesties failus ir duomenų rinkimo archyvus iš pažeistų prieglobų, kad išvengtų aptikimo.

Atradimas

Sukompromitavęs naują pagrindinį kompiuterį, grėsmės veikėjas įsitraukė į tinklo aptikimo veiklą. Tai daugiausia buvo pasiekta naudojant tokius įrankius kaip netscan.exe, netscanpack.exe ir SoftPerfectNetworkScannerPortable.exe. Atlikdamas tinklo nuskaitymą grėsmės veikėjas siekė nustatyti galimus dominančius objektus ir sudaryti galimo išpirkos reikalaujančių programų diegimo sąrašą.

Kolekcija

Vienas žymus veiksmas, kurio ėmėsi grėsmės veikėjas, buvo WinRAR programos įdiegimas failų serveryje. Tada ši programa buvo naudojama duomenims archyvuoti, paruošiant juos galimam išfiltravimui.

Valdymas ir valdymas

Pagrindinis grėsmės veikėjo naudojamas valdymo ir valdymo mechanizmas buvo Cobalt Strike. Be to, kelyje C:UsersPublicl.exe buvo aptikta „Metasploit“ naudingoji apkrova. Be šių pirminių metodų, grėsmės veikėjas taip pat įdiegė keletą nuotolinės prieigos įrankių kaip antrinį komandų ir valdymo metodą. Šie įrankiai buvo toliau naudojami patvarumui užtikrinti, juos įdiegiant kaip paslaugas. Naudojami nuotolinės prieigos įrankiai

  • AnyDesk
  • Splashtop nuotolinis darbalaukis
  • Išeik

Eksfiltracija

Norėdami išfiltruoti duomenis iš pažeisto tinklo, grėsmės veikėjas panaudojo „Splashtop“ failų perdavimo galimybes.

Nemokėkite išpirkos!Kreipdamiesi į išpirkos reikalaujančių programų pašalinimo paslaugą galite ne tik atkurti failus, bet ir pašalinti bet kokią galimą grėsmę.

Kaip susidoroti su Everesto išpirkos reikalaujančios programos ataka

Pirmasis žingsnis norint atsigauti po Everesto atakos yra izoliuoti užkrėstą kompiuterį, atjungiant jį nuo interneto ir pašalinant visus prijungtus įrenginius. Tada turite susisiekti su vietos valdžios institucijomis. JAV gyventojų ir įmonių atveju tai yravietos FTB biurasirInterneto nusikaltimų skundų centras (IC3).Norėdami pranešti apie išpirkos reikalaujančios programos ataką, turite surinkti visą informaciją apie ją, įskaitant:

  • Išpirkos užrašo ekrano nuotraukos
  • Bendravimas su grėsmės veikėjais (jei tokių turite)
  • Šifruoto failo pavyzdys

Tačiau, jei noritesusisiekti su specialistais, tada nieko nedaryk.Palikite kiekvieną užkrėstą įrenginį tokį, koks jis yrair paprašyti anavarinio išpirkos reikalaujančių programų pašalinimo paslauga. Sistemos paleidimas iš naujo arba išjungimas gali pakenkti atkūrimo paslaugai. Užfiksavus veikiančios sistemos RAM gali būti lengviau gauti šifravimo raktą, o užfiksavus dropper failą, t. y. failą, vykdantį kenkėjišką naudingą apkrovą, gali būti atlikta atvirkštinė inžinerija ir gali būti iššifruoti duomenys arba suprasti, kaip jis veikia.neištrinti išpirkos reikalaujančios programosir saugokite visus išpuolio įrodymus. Tai svarbu dėlskaitmeninė kriminalistikakad ekspertai galėtų atsekti įsilaužėlių grupę ir juos identifikuoti. Institucijos gali naudoti užkrėstos sistemos duomenisištirti užpuolimą ir surasti atsakingąjį.Kibernetinės atakos tyrimas nesiskiria nuo bet kurio kito kriminalinio tyrimo: norint surasti užpuolikus, reikia įrodymų.

