Home Програмне забезпечення-вимагач Everest: повний посібник

Програмне забезпечення-вимагач Everest: повний посібник

Програми-вимагачі Everest — це сумнозвісне угруповання кіберзлочинців, яке активно працює з грудня 2020 року. Вони націлені на організації в різних галузях і регіонах, серед жертв яких є високопоставлені особи.НАСАі уряд Бразилії. Російськомовна група стверджує, що має доступ до конфіденційних системних даних і часто вимагає викуп в обмін на те, щоб не оприлюднити викрадену інформацію, тактика, відома як подвійне вимагання. Програмне забезпечення-вимагач Everest відоме своїми можливостями викрадання даних і пов’язане з іншими сімействами програм-вимагачів, такими як Everbe 2.0 і BlackByte. Група не лише витікає інформацію,вони продають доступ до зараженої мережі. Це означає, що скомпрометовані організації мають мати справу з кількома зараженнями та повторними атаками одночасно.

Експерти SalvageData рекомендують профілактичні заходи безпеки даних, такі як регулярне резервне копіювання, ефективні методи кібербезпеки та оновлення програмного забезпечення для захисту від атак програм-вимагачів. і,у разі атаки програм-вимагачів зверніться до нашогофахівці з відновлення програм-вимагачівнегайно.

Програма-вимагач Everest — це тип зловмисного програмного забезпечення, яке націлено на організації в різних галузях і регіонах. Він шифрує файли жертви, роблячи їх недоступними, і вимагає викуп в обмін на ключ розшифровки. Експерти вважають, що він є частиною сімейства Black-Byte і раніше був пов’язаний із сімейством Everbe 2.0. Група програм-вимагачів Everest працює принаймні з грудня 2020 року та бере участь у витоку даних, посередництві при початковому доступі та вимогах викупу. Помічено, що програмне забезпечення-вимагач використовує законні скомпрометовані облікові записи користувачів і протокол віддаленого робочого столу (RDP) для бокового переміщення. Вони також націлилися на кілька державних установ, включаючи Аргентину, Перу та Бразилію.

Рекомендовано прочитати:Scarab Ransomware: Повний посібник

Все, що ми знаємо про програму-вимагач Everest

Підтверджене ім'я

  • Вірус Еверест

Тип загрози

  • програми-вимагачі
  • Криптовірус
  • Шафка для файлів
  • Подвійне вимагання

Розширення зашифрованих файлів

  • .ЕВЕРЕСТ

Повідомлення з вимогою викупуПовідомлення зазвичай відображається у вигляді спливаючого вікна або текстового файлу, який з’являється на робочому столі або в папках із зашифрованими файлами.Чи є безкоштовний дешифратор?Ні, загальнодоступного дешифратора для програм-вимагачів Everest немає.Методи розповсюдження

  • Фішингові листи
  • Комплекти експлойтів
  • Протокол віддаленого робочого стола (RDP) зламано
  • Шкідливі завантаження

Наслідки

  • Файли зашифровані та заблоковані до виплати викупу
  • Витік даних
  • Залишає мережу відкритою для нових одночасних атак
  • Подвійне вимагання

Що міститься в записці про викуп на Еверест

Повідомлення про викуп, яке відображає програма-вимагач Everest, може відрізнятися залежно від використовуваного варіанту. Повідомлення про викуп, яке відображається програмою-вимагачем Everest, не має конкретної назви файлу. Повідомлення відображається у вигляді спливаючого вікна або текстового файлу, який з’являється на робочому столі чи в папках із зашифрованими файлами.

Якщо ви розумієте, що стали жертвою програм-вимагачів, зв’яжіться з експертами SalvageData з видалення програм-вимагачів, які нададуть вам безпечну послугу відновлення даних і видалення програм-вимагачів після атаки.

Як програма-вимагач Everest заражає машину чи мережу?

Фішингові листи

Фішингові електронні листи є поширеним методом, який використовують зловмисники для розповсюдження програм-вимагачів Everest. Зловмисники надсилають електронні листи, які нібито надійшли з законного джерела, наприклад банку чи компанії, і містять зловмисне вкладення або посилання на веб-сайт, на якому розміщено зловмисне програмне забезпечення. Щойно жертва натискає на вкладення або посилання, шкідливе програмне забезпечення встановлюється в її системі.

Комплекти експлойтів

Набори експлойтів — це автоматизовані програми, які використовуються кіберзлочинцями для використання відомих уразливостей у системах або програмах. Їх можна використовувати для таємних атак, поки жертви переглядають веб-сторінки, з метою завантаження та запуску певного типу зловмисного програмного забезпечення. Зловмисники Everest використовують набори експлойтів для використання вразливостей у системах жертв і встановлення зловмисного програмного забезпечення. Комплекти експлойтів можуть надсилатися через шкідливі веб-сайти або електронні листи.

