Home Cum să vă recuperați de la atacul ransomware Play

Cum să vă recuperați de la atacul ransomware Play

Play Ransomware a fost văzut pentru prima dată în iunie 2022, iar America Latină, în special Brazilia, este ținta principală a grupului de hackeri Play. Se crede că atacatorii sunt din Rusia, deoarece tehnicile sale de criptare sunt similare cu grupurile rusești de ransomware Hive și Nokoyawa. După ce intră în rețea printr-o vulnerabilitate din sistem, ransomware-ul Play va cripta fișierele și apoi va lăsa o notă de răscumpărare. Nota afirmă că datele dumneavoastră sunt blocate până la plata răscumpărării.

Ce fel de malware este Play?

Play este un tip de ransomware care folosește Cobalt Strike pentru post-compromis și SystemBC RAT pentru persistență. Acesta criptează fișierele, modifică extensia fișierelor și lasă o notă de răscumpărare. Grupul exploatează vulnerabilitățile ProxyNotShell din Microsoft Exchange pentru a infecta rețelele și a fura datele companiilor și organizațiilor. Ransomware-ul Play folosește tactici de extorcare dublă, deoarece nu numai că criptează datele, ci și le copiază și amenință că va scurge fișierele în cazul în care răscumpărarea nu este plătită în august.Un grup de hackeri Play a atacat sistemul judiciar din Cordoba din Argentinafăcându-i să-și închidă sistemul IT. Drept urmare, Justiția a fost nevoită să folosească hârtie și pix pentru a depune documente oficiale. Experții cred că s-a întâmplat prin e-mailuri de phishing.

Identificați ransomware-ul Play

Nume confirmat

  • Joacă virusul

Tipul de amenințare

  • Ransomware
  • Criptovirus
  • Dulapul de fișiere

Extensie de fișiere criptate

  • .JUCA

Mesaj care solicită răscumpărare

  • ReadMe.txt

Există un decriptor gratuit disponibil?

  • Nu, nu există o cheie publică de decriptare pentru ransomware-ul Play

Nume de detectare

  • AvastWin32: malware-gen
  • EmsisoftGen:Variant.Fragtor.104675 (B)
  • KasperskyTIME:Trojan-Ransom.Win32.Crypmodng.gen
  • MalwarebytesRansom.FileCryptor
  • MicrosoftRăscumpărare:Win32/Crypmodng!mclg
  • SophosMal/Generic-S

Simptome

  • Nu se pot deschide fișierele stocate pe computer
  • Noi extensii de fișiere
  • Un mesaj de cerere de răscumpărare pe desktop
  • Fișierele redenumite cu litere aleatorii

Metode de distribuire

  • Atașamente de e-mail infectate (e-mailuri de phishing)
  • Site-uri web cu torrent (link-uri sau fișiere infectate)
  • Anunțuri rău intenționate (reclame malware)

Consecințele

  • Fișiere blocate
  • Parole furate
  • Încălcarea datelor

Prevenirea

  • Antivirus și anti-malware
  • Software actualizat
  • Sistem de operare (OS) actualizat
  • Firewall-uri
  • Nu deschideți un atașament de e-mail dintr-o sursă necunoscută
  • Utilizați aplicația de securitate a e-mailului pentru a bloca e-mailurile rău intenționate
  • Nu descărcați fișiere de pe site-uri web suspecte
  • Utilizați aplicații pentru a bloca accesul extern neautorizat la rețea
  • Nu faceți clic pe reclame decât dacă sunteți sigur că este sigur
  • Accesați site-uri numai din surse de încredere

Joacă domenii ransomware

  • hxxp://185[.]150[.]117[.]186:80/asdfgsdhsdfgsdfg”
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv’
  • hxxp://newspraize[.]com
  • newspraize[.]com
  • realmacnow[.]com
  • hacktool[.]win32[.]toolpow[.]sm
  • hxxp://realmacnow[.]com

Cum v-a infectat Play computerul

Ca și în cazul multor atacuri ransomware, phishingul este o metodă principală prin care ransomware-ul Play poate infecta o rețea. Dacă există vreo vulnerabilitate în sistemul dvs. de securitate, afacerea dvs. este deschisă unui atac cibernetic. Cele mai comune moduri prin care ransomware-ul Play infectează computerele și rețelele sunt:

  • Atașamente și link-uri rău intenționate în e-mailuri/mesaje spam
  • Escrocherii online
  • Canale de descărcare dubioase
  • Instrumente ilegale de activare a software-ului (cracuri)
  • Actualizări false
  • Descărcări sub formă de scufundare (ascunse și înșelătoare).

