Home Qilin (Agenda) Ransomware: complete gids

Qilin (Agenda) Ransomware: complete gids

De Qilin-ransomware, ook bekend als Agenda-ransomware, is geschreven in de programmeertalen Rust and Go, waardoor het veelzijdiger en moeilijker te analyseren of te detecteren is. De Qilin-ransomware kreeg bekendheid omdat hij zich richtte op bedrijven in de kritieke sector, maar vormt een bedreiging voor organisaties in alle branches. Het partnerprogramma van de ransomware-operator voegt niet alleen nieuwe leden aan zijn netwerk toe, maar bewapent hen ook met malware en ondersteunende diensten om zich te richten op het onderwijs, de gezondheidszorg en andere cruciale sectoren van de wereldeconomie. De ransomware bestaat uit 64-bits Windows PE-bestanden (Portable Executable) die in Go zijn geschreven en zich specifiek richten op op Windows gebaseerde systemen. De groep die de malware verspreidde, richtte zich op gezondheidszorg- en onderwijsorganisaties in Indonesië, Saoedi-Arabië, Zuid-Afrika en Thailand. Elk losgeldbriefje dat door de ransomware werd achtergelaten, werd aangepast voor het beoogde slachtoffer. Uit het onderzoek bleek dat de monsters gelekte accounts, klantwachtwoorden en unieke bedrijfs-ID's bevatten die werden gebruikt als extensies van gecodeerde bestanden.

Wat voor soort malware is Qilin?

Qilin-ransomware is een Ransomware-as-a-Service (RaaS)-partnerprogramma dat op Rust gebaseerde ransomware gebruikt om zijn slachtoffers te targeten. Qilin-ransomware-aanvallen worden voor elk slachtoffer aangepast om hun impact te maximaliseren. De bedreigingsactoren kunnen tactieken gebruiken zoals het wijzigen van de bestandsnaamextensies van gecodeerde bestanden en het beëindigen van specifieke processen en diensten. Qilin-ransomware maakt gebruik van AES-256-codering om de bestanden op het systeem van het slachtoffer te coderen. De ransomware gebruikt ook RSA-2048 om de gegenereerde sleutel te versleutelen. Na succesvolle codering worden de gecodeerde bestanden toegevoegd aan een nieuwe willekeurige bestandsextensie, zoals “.MmXReVIxLV”.

Meer lezen:CloAk Ransomware: complete gids

Alles wat we weten over de Qilin (Agenda) ransomware

Deze lijst bevat de basisinformatie over de nieuwe ransomware-variant die bekend staat als Qilin (Agenda).Bevestigde naam

  • Agenda (Qilin) ​​​​virus

Bedreigingstype

  • Ransomware
  • Heimelijke malware
  • Crypto-virus
  • Bestandenkluis
  • Dubbele afpersing

Gecodeerde bestandsextensie

  • Willekeurige extensie

Bericht waarin losgeld wordt geëist

  • [willekeurige_string]-RECOVER-README.txt

Detectie namen

  • AvastWin64:Trojan-gen
  • SophosMal/Generiek-S
  • EmsisoftTrojan.Ransom.Babuk.F (B)
  • KasperskyTrojan.Win32.DelShad.ivd
  • MalwarebytesGenerieke malware/verdacht
  • MicrosoftLosgeld:Win32/Babuk.SIB!MTB

Ransomwarefamilie, type en variant

  • Familie: De Qilin-ransomware maakt deel uit van de Qilin-ransomwarefamilie
  • Type: Qilin-ransomware is een Ransomware-as-a-Service (RaaS)-partnerprogramma
  • Variant: Qilin-ransomware is ook bekend als Agenda-ransomware

Distributiemethoden

  • Verspreiding van geïnfecteerde bestanden
  • Schadelijke hyperlinks
  • Op RDP gebaseerde aanvallen
  • Phishing
  • Spam-e-mailcampagnes

Gevolgen

  • Gegevensexfiltratie
  • Bestandsversleuteling

Is er een gratis decryptor beschikbaar?