Протокол віддаленого робочого стола (RDP) зламано

Протокол віддаленого робочого стола (RDP) — це протокол, який дозволяє людині віддалено керувати комп’ютером, під’єднаним до Інтернету. Віддалена особа бачить усе, що є на екрані комп’ютера, яким вона керує, а її клавіатура та миша діють так само, як фізично підключені до віддаленого комп’ютера. Однак RDP став улюбленою мішенню для атак програм-вимагачів, і зловмисники розробили методи виявлення та використання вразливих сеансів RDP через Інтернет для викрадення ідентифікаційних даних і облікових даних для входу, а потім інсталяції та запуску атак програм-вимагачів. Зловмисники використовують атаки підбору пароля, щоб знайти облікові дані RDP.

Шкідливі завантаження

Шкідливі завантаження – це тип методу розповсюдження зловмисного програмного забезпечення, який включає в себе обманом спонукання користувачів завантажувати та встановлювати заражене зловмисним програмним забезпеченням або файлами програмне забезпечення або файли. Зловмисники, учасники програми-вимагача Everest, використовують підроблені оновлення програмного забезпечення або завантаження, щоб обманом змусити жертв завантажити та встановити зловмисне програмне забезпечення. Шкідливі завантаження можуть надсилатися електронною поштою або веб-сайтами.

Як працює програма-вимагач Everest

Після того, як зловмисне програмне забезпечення встановлено в системах жертв, воно шифрує їхні файли за допомогою алгоритмів AES і DES і додає до зашифрованих файлів розширення «.EVEREST». Потім зловмисники відображають повідомлення про викуп, яке містить інструкції щодо того, як зв’язатися з ними та сплатити викуп, щоб отримати ключ розшифровки.

Бічний рух

Програма-вимагач Everest використовувала комбінацію законних зламаних облікових записів користувачів і протоколу віддаленого робочого столу (RDP) для бокового переміщення в межах мережевої інфраструктури.

Обліковий доступ

Щоб отримати доступ до додаткових облікових даних, зловмисник використав ProcDump, який використовувався для створення копії процесу LSASS. Це призвело до створення файлу. Крім того, копія бази даних NTDS також була створена та збережена як файл під назвою ntds.dit.zip.

Ухилення від захисту

Протягом усього інциденту зловмисник постійно видаляв різні інструменти, вихідні файли розвідки та архіви збору даних із скомпрометованих хостів, щоб уникнути виявлення.

Відкриття

Після компрометації нового хоста зловмисник бере участь у виявленні мережі. Здебільшого це досягалося за допомогою таких інструментів, як netscan.exe, netscanpack.exe та SoftPerfectNetworkScannerPortable.exe. Проводячи сканування мережі, зловмисник мав на меті виявити потенційні цілі та скласти список для можливого розгортання програм-вимагачів.

Колекція

Однією з помітних дій зловмисника було встановлення програми WinRAR на файловому сервері. Потім цю програму було використано для архівування даних, підготовки їх до можливого викрадання.

Командування і контроль

Основним командним і контрольним механізмом, використовуваним загрозою, був Cobalt Strike. Крім того, корисне навантаження Metasploit було виявлено в межах шляху C:UsersPublicl.exe. Окрім цих основних методів, зловмисник також розгорнув кілька інструментів віддаленого доступу як допоміжний метод керування та управління. Ці інструменти були додатково використані для встановлення стійкості з інсталяцією цих інструментів як служб. Використані інструменти віддаленого доступу

  • AnyDesk
  • Віддалений робочий стіл Splashtop
  • Виходьте

Ексфільтрація

Для вилучення даних із скомпрометованої мережі зловмисник використав можливості передачі файлів Splashtop.

Не платіть викуп!Звернення до служби видалення програм-вимагачів може не лише відновити ваші файли, але й усунути будь-яку потенційну загрозу.

Як протистояти атаці програм-вимагачів Everest

Першим кроком до відновлення після атаки Everest є ізоляція зараженого комп’ютера, від’єднання від Інтернету та видалення всіх підключених пристроїв. Потім необхідно звернутися до місцевої влади. У випадку з резидентами та підприємствами США цемісцевий офіс ФБРіЦентр скарг на злочини в Інтернеті (IC3).Щоб повідомити про атаку програм-вимагачів, ви повинні зібрати всю можливу інформацію про неї, зокрема:

  • Скріншоти записки про викуп
  • Зв'язок із загрозливими суб'єктами (якщо вони у вас є)
  • Зразок зашифрованого файлу