1. Susisiekite su savo Reagavimo į incidentus teikėją

Reagavimas į kibernetinį incidentą – tai reagavimo į kibernetinio saugumo incidentą ir jo valdymo procesas. Reagavimo į incidentus saugotojas yra paslaugų sutartis su kibernetinio saugumo tiekėju, leidžianti organizacijoms gauti išorinę pagalbą kibernetinio saugumo incidentams. Ji suteikia organizacijoms struktūrizuotą patirtį ir paramą per saugos partnerį, leidžiančią joms greitai ir efektyviai reaguoti kibernetinio incidento metu. Reagavimo į incidentą laikiklis suteikia organizacijoms ramybę ir siūlo ekspertų pagalbą prieš ir po kibernetinio saugumo incidento. Specifinis reagavimo į incidentą laikytojo pobūdis ir struktūra skirsis priklausomai nuo teikėjo ir organizacijos reikalavimų. Geras reagavimo į incidentus laikiklis turėtų būti tvirtas, bet lankstus ir teikti patikrintas paslaugas, kurios pagerintų organizacijos ilgalaikę apsaugą.Jei susisieksite su savo IR paslaugų teikėju, jis gali nedelsdamas perimti ir padėti atlikti kiekvieną išpirkos reikalaujančių programų atkūrimo veiksmą.Tačiau jei nuspręsite patys pašalinti išpirkos reikalaujančią programinę įrangą ir atkurti failus kartu su IT komanda, galite atlikti kitus veiksmus.

2. Nustatykite išpirkos reikalaujančią programinę įrangą

Galite nustatyti, kuri išpirkos reikalaujanti programa užkrėtė jūsų kompiuterį pagal failo plėtinį (kai kurios išpirkos reikalaujančios programos naudoja failo plėtinį kaip savo pavadinimą),naudojant ransomware ID įrankį, arba tai bus ant išpirkos raštelio. Turėdami šią informaciją galite ieškoti viešojo iššifravimo rakto. Taip pat galite patikrinti išpirkos reikalaujančios programos tipą pagal jo IOC. Kompromiso rodikliai (IOC) yra skaitmeniniai užuominos, kurias kibernetinio saugumo specialistai naudoja norėdami nustatyti sistemos pažeidimus ir kenkėjišką veiklą tinkle ar IT aplinkoje. Iš esmės tai yra skaitmeninės įrodymų, paliktų nusikaltimo vietoje, versijos, o potencialūs IOC apima neįprastą tinklo srautą, privilegijuotus vartotojų prisijungimus iš užsienio šalių, keistas DNS užklausas, sistemos failų pakeitimus ir kt. Kai aptinkamas IOC, saugos komandos įvertina galimas grėsmes arba patvirtina jos autentiškumą. IOC taip pat pateikia įrodymų, prie ko užpuolikas turėjo prieigą, jei įsiskverbė į tinklą.

3. Pašalinkite išpirkos reikalaujančią programinę įrangą ir pašalinkite išnaudojimo rinkinius

Prieš atkurdami duomenis, turite užtikrinti, kad jūsų įrenginyje nėra išpirkos reikalaujančių programų ir kad užpuolikai negalės surengti naujos atakos naudodami išnaudojimo rinkinius ar kitus pažeidžiamumus. Išpirkos reikalaujančių programų pašalinimo paslauga gali ištrinti išpirkos reikalaujančią programinę įrangą, sukurti teismo ekspertizės dokumentą tyrimui, pašalinti pažeidžiamumą ir atkurti jūsų duomenis.

4. Norėdami atkurti duomenis, naudokite atsarginę kopiją

Atsarginės kopijos yra efektyviausias būdas atkurti duomenis. Atsižvelgdami į duomenų naudojimą, būtinai darykite atsargines kopijas kasdien arba kas savaitę.

5. Susisiekite su išpirkos reikalaujančių programų atkūrimo tarnyba

Jei neturite atsarginės kopijos arba jums reikia pagalbos pašalinant išpirkos reikalaujančią programinę įrangą ir pažeidžiamumą, susisiekite su duomenų atkūrimo tarnyba. Išpirkos sumokėjimas negarantuoja, kad jūsų duomenys bus jums grąžinti. Vienintelis garantuotas būdas atkurti kiekvieną failą yra atsarginė kopija. Jei to nepadarysite, išpirkos reikalaujančios programos duomenų atkūrimo paslaugos gali padėti iššifruoti ir atkurti failus. „SalvageData“ ekspertai gali saugiai atkurti failus ir neleisti Everesto išpirkos reikalaujančios programinės įrangos vėl užpulti jūsų tinklo. Dėl išpirkos reikalaujančių programų atkūrimo paslaugų susisiekite su mūsų ekspertais 24 valandas per parą, 7 dienas per savaitę.