Nee.Er is momenteel geen publieke decryptor voor de Qilin (Agenda) ransomware beschikbaar.

Wat zijn de IOC’s van de Qilin-ransomware?

Indicators of Compromise (IOC's) zijn artefacten die worden waargenomen op een netwerk of in een besturingssysteem en die met grote zekerheid wijzen op een computerinbraak. IOC's kunnen worden gebruikt voor vroege detectie van toekomstige aanvalspogingen met behulp van inbraakdetectiesystemen en antivirussoftware. De Indicators of Compromise (IOC's) van Qilin (Agenda) ransomware omvatten:

  • Encryptie:Agenda-ransomware versleutelt bestanden met behulp van AES-256-codering
  • Bestandsextensie:Agenda-ransomware voegt een geconfigureerde bestandsextensie toe aan de bestandsnamen van gecodeerde bestanden
  • Losgeldbrief:Agenda ransomware plaatst een losgeldbriefje in elke gecodeerde directorysoftware
  • Gedrag:Agenda-ransomware kan systemen opnieuw opstarten in de veilige modus, probeert veel serverspecifieke processen en services te stoppen en heeft meerdere modi om uit te voeren
  • Netwerkcompromis:Agenda-ransomware wordt geassocieerd met het compromitteren van een heel netwerk en de gedeelde stuurprogramma's

Het losgeldbriefje van de Qilin (Agenda) ransomware

Het losgeldbriefje dat door de Qilin-ransomware is achtergelaten, informeert het slachtoffer dat hun bestanden zijn gecodeerd en vraagt ​​losgeld. In het losgeldbriefje kan ook worden vermeld dat de bedreigingsactoren gegevens, zoals werknemersgegevens en inloggegevens, van het geïnfecteerde systeem hebben gedownload. Als het slachtoffer weigert te communiceren met de bedreigingsactoren, kunnen de gegevens worden gepubliceerd. Voorbeeld van een losgeldbriefje van Agenda:

Hoe verspreidt de Agenda/Qilin-ransomware zich

Qilin-ransomware is gevaarlijke malware die een computer of netwerk op verschillende manieren kan infecteren, waaronder:

  • Verspreiding van geïnfecteerde bestanden.De Qilin-ransomware kan zich verspreiden via geïnfecteerde bestanden die zonder hun medeweten worden gedownload en op het systeem van het slachtoffer geïnstalleerd.
  • Schadelijke hyperlinks.De Qilin-ransomware kan kwaadaardige hyperlinks gebruiken om het systeem van het slachtoffer te infiltreren. Dit gebeurt wanneer het slachtoffer onbewust een geïnfecteerde website bezoekt en vervolgens zonder hun medeweten malware wordt gedownload en geïnstalleerd.
  • Op RDP gebaseerde aanvallen.De Qilin-ransomware kan RDP-gebaseerde aanvallen gebruiken om het systeem van het slachtoffer te infiltreren. Dit gebeurt wanneer de bedreigingsactoren kwetsbaarheden in het Remote Desktop Protocol (RDP) misbruiken om toegang te krijgen tot het systeem van het slachtoffer.
  • Phishing.De Qilin-ransomware kan beginnen met een phishing-e-mail die een kwaadaardige bijlage of link bevat. Het slachtoffer wordt misleid om de malware op zijn systeem te downloaden en te installeren.

Hoe infecteert de Agenda-ransomware een computer of netwerk

Agenda ransomware is een op Go gebaseerde ransomware die zich richt op Windows-systemen en voor elk slachtoffer wordt aangepast. De ransomware gebruikt verschillende tactieken en technieken om de impact ervan te maximaliseren, waaronder:

