Home Qilin (Agenda) Ransomware: guia completo

Qilin (Agenda) Ransomware: guia completo

O ransomware Qilin, também conhecido como ransomware Agenda, é escrito nas linguagens de programação Rust and Go, tornando-o mais versátil e difícil de analisar ou detectar. O ransomware Qilin ganhou notoriedade por atingir empresas de setores críticos, mas é uma ameaça para organizações em todos os setores verticais. O programa de afiliados do operador de ransomware não está apenas adicionando novos membros à sua rede, mas também os está transformando em armas com malware e serviços de suporte para atingir educação, saúde e outros setores críticos da economia mundial. O grupo que distribui o malware concentrava-se em organizações de saúde e educação na Indonésia, Arábia Saudita, África do Sul e Tailândia. Cada nota de resgate lançada pelo ransomware foi personalizada para a vítima pretendida. A investigação revelou que as amostras continham contas vazadas, senhas de clientes e IDs exclusivos de empresas usados ​​como extensões de arquivos criptografados.

Que tipo de malware é o Qilin?

Qilin ransomware é um programa afiliado de Ransomware como serviço (RaaS) que usa ransomware baseado em Rust para atingir suas vítimas. Os ataques de ransomware Qilin são personalizados para cada vítima para maximizar seu impacto e os atores da ameaça podem aproveitar táticas como alterar as extensões de nome de arquivos criptografados e encerrar processos e serviços específicos. O ransomware Qilin usa criptografia AES-256 para criptografar os arquivos no sistema da vítima. O ransomware também usa RSA-2048 para criptografar a chave gerada. Após a criptografia bem-sucedida, os arquivos criptografados são anexados a uma nova extensão de arquivo aleatória, como “.MmXReVIxLV”.

Mais leitura:CloAk Ransomware: guia completo

Tudo o que sabemos sobre o ransomware Qilin (Agenda)

Esta lista contém informações básicas sobre a nova cepa de ransomware conhecida como Qilin (Agenda).Nome confirmado

  • Vírus da Agenda (Qilin) ​​​​

Tipo de ameaça

  • Ransomware
  • Malware furtivo
  • vírus criptográfico
  • Armário de arquivos
  • Dupla extorsão

Extensão de arquivos criptografados

  • Extensão aleatória

Mensagem exigindo resgate

  • [string_aleatória]-RECOVER-README.txt

Nomes de detecção

  • AvastWin64: Trojan-gen
  • SophosMal/Genérico-S
  • EmsisoftTrojan.Ransom.Babuk.F (B)
  • KasperskyTrojan.Win32.DelShad.ivd
  • MalwarebytesGenérico.Malware/Suspeito
  • MicrosoftResgate:Win32/Babuk.SIB!MTB

Família, tipo e variante de ransomware

  • Família: Qilin ransomware faz parte da família Qilin ransomware
  • Tipo: Qilin ransomware é um programa afiliado de Ransomware como serviço (RaaS)
  • Variante: Qilin ransomware também é conhecido como Agenda ransomware

Métodos de distribuição

  • Disseminação de arquivos infectados
  • Hiperlinks maliciosos
  • Ataques baseados em RDP
  • Phishing
  • Campanhas de e-mail de spam

Consequências

  • Exfiltração de dados
  • Criptografia de arquivo

Existe um descriptografador gratuito disponível?

No.Não há nenhum descriptografador público conhecido para o ransomware Qilin (Agenda) disponível no momento.

Quais são os IOCs do ransomware Qilin?

Indicadores de comprometimento (IOCs) são artefatos observados em uma rede ou sistema operacional que indicam uma invasão de computador com alta confiança. Os IOCs podem ser usados ​​para detecção precoce de futuras tentativas de ataque usando sistemas de detecção de intrusão e software antivírus. Os Indicadores de Compromisso (IOCs) do ransomware Qilin (Agenda) incluem:

  • Criptografia:Agenda ransomware criptografa arquivos usando criptografia AES-256
  • Extensão do arquivo:Agenda ransomware anexa uma extensão de arquivo configurada aos nomes de arquivos criptografados
  • Nota de resgate:Agenda ransomware deixa uma nota de resgate em cada software de diretório criptografado
  • Comportamento:O ransomware Agenda pode reinicializar sistemas em modo de segurança, tenta interromper muitos processos e serviços específicos do servidor e tem vários modos de execução
  • Comprometimento de rede:O ransomware Agenda está associado ao comprometimento de uma rede inteira e de seus drivers compartilhados