Campanii de spam prin e-mail. Acesta este un atac de tip phishing prin e-mail în care hackerii folosesc inginerie socială pentru a înșela victimele să facă clic pe linkuri sau atașamente rău intenționate. După aceea, kitul de exploatare este descărcat în mașină, iar actorii amenințărilor pot declanșa ransomware în orice moment. Aceste e-mailuri pot fi vizate atunci când hackerii intenționează să acceseze o anumită afacere sau pot fi phishing nedirecționat atunci când trimit o campanie de spam în masă cu malware.Surse neoficiale de descărcare de software și fisuri.Software-ul pirat și crack-ul sunt de obicei programe rău intenționate. De asemenea, acest software nu va avea actualizările necesare pentru a îmbunătăți programul și a preveni vulnerabilitățile pe care hackerii le pot exploata.Vulnerabilitati software cunoscute.Hackerii folosesc software cu vulnerabilități cunoscute și pentru a ataca companiile. De aceea, este foarte important să mențineți fiecare software actualizat și să protejați instrumentele de administrare la distanță, cum ar fi RDP.

Redați nota de criptare și răscumpărare

Fiecare fișier va avea o extensie .PLAY după criptare. Ransomware-ul folosește criptosistemul hibrid generic RSA-AES pentru a cripta fișierele. Redarea nota de răscumpărare este foarte simplă, ceea ce este una dintre principalele diferențe față de alte ransomware. De cele mai multe ori, nota este pur și simplu cuvântul „JOCĂ” urmat de adresa de e-mail la care victimele trebuie să contacteze atacatorii. Unele variante pot adăuga linkul pentru site-ul web Tor și adresa de e-mail. Exemplu de conținut pentru nota de răscumpărare Play:

JUCA

portal de știri, link-uri către rețea:

mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion

k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion

[email protected]

Cum funcționează ransomware-ul Play

Play ransomware are un sistem de criptare intermitentă. Funcționează urmând 10 pași care nu numai că criptează datele, ci și le fură și amenință că le vor scurge.

1. Acces inițial

Ransomware-ul Play obține, de obicei, acces la rețele și sisteme prin vechile acreditări legitime care au fost reutilizate pe mai multe platforme sau care au fost scurse anterior. Protocoalele de desktop la distanță expuse (RDP) sunt, de asemenea, o poartă de acces pentru atacurile ransomware Play.

2. Executarea

Pasul de execuție implică utilizarea sarcinilor programate și a PsExec. Hackerii controlează multe mașini ale utilizatorilor și, de asemenea, instrumente legale Windows pentru a executa procese pe alte sisteme în această fază și apoi răspândesc ransomware-ul în rețea.

3. Persistența

Hackerii continuă să folosească conturile ca mecanism de persistență, permițând accesul RDP.

4. Escaladarea privilegiilor

În această fază, hackerii folosesc Mimikatz pentru a extrage acreditări cu privilegii înalte din memorie.

5. Evaziunea apărării

După aceea, ransomware-ul va dezactiva antivirusurile și software-ul anti-malware. Apoi folosesc instrumentul încorporat Windows wevtutil pentru a-și acoperi urmele și pentru a dezactiva Windows Defender.

6. Acces la acreditări

În acest pas, Play va elimina acreditările pe gazda țintă și va obține acces de administrator de domeniu.

7. Descoperire

În timpul etapei de descoperire, hackerii vor colecta mai multe informații despre mediu.

8. Mișcarea laterală

Pentru mișcarea laterală, Play folosește diferite instrumente, cum ar fi:

  • Lovitură de cobalt
  • SystemBC
  • Imperiu
  • Mimiccat

9. Exfiltrare

Pentru exfiltrare, abordarea Play este de a împărți datele în bucăți. Ei folosesc WinRAR pentru a comprima datele și a le transfera folosind formatul de fișier .RAR.

10. Impact

Pasul final este criptarea datelor și adăugarea extensiei de fișier .PLAY la fișiere și plasarea unei note de răscumpărare.

Preveniți atacurile ransomware Play

Am menționat deja câteva modalități prin care puteți preveni atacurile ransomware Play. Iată o listă completă cu ce trebuie să faceți pentru a vă păstra datele și afacerea în siguranță.