  1. Uitvoering in veilige modus.Agenda-ransomware kan systemen opnieuw opstarten in de veilige modus om detectie te omzeilen en te voorkomen dat het slachtoffer toegang krijgt tot het systeem.
  2. Proces- en servicebeëindiging.De ransomware stopt serverspecifieke processen en services om de impact ervan te maximaliseren.
  3. Schaduwvolumekopie verwijderen.Agenda-ransomware verwijdert schaduwvolumekopieën om te voorkomen dat het slachtoffer zijn systeem naar een eerdere staat herstelt.
  4. Antivirusproces en beëindiging van de service.De ransomware beëindigt verschillende antivirusprocessen en -services om detectie te omzeilen.
  5. Automatisch starten van het maken van vermeldingen.Agenda-ransomware creëert een automatisch startitem dat naar een kopie van zichzelf verwijst om ervoor te zorgen dat het elke keer dat het systeem opstart, wordt uitgevoerd.
  6. Wachtwoordwijziging.De ransomware verandert het standaardwachtwoord van de gebruiker en maakt vervolgens automatisch inloggen mogelijk met de gewijzigde inloggegevens.
  7. Vervalste gebruikersaanmelding.Agenda-ransomware maakt gebruik van lokale accounts om in te loggen als vervalste gebruikers en de binaire ransomware uit te voeren, waardoor andere machines verder worden gecodeerd als de aanmeldingspoging succesvol is.
  8. Persistentiemechanisme.De ransomware gebruikt een persistentiemechanisme dat gebruik maakt van DLL om ervoor te zorgen dat het actief blijft op het systeem van het slachtoffer.

Betaal het losgeld niet en onderhandel niet met de dreigingsactoren. Neem onmiddellijk contact op met de experts van SalvageData om uw bestanden te herstellen en meld de ransomware bij de lokale autoriteiten.

Hoe om te gaan met een Qilin (Agenda) ransomware-aanval

Belangrijk:De eerste stap is het toepassen van uw Incident Response Plan (IRP). In het ideale geval beschikt u over een Incident Response Retainer (IRR) met een vertrouwd team van professionals waarmee u 24/7/365 contact kunt opnemen, en zij kunnen onmiddellijk actie ondernemen om gegevensverlies te voorkomen, de betaling van losgeld te verminderen of te elimineren, en u te helpen bij eventuele wettelijke aansprakelijkheden. Voor zover wij weten met de informatie die we hebben op het moment dat dit artikel wordt gepubliceerd, is de eerste stap die een team van ransomware-herstelexperts zou nemen het isoleren van de geïnfecteerde computer door deze los te koppelen van het internet en eventuele aangesloten computer te verwijderen. apparaat. Tegelijkertijd zal dit team u helpen contact op te nemen met de lokale autoriteiten van uw land. Voor inwoners en bedrijven van de VS is dit delokaal FBI-veldkantooren deKlachtencentrum Internetcriminaliteit (IC3). Om een ​​ransomware-aanval te melden, moet u alle mogelijke informatie hierover verzamelen, waaronder:

  • Screenshots van de losgeldbrief
  • Communicatie met Qilin-acteurs (als je die hebt)
  • Een voorbeeld van een gecodeerd bestand

Als u echter geen IRP of IRR heeft, kunt u dat nog steeds doenneem contact op met professionals voor het verwijderen en herstellen van ransomware. Dit is de beste manier van handelen en vergroot de kansen op het succesvol verwijderen van de ransomware, het herstellen van de gegevens en het voorkomen van toekomstige aanvallen aanzienlijk. Wij raden u aanlaat elke geïnfecteerde machine zoals ze zijnen bel eennoodherstelservice voor ransomwareHet herstarten of afsluiten van het systeem kan het herstelproces in gevaar brengen. Het vastleggen van het RAM-geheugen van een live systeem kan helpen bij het verkrijgen van de coderingssleutel, en het vangen van een dropper-bestand kan reverse-engineered zijn en leiden tot de decodering van de gegevens of tot inzicht in hoe deze werkt.Wat u NIET moet doen om te herstellen van een Qilin (Agenda) ransomware-aanvalJe moetverwijder de ransomware nieten bewaar elk bewijs van de aanval. Dat is belangrijk voordigitaal forensisch onderzoekzodat experts de hackergroep kunnen herleiden en identificeren. Het is door de gegevens op uw geïnfecteerde systeem te gebruiken dat de autoriteiten dit kunnen doenonderzoek de aanval en vind de verantwoordelijke.Een cyberaanvalonderzoek verschilt niet van ieder ander strafrechtelijk onderzoek: er is bewijsmateriaal nodig om de aanvallers te kunnen opsporen.