Nota de resgate do ransomware Qilin (Agenda)

A nota de resgate deixada pelo ransomware Qilin informa à vítima que seus arquivos foram criptografados e exige o pagamento do resgate. A nota de resgate também pode mencionar que os agentes da ameaça baixaram dados, como detalhes e credenciais de funcionários, do sistema infectado. Se a vítima se recusar a comunicar com os autores da ameaça, os dados poderão ser publicados.Exemplo de nota de resgate da Agenda:

Como o ransomware Agenda/Qilin se espalha

O ransomware Qilin é um malware perigoso que pode infectar um computador ou rede de várias maneiras, incluindo:

  • Disseminação de arquivos infectados.O ransomware Qilin pode se espalhar por meio de arquivos infectados que são baixados e instalados no sistema da vítima sem o seu conhecimento.
  • Hiperlinks maliciosos.O ransomware Qilin pode usar hiperlinks maliciosos para se infiltrar no sistema da vítima. Isso ocorre quando a vítima visita inadvertidamente um site infectado e, em seguida, o malware é baixado e instalado sem o seu conhecimento.
  • Ataques baseados em RDP.O ransomware Qilin pode usar ataques baseados em RDP para se infiltrar no sistema da vítima. Isso ocorre quando os agentes da ameaça exploram vulnerabilidades no Remote Desktop Protocol (RDP) para obter acesso ao sistema da vítima.
  • Phishing.O ransomware Qilin pode começar com um e-mail de phishing que contém um anexo ou link malicioso. A vítima é enganada para baixar e instalar o malware em seu sistema.

Como o Agenda ransomware infecta um computador ou rede

Agenda ransomware é um ransomware baseado em Go que tem como alvo sistemas Windows e é personalizado para cada vítima. O ransomware usa várias táticas e técnicas para maximizar seu impacto, incluindo:

  1. Execução em modo de segurança.O ransomware Agenda pode reiniciar sistemas em modo de segurança para evitar a detecção e impedir que a vítima acesse seu sistema.
  2. Encerramento de processos e serviços.O ransomware interrompe processos e serviços específicos do servidor para maximizar seu impacto.
  3. Remoção de cópia de volume de sombra.O Agenda ransomware remove cópias de volume de sombra para evitar que a vítima restaure seu sistema para um estado anterior.
  4. Processo antivírus e encerramento de serviço.O ransomware encerra vários processos e serviços antivírus para evitar a detecção.
  5. Criação de entrada de início automático.O Agenda ransomware cria uma entrada de inicialização automática apontando para uma cópia de si mesmo para garantir que ela seja executada sempre que o sistema for inicializado.
  6. Modificação de senha.O ransomware altera a senha do usuário padrão e permite o login automático usando as credenciais modificadas.
  7. Logon de usuário falsificado.O Agenda ransomware aproveita contas locais para fazer login como usuários falsificados e executar o binário do ransomware, criptografando ainda mais outras máquinas se a tentativa de login for bem-sucedida.
  8. Mecanismo de persistência.O ransomware usa um mecanismo de persistência usando DLL para garantir que permaneça ativo no sistema da vítima.

Não pague o resgate nem negocie com os atores da ameaça. Contate imediatamente os especialistas da SalvageData para restaurar seus arquivos e denunciar o ransomware às autoridades locais.

Como lidar com um ataque de ransomware Qilin (Agenda)

Importante:O primeiro passo é recorrer ao seu Plano de Resposta a Incidentes (IRP). Idealmente, você tem um Retentor de Resposta a Incidentes (IRR) com uma equipe confiável de profissionais que podem ser contatados 24 horas por dia, 7 dias por semana, 365 dias por ano, e eles podem tomar medidas imediatas para evitar a perda de dados, reduzir ou eliminar o pagamento de resgate e ajudá-lo em quaisquer responsabilidades legais. dispositivo. Simultaneamente, esta equipe irá ajudá-lo a entrar em contato com as autoridades locais do seu país. Para residentes e empresas dos EUA, é oescritório local do FBIe oCentro de denúncias de crimes na Internet (IC3). Para denunciar um ataque de ransomware, você deve reunir todas as informações possíveis sobre ele, incluindo:

  • Capturas de tela da nota de resgate
  • Comunicações com atores Qilin (se você os tiver)
  • Uma amostra de um arquivo criptografado

No entanto, se você não tiver um IRP ou IRR, ainda poderáentre em contato com profissionais de remoção e recuperação de ransomware. Este é o melhor curso de ação e aumenta muito as chances de remover o ransomware com sucesso, restaurar os dados e prevenir ataques futuros. Recomendamos que vocêdeixe todas as máquinas infectadas como estãoe ligue para umserviço de recuperação de ransomware de emergência.Reiniciar ou desligar o sistema pode comprometer o processo de recuperação. A captura da RAM de um sistema ativo pode ajudar a obter a chave de criptografia, e a captura de um arquivo dropper pode sofrer engenharia reversa e levar à descriptografia dos dados ou à compreensão de como eles funcionam.O que NÃO fazer para se recuperar de um ataque de ransomware Qilin (Agenda)Você devenão exclua o ransomwaree guarde todas as evidências do ataque. Isso é importante paraperícia digitalpara que os especialistas possam rastrear o grupo de hackers e identificá-los. É usando os dados do seu sistema infectado que as autoridades podeminvestigue o ataque e encontre o responsável.Uma investigação de ataque cibernético não é diferente de qualquer outra investigação criminal: necessita de provas para encontrar os atacantes.

1. Entrando em contato com seu provedor de resposta a incidentes

Uma resposta a incidentes cibernéticos é responder e gerenciar um incidente de segurança cibernética. Um Retentor de Resposta a Incidentes é um contrato de serviço com um provedor de segurança cibernética que permite às organizações obter ajuda externa com incidentes de segurança cibernética. Ele fornece às organizações uma forma estruturada de conhecimento e suporte por meio de um parceiro de segurança, permitindo-lhes responder de forma rápida e eficaz no caso de um incidente cibernético. Um retentor de resposta a incidentes oferece tranquilidade às organizações, oferecendo suporte especializado antes e depois de um incidente de segurança cibernética. A natureza e a estrutura específicas de um contrato de resposta a incidentes variam de acordo com o fornecedor e os requisitos da organização. Um bom retentor de resposta a incidentes deve ser robusto, mas flexível, fornecendo serviços comprovados para melhorar a postura de segurança de longo prazo de uma organização. Se você entrar em contato com seu provedor de serviços de RI, ele cuidará de todo o resto. No entanto, se você decidir remover o ransomware e recuperar os arquivos com sua equipe de TI, poderá seguir as próximas etapas.

2. Identifique a infecção por ransomware

Você podeidentificar qual ransomwareinfectou sua máquina pela extensão do arquivo (alguns ransomware usam a extensão do arquivo como nome) ou estará na nota de resgate. Com essas informações, você pode procurar uma chave de descriptografia pública. Você também pode verificar o tipo de ransomware por seus IOCs. Indicadores de comprometimento (IOCs) são pistas digitais que os profissionais de segurança cibernética usam para identificar comprometimentos de sistema e atividades maliciosas em uma rede ou ambiente de TI. Eles são essencialmente versões digitais de evidências deixadas na cena do crime, e possíveis IOCs incluem tráfego de rede incomum, logins de usuários privilegiados de países estrangeiros, solicitações estranhas de DNS, alterações em arquivos do sistema e muito mais. Quando um IOC é detectado, as equipes de segurança avaliam possíveis ameaças ou validam sua autenticidade. Os IOCs também fornecem evidências do que um invasor teria acesso caso se infiltrasse na rede.

3. Remova o ransomware e elimine kits de exploração

Antes de recuperar seus dados, você deve garantir que seu dispositivo esteja livre de ransomware e que os invasores não possam realizar um novo ataque através de kits de exploração ou outras vulnerabilidades. Um serviço de remoção de ransomware pode excluí-lo, criar um documento forense para investigação, eliminar vulnerabilidades e recuperar seus dados. Use software antimalware/antiransomware para colocar em quarentena e remover o software malicioso.

Importante:Ao entrar em contato com os serviços de remoção de ransomware, você pode garantir que sua máquina e rede não tenham nenhum vestígio do ransomware Qilin (Agenda). Além disso, esses serviços podem corrigir seu sistema, evitando novos ataques.