Vezi și:Ce este un atac Vishing și cum să preveniți devenirea unei victime

1. Ștergeți conturile de utilizator învechite și neutilizate

Conturile neutilizate sunt vulnerabilități pe care hackerii le pot exploata. Aceasta este modalitatea principală pe care o folosește Play ransomware pentru a accesa RDP și a trimite e-mailuri de tip phishing. Dezactivați și închideți conturile neutilizate, precum și pe cele folosite de foștii angajați.

2. Folosiți parole puternice

Utilizați întotdeauna parole puternice și unice pentru fiecare cont și partajați-le doar persoanelor necesare. Acest lucru poate garanta că numai personalul autorizat va accesa fiecare cont de companie.

3. Aplicați autentificarea cu mai mulți factori

Puteți utiliza autentificarea cu doi factori sau deblocarea biometrică pentru a vă asigura că numai persoanele autorizate au acces la dosare, dispozitive sau conturi.

4. Programați backup-uri regulate

Păstrați cel puțin trei copii ale datelor dvs., având cel puțin una stocată offline și off-site. Deci, chiar dacă sunteți lovit de un dezastru, fiind natural sau creat de om (cum ar fi ransomware), datele dvs. sunt întotdeauna în siguranță. Backup-urile regulate pot preveni perioadele de nefuncționare și vă pot asigura că nu pierdeți niciodată date sensibile.

5. Folosiți o soluție de securitate cibernetică

Puteți avea fie o echipă IT care să vă garanteze securitatea afacerii, fie să angajați un serviciu de securitate cibernetică. În orice caz, trebuie să căutați vulnerabilități în rețea, cum ar fi ușile din spate, kiturile de exploatare și software-ul YouTube.

6. Aveți în mână un plan de recuperare

Planurile de recuperare a datelor sunt documente care funcționează ca ghiduri despre ce trebuie făcut în caz de dezastru. Acest lucru vă poate ajuta să vă restabiliți afacerea mai rapid și mai sigur. Vedeți cum să creați un plan de recuperare a datelor cu ghidul nostru detaliat.

Primul pas pentru a vă recupera din atacul Play este izolarea computerului infectat prin deconectarea de la internet și eliminarea oricărui dispozitiv conectat. Apoi, trebuie să contactați autoritățile locale. În cazul rezidenților și întreprinderilor din SUA, este vorba debiroul local al FBIiar celCentrul de reclamații privind infracțiunile pe internet (IC3).Pentru a raporta un atac ransomware, trebuie să adunați toate informațiile pe care le puteți despre acesta, inclusiv:

  • Capturi de ecran ale notei de răscumpărare
  • Comunicații cu actorii Play (dacă îi aveți)
  • Exemplu de fișier criptat

Nu trebuie să ștergeți ransomware-ul și să păstrați toate dovezile atacului. Acest lucru este important pentru criminalistica digitală, astfel încât experții să poată urmări până la grupul de hackeri și să-i identifice. Folosește datele de pe sistemul dumneavoastră infectat, astfel încât autoritățile să poată investiga atacul și să găsească vinovatul. O investigație de atac cibernetic nu este diferită de orice altă anchetă penală: are nevoie de dovezi pentru a găsi atacatorii.

După izolarea dispozitivului și contactarea autorităților, trebuie să urmați următorii pași pentru a vă recupera datele:

1. Contactați agentul dumneavoastră de reținere a răspunsului la incident

Un răspuns la incident cibernetic este procesul de răspuns și de gestionare a unui incident de securitate cibernetică. An Incident Response Retainer este un acord de servicii cu un furnizor de securitate cibernetică care permite organizațiilor să obțină ajutor extern cu incidentele de securitate cibernetică. Oferă organizațiilor o formă structurată de expertiză și asistență prin intermediul unui partener de securitate, permițându-le să răspundă rapid și eficient în cazul unui incident cibernetic. Natura specifică și structura unei mențiuni de răspuns la incident vor varia în funcție de furnizor și de cerințele organizației. O bună menținere a răspunsului la incident ar trebui să fie robustă, dar flexibilă, oferind servicii dovedite pentru a îmbunătăți postura de securitate pe termen lung a unei organizații.