1. Neem contact op met uw Incident Response-provider

Een Cyber ​​Incident Response is het reageren op en beheren van een cyberveiligheidsincident. Een Incident Response Retainer is een serviceovereenkomst met een cybersecurityprovider waarmee organisaties externe hulp kunnen krijgen bij cybersecurity-incidenten. Het biedt organisaties een gestructureerde vorm van expertise en ondersteuning via een securitypartner, waardoor ze snel en effectief kunnen reageren bij een cyberincident. Een incident response retainer biedt gemoedsrust voor organisaties en biedt deskundige ondersteuning voor en in de nasleep van een cybersecurityincident. De specifieke aard en structuur van een incidentresponshouder zal variëren afhankelijk van de aanbieder en de vereisten van de organisatie. Een goede incidentresponsbewaker moet robuust maar flexibel zijn en bewezen diensten leveren om de beveiligingspositie van een organisatie op de lange termijn te verbeteren. Als u contact opneemt met uw IR-serviceprovider, zorgen zij voor de rest. Als u echter besluit de ransomware te verwijderen en de bestanden samen met uw IT-team te herstellen, kunt u de volgende stappen volgen.

2. Identificeer de ransomware-infectie

Dat kanidentificeren welke ransomwareheeft uw machine geïnfecteerd met de bestandsextensie (sommige ransomware gebruikt de bestandsextensie als naam), anders staat deze op de losgeldbrief. Met deze informatie kunt u zoeken naar een openbare decoderingssleutel. U kunt ook het type ransomware controleren aan de hand van de IOC's. Indicators of Compromise (IOC's) zijn digitale aanwijzingen die cyberbeveiligingsprofessionals gebruiken om systeemcompromissen en kwaadaardige activiteiten binnen een netwerk- of IT-omgeving te identificeren. Het zijn in wezen digitale versies van bewijsmateriaal dat op een plaats delict is achtergelaten, en potentiële IOC's omvatten ongewoon netwerkverkeer, geprivilegieerde gebruikersaanmeldingen uit het buitenland, vreemde DNS-verzoeken, wijzigingen in systeembestanden en meer. Wanneer een IOC wordt gedetecteerd, evalueren beveiligingsteams mogelijke bedreigingen of valideren ze de authenticiteit ervan. IOC's leveren ook bewijs van waartoe een aanvaller toegang had als hij het netwerk zou infiltreren.

3. Verwijder de ransomware en elimineer exploitkits

Voordat u uw gegevens herstelt, moet u garanderen dat uw apparaat vrij is van ransomware en dat de aanvallers geen nieuwe aanval kunnen uitvoeren via exploitkits of andere kwetsbaarheden. Een ransomware-verwijderingsservice kan de ransomware verwijderen, een forensisch document maken voor onderzoek, kwetsbaarheden elimineren en uw gegevens herstellen. Gebruik anti-malware/anti-ransomware-software om de schadelijke software in quarantaine te plaatsen en te verwijderen.

Belangrijk:Door contact op te nemen met ransomware-verwijderingsdiensten, kunt u ervoor zorgen dat uw machine en netwerk geen spoor meer hebben van de Qilin (Agenda) ransomware. Deze services kunnen ook uw systeem patchen, waardoor nieuwe aanvallen worden voorkomen.

4. Gebruik een back-up om de gegevens te herstellen

Back-ups zijn de meest efficiënte manier om gegevens te herstellen. Zorg ervoor dat u dagelijkse of wekelijkse back-ups maakt, afhankelijk van uw datagebruik.