4. Use um backup para restaurar os dados

Os backups são a maneira mais eficiente de recuperar dados. Certifique-se de manter backups diários ou semanais, dependendo do uso de dados.

5. Contate um serviço de recuperação de ransomware

Se você não tiver um backup ou precisar de ajuda para remover o ransomware e eliminar vulnerabilidades, entre em contato com um serviço de recuperação de dados. Pagar o resgate não garante que seus dados serão devolvidos a você. A única maneira garantida de restaurar todos os arquivos é se você tiver um backup. Caso contrário, os serviços de recuperação de dados de ransomware podem ajudá-lo a descriptografar e recuperar os arquivos. Os especialistas em SalvageData podem restaurar seus arquivos com segurança e evitar que o ransomware Qilin (Agenda) ataque sua rede novamente.relatório forense digitalque você pode usar para uma investigação mais aprofundada e para entender como o ataque cibernético aconteceu. Entre em contato com nossos especialistas 24 horas por dia, 7 dias por semana, para obter serviço de recuperação de emergência.

Prevenir o ataque de ransomware Qilin (Agenda)

Prevenir ransomware é a melhor solução para segurança de dados. é mais fácil e barato do que recuperar deles. O ransomware Qilin pode custar o futuro da sua empresa e até fechar suas portas. Estas são algumas dicas para garantir que você possaevite ataques de ransomware:

  • Instale software antivírus e antimalware.
  • Empregue soluções confiáveis ​​de segurança cibernética.
  • Utilize senhas fortes e seguras.
  • Mantenha softwares e sistemas operacionais atualizados.
  • Implemente firewalls para proteção adicional.
  • Crie um plano de recuperação de dados.
  • Agende backups regularmente para proteger seus dados.
  • Tenha cuidado com anexos de e-mail e downloads de fontes desconhecidas ou suspeitas.
  • Verifique a segurança dos anúncios antes de clicar neles.
  • Acesse sites apenas de fontes confiáveis.

Ao aderir a essas práticas, você pode fortalecer sua segurança online e proteger-se contra ameaças potenciais.

Related Posts

Como tornar o Facebook privado em minutos

Como tornar o Facebook privado em minutos

2025-07-14
Corrigido: ID da face não disponível, tente configurar mais tarde

Corrigido: ID da face não disponível, tente configurar mais tarde

2025-07-16
Como corrigir o erro "Registro de serviço está ausente ou corrupto" no Windows

Como corrigir o erro "Registro de serviço está ausente ou corrupto" no Windows

2025-04-06
Como consertar o iPhone 15/14 não liga

Como consertar o iPhone 15/14 não liga

2025-04-30
Como consertar um microfone sem nome no Windows 11

Como consertar um microfone sem nome no Windows 11

2025-04-20
Teste de clique do botão do mouse

Teste de clique do botão do mouse

2024-12-18
Verificador de taxa de pesquisa do mouse

Verificador de taxa de pesquisa do mouse

2024-12-23
Concurso de ortografia do NYT, 8 de dezembro de 2025: truques e respostas

Concurso de ortografia do NYT, 8 de dezembro de 2025: truques e respostas

2025-12-08
Locais de greve de bambu do fantasma de Yotei

Locais de greve de bambu do fantasma de Yotei

2025-10-01
Como corrigir o código de erro 7: 0x3C ao instalar ou atualizar o Chrome

Como corrigir o código de erro 7: 0x3C ao instalar ou atualizar o Chrome

2025-07-29
Controlador e testador de gamepad

Controlador e testador de gamepad

2025-02-02
Verificador de taxa de pesquisa de mouse

Verificador de taxa de pesquisa de mouse

2025-02-04
Navegando pelo futuro do financiamento para startups: insights da análise de dados do Crunchbase

Navegando pelo futuro do financiamento para startups: insights da análise de dados do Crunchbase

2025-11-01
Navegando pelo futuro do financiamento para startups: insights da análise de dados do Crunchbase

Navegando pelo futuro do financiamento para startups: insights da análise de dados do Crunchbase

2025-11-07
Hospedagem na nuvem cPanel

Hospedagem na nuvem cPanel

2025-03-19