2. Identificați infecția ransomware

Puteți verifica ce ransomware v-a infectat mașina prin extensia de fișier (unele ransomware utilizează extensia de fișier ca nume, cum ar fi ransomware-ul hajd), sau va fi pe nota de răscumpărare. Cu aceste informații, puteți căuta o cheie publică de decriptare. Cu toate acestea, Play nu îl are încă.

3. Eliminați ransomware-ul și eliminați kiturile de exploatare

Înainte de a vă recupera datele, trebuie să vă garantați că dispozitivul dumneavoastră nu conține ransomware și că atacatorii nu pot face un nou atac prin truse de exploatare sau alte vulnerabilități. Un serviciu de eliminare a ransomware-ului poate șterge ransomware-ul, poate crea un document criminalistic pentru investigare, poate elimina vulnerabilitățile și poate recupera datele.

4. Utilizați o copie de rezervă pentru a restaura datele

Backup-urile sunt cea mai eficientă modalitate de a recupera datele. Asigurați-vă că păstrați copii de rezervă zilnice sau săptămânale, în funcție de utilizarea datelor.

5. Contactați un serviciu de recuperare a ransomware

Plata răscumpărării nu garantează că datele dumneavoastră vă vor fi returnate. Singura modalitate garantată în care puteți restaura fiecare fișier este dacă aveți o copie de rezervă a acestuia. Dacă nu aveți o copie de rezervă recentă, serviciile de recuperare a datelor ransomware vă pot ajuta să decriptați și să recuperați fișierele. Experții SalvageData vă pot restaura fișierele în siguranță și vă pot garanta că ransomware-ul Play nu vă va ataca din nou rețeaua. Contactați experții noștri 24/7 pentru serviciul de recuperare de urgență sau găsiți un centru de recuperare în apropierea dvs.

Related Posts

Ghid pas cu pas pentru configurarea unei întâlniri cu zoom

Ghid pas cu pas pentru configurarea unei întâlniri cu zoom

2025-05-07
Tutorial pas cu pas: schimbați culoarea și dimensiunea cursorului mouse-ului în Windows 11

Tutorial pas cu pas: schimbați culoarea și dimensiunea cursorului mouse-ului în Windows 11

2025-06-19
Cum să verificați dacă iPhone-ul este deblocat cu sau fără cartelă SIM

Cum să verificați dacă iPhone-ul este deblocat cu sau fără cartelă SIM

2025-08-01
De ce volumul meu Mac este scăzut: 6 cele mai bune corecții

De ce volumul meu Mac este scăzut: 6 cele mai bune corecții

2024-11-27
Cum să remediați erorile de „acces refuzat” la schimbarea permisiunilor în Windows 11

Cum să remediați erorile de „acces refuzat” la schimbarea permisiunilor în Windows 11

2025-05-05
Tester de tastatură

Tester de tastatură

2025-04-18
Cum să schimbați adresa de facturare pe Amazon

Cum să schimbați adresa de facturare pe Amazon

2023-12-29
Aplicația Google Gemini de pe iPad oferă în sfârșit o experiență reală a tabletei-cu ecran complet, widget-uri și multitasking

Aplicația Google Gemini de pe iPad oferă în sfârșit o experiență reală a tabletei-cu ecran complet, widget-uri și multitasking

2025-05-08
Ghid pas cu pas pentru configurarea unei întâlniri cu zoom

Ghid pas cu pas pentru configurarea unei întâlniri cu zoom

2025-05-07
Inteligenţă artificială

Inteligenţă artificială

2025-02-22
Găsiți un loc de muncă pe care îl iubiți: Analiza setului de date Glassdoor

Găsiți un loc de muncă pe care îl iubiți: Analiza setului de date Glassdoor

2025-10-30
Hei, suntem All Things How. Centrul dvs. suprem de instrucțiuni tehnice.

Hei, suntem All Things How. Centrul dvs. suprem de instrucțiuni tehnice.

2025-03-29
Cum funcționează asistența AppleCare+, costuri și accesibilitate

Cum funcționează asistența AppleCare+, costuri și accesibilitate

2024-12-06
Descărcați fișierele ISO pentru Windows 11 24H2

Descărcați fișierele ISO pentru Windows 11 24H2

2024-11-11
11 remedieri simple pentru contactele AirDrop nu funcționează [Ultimele informații]

11 remedieri simple pentru contactele AirDrop nu funcționează [Ultimele informații]

2024-10-07