5. Neem contact op met een ransomware-herstelservice

Als u geen back-up heeft of hulp nodig heeft bij het verwijderen van de ransomware en het elimineren van kwetsbaarheden, kunt u contact opnemen met een gegevensherstelservice. Het betalen van het losgeld garandeert niet dat uw gegevens aan u worden geretourneerd. De enige gegarandeerde manier waarop u elk bestand kunt herstellen, is als u een back-up hebt. Als u dat niet doet, kunnen ransomware-gegevenshersteldiensten u helpen de bestanden te decoderen en te herstellen. De experts van SalvageData kunnen uw bestanden veilig herstellen en voorkomen dat de Qilin (Agenda) ransomware uw netwerk opnieuw aanvalt. Ook bieden we eendigitaal forensisch rapportdie u kunt gebruiken voor verder onderzoek en om te begrijpen hoe de cyberaanval heeft plaatsgevonden. Neem 24/7 contact op met onze experts voor noodherstelservice.

Voorkom de Qilin (Agenda) ransomware-aanval

Het voorkomen van ransomware is de beste oplossing voor gegevensbeveiliging. is gemakkelijker en goedkoper dan ervan herstellen. Qilin-ransomware kan de toekomst van uw bedrijf schaden en zelfs de deuren sluiten. Dit zijn een paar tips om ervoor te zorgen dat u dat kunt doenvermijd ransomware-aanvallen:

  • Installeer antivirus- en antimalwaresoftware.
  • Maak gebruik van betrouwbare cyberbeveiligingsoplossingen.
  • Gebruik sterke en veilige wachtwoorden.
  • Houd software en besturingssystemen up-to-date.
  • Implementeer firewalls voor extra bescherming.
  • Maak een dataherstelplan.
  • Plan regelmatig back-ups om uw gegevens te beschermen.
  • Wees voorzichtig met e-mailbijlagen en downloads van onbekende of verdachte bronnen.
  • Controleer de veiligheid van advertenties voordat u erop klikt.
  • Krijg alleen toegang tot websites van vertrouwde bronnen.

Door u aan deze praktijken te houden, kunt u uw online beveiliging versterken en uzelf beschermen tegen mogelijke bedreigingen.

Related Posts

Top OnePlus Nord 3 5G

Top OnePlus Nord 3 5G

2023-10-18
Hoe u dubbele bestanden kunt vinden met verschillende namen, maar dezelfde inhoud op 2 manieren

Hoe u dubbele bestanden kunt vinden met verschillende namen, maar dezelfde inhoud op 2 manieren

2025-04-30
2 methoden om standaard desktoppictogrammen toe te voegen of te verwijderen in Windows 11

2 methoden om standaard desktoppictogrammen toe te voegen of te verwijderen in Windows 11

2025-05-07
Hoe u het aanraakscherm kunt uitschakelen op Windows 11 of 10

Hoe u het aanraakscherm kunt uitschakelen op Windows 11 of 10

2025-08-29
3 manieren om de microfoon in Windows 10 te dempen of uit te schakelen

3 manieren om de microfoon in Windows 10 te dempen of uit te schakelen

2025-05-07
Windows 11-artikelen

Windows 11-artikelen

2025-01-09
Hoe en wanneer de cache van Android-applicaties moet worden gewist

Hoe en wanneer de cache van Android-applicaties moet worden gewist

2024-12-25
Windows 11-artikelen

Windows 11-artikelen

2025-01-15
The Browser Company bouwt nog een AI-browser, Dia

The Browser Company bouwt nog een AI-browser, Dia

2024-12-03
Hoe u een beter wifi-signaal van uw buurman kunt krijgen (Techniek 6 is geweldig)

Hoe u een beter wifi-signaal van uw buurman kunt krijgen (Techniek 6 is geweldig)

2025-09-30
Een nieuwe regel toevoegen in PowerShell

Een nieuwe regel toevoegen in PowerShell

2024-12-09
10 beste IPTV voor FireStick in 2023 (betaalde en gratis services)

10 beste IPTV voor FireStick in 2023 (betaalde en gratis services)

2023-10-20
Hoe u de status van de domeincontroller kunt controleren

Hoe u de status van de domeincontroller kunt controleren

2024-09-02
DNS-propagatie: wat het is en waarom het belangrijk is

DNS-propagatie: wat het is en waarom het belangrijk is

2024-12-11
Technische tips, trucs en gidsen

Technische tips, trucs en gidsen

2025-04-20