Užkirsti kelią Everesto išpirkos reikalaujančių programų atakai

Išpirkos reikalaujančių programų prevencija yra geriausias duomenų saugumo sprendimas. yra lengviau ir pigiau nei atsigauti nuo jų. Everesto išpirkos reikalaujanti programa gali kainuoti jūsų verslo ateitį ir netgi uždaryti duris. Tai yra keli patarimai, kaip užtikrinti, kadišvengti ransomware atakų:

  • Laikykite savo operacinė sistema ir programinė įranga yra atnaujintasu naujausiais saugos pataisymais ir atnaujinimais. Tai gali padėti išvengti pažeidžiamumų, kuriais gali pasinaudoti užpuolikai.
  • Naudokite stiprius ir unikalius slaptažodžiusvisoms paskyroms ir, kai tik įmanoma, įgalinkite dviejų veiksnių autentifikavimą. Tai gali padėti užkirsti kelią užpuolikams pasiekti jūsų paskyras.
  • Būkite atsargūs dėl įtartinų el. laiškų, nuorodų ir priedų.Neatidarykite el. laiškų ir nespauskite nuorodų ar priedų iš nežinomų ar įtartinų šaltinių.
  • Naudokite patikimą antivirusinę ir kenkėjiškų programų programinę įrangąir nuolat atnaujinkite. Tai gali padėti aptikti ir pašalinti kenkėjiškas programas, kol jos nepadarys žalos.
  • Naudokite ugniasienęblokuoti neteisėtą prieigą prie tinklo ir sistemų.
  • Apriboti vartotojo teiseskad užpuolikai nepasiektų slaptų duomenų ir sistemų.
  • Mokykite darbuotojus ir darbuotojusapie tai, kaip atpažinti sukčiavimo el. laiškus ir kitas socialinės inžinerijos atakas ir jų išvengti.

Related Posts

Apsipirkimo internetu patarimai, kad jūsų duomenys būtų saugūs

Apsipirkimo internetu patarimai, kad jūsų duomenys būtų saugūs

2025-05-01
„Google Meet“ lankomumo ataskaita: visas vadovas (2025)

„Google Meet“ lankomumo ataskaita: visas vadovas (2025)

2025-07-28
Argentinos skaitmeninė klajoklių viza: 6 žingsniai pritaikyti, reikalavimai ir viskas, ką reikia žinoti

Argentinos skaitmeninė klajoklių viza: 6 žingsniai pritaikyti, reikalavimai ir viskas, ką reikia žinoti

2025-05-17
Nuotraukų redagavimo programos, kurios renka ir stebi jūsų duomenis

Nuotraukų redagavimo programos, kurios renka ir stebi jūsų duomenis

2022-10-31
Kas yra vyras viduryje (MITM) ataka: pavyzdžiai ir prevencijos metodai

Kas yra vyras viduryje (MITM) ataka: pavyzdžiai ir prevencijos metodai

2025-04-30
Paketų praradimo testas

Paketų praradimo testas

2025-02-18
Interneto kameros testas

Interneto kameros testas

2025-02-17
Kaip naudoti „Spotify“ žaidžiant su „Xbox“ žaidimų juosta „Windows“

Kaip naudoti „Spotify“ žaidžiant su „Xbox“ žaidimų juosta „Windows“

2025-04-25
„Bookssi“ sukčiai: ką turėtumėte žinoti prieš naudodamiesi paslauga

„Bookssi“ sukčiai: ką turėtumėte žinoti prieš naudodamiesi paslauga

2025-05-05
Technikos naujienos

Technikos naujienos

2025-02-01
Naudokite „UniFi Cloud Gateway“ tik kaip valdiklį

Naudokite „UniFi Cloud Gateway“ tik kaip valdiklį

2024-10-23
Kaip ištrinti viską iš „iCloud“

Kaip ištrinti viską iš „iCloud“

2024-10-24
Informaciniai biuleteniai „Outlook“

Informaciniai biuleteniai „Outlook“

2025-03-10
Kaip iš naujo nustatyti „Xiaomi“ / „Redmi“ / „Mi“ su kompiuteriu arba be jo? 6 Parinktys

Kaip iš naujo nustatyti „Xiaomi“ / „Redmi“ / „Mi“ su kompiuteriu arba be jo? 6 Parinktys

2024-10-14
3 būdai, kaip sukurti „WhatsApp“ atsarginę kopiją iš „iPhone“ į „Google“ diską

3 būdai, kaip sukurti „WhatsApp“ atsarginę kopiją iš „iPhone“ į „Google“ diską

2024-10-18