Однак, якщо ви віддаєте перевагузверніться до професіоналів, тоді нічого не робити.Залиште кожну інфіковану машину такою, як вона єі попроситислужба екстреного видалення програм-вимагачів. Перезапуск або завершення роботи системи може порушити роботу служби відновлення. Захоплення оперативної пам’яті активної системи може допомогти отримати ключ шифрування, а перехоплення файлу-дропера, тобто файлу, який виконує зловмисне корисне навантаження, може бути піддано зворотній інженерії та призведе до дешифрування даних або розуміння того, як він працює. Ви повинніне видаляти програму-вимагач, і зберігати всі докази нападу. Це важливо дляцифрова криміналістикащоб експерти могли відстежити хакерську групу та ідентифікувати їх. Органи влади можуть використовувати дані вашої зараженої системирозслідувати напад і знайти відповідальних.Розслідування кібератак не відрізняється від будь-якого іншого кримінального розслідування: воно потребує доказів, щоб знайти зловмисників.

1. Зверніться до свого постачальника служби реагування на інциденти

Реагування на кіберінциденти — це процес реагування на інциденти кібербезпеки та управління ними. Incident Response Retainer — це угода про надання послуг із постачальником кібербезпеки, яка дозволяє організаціям отримувати зовнішню допомогу щодо інцидентів кібербезпеки. Він надає організаціям структуровану форму експертних знань і підтримки через партнера з безпеки, що дозволяє їм швидко й ефективно реагувати під час кіберінциденту. Фіксатор реагування на інцидент забезпечує спокій для організацій, пропонуючи експертну підтримку до та після інциденту кібербезпеки. Специфічний характер і структура служби реагування на інциденти залежатимуть від постачальника та вимог організації. Хороший механізм реагування на інциденти має бути надійним, але гнучким, надавати перевірені послуги для підвищення довгострокової безпеки організації.Якщо ви зв’яжетеся зі своїм постачальником ІЧ-послуг, він негайно візьме на себе роботу та проведе вас на кожному етапі відновлення програми-вимагача.Однак якщо ви вирішите самостійно видалити програму-вимагач і відновити файли разом зі своєю командою ІТ, ви можете виконати наступні кроки.

2. Визначте зараження програмою-вимагачем

Ви можете визначити, яка програма-вимагач заразила вашу машину за розширенням файлу (деякі програми-вимагачі використовують розширення файлу як назву),використання інструменту ідентифікації програм-вимагачів, або це буде на записці про викуп. Маючи цю інформацію, ви можете шукати відкритий ключ дешифрування. Ви також можете перевірити тип програми-вимагача за її IOC. Індикатори компрометації (IOC) — це цифрові підказки, які фахівці з кібербезпеки використовують для виявлення компрометації системи та зловмисної діяльності в мережі чи ІТ-середовищі. По суті, це цифрові версії доказів, залишених на місці злочину, і потенційні IOC включають незвичайний мережевий трафік, привілейовані входи користувачів з інших країн, дивні запити DNS, зміни системних файлів тощо. Коли IOC виявляється, групи безпеки оцінюють можливі загрози або перевіряють його автентичність. IOC також надають докази того, до чого мав доступ зловмисник, якщо він проник у мережу.

3. Видаліть програми-вимагачі та ліквідуйте набори експлойтів

Перш ніж відновлювати свої дані, ви повинні переконатися, що ваш пристрій вільний від програм-вимагачів і що зловмисники не зможуть здійснити нову атаку за допомогою наборів експлойтів або інших уразливостей. Служба видалення програм-вимагачів може видалити програми-вимагачі, створити документ криміналістики для дослідження, усунути вразливості та відновити ваші дані.

4. Використовуйте резервну копію для відновлення даних

Резервне копіювання є найефективнішим способом відновлення даних. Обов’язково зберігайте щоденні або щотижневі резервні копії, залежно від використання даних.

5. Зверніться до служби відновлення програм-вимагачів

Якщо у вас немає резервної копії або вам потрібна допомога з видаленням програми-вимагача та усуненням уразливостей, зверніться до служби відновлення даних. Сплата викупу не гарантує повернення ваших даних. Єдиний гарантований спосіб відновлення кожного файлу – це наявність резервної копії. Якщо ви цього не зробите, служби відновлення даних програм-вимагачів можуть допомогти вам розшифрувати та відновити файли. Експерти SalvageData можуть безпечно відновити ваші файли та запобігти повторній атаці програм-вимагачів Everest на вашу мережу. Зв’яжіться з нашими експертами 24/7, щоб отримати послуги з відновлення програм-вимагачів.

Запобігайте атаці програм-вимагачів Everest

Запобігання програмам-вимагачам є найкращим рішенням для безпеки даних. легше і дешевше, ніж відновлюватися після них. Програми-вимагачі Everest можуть коштувати майбутнього вашому бізнесу та навіть закрити його двері. Ось кілька порад, які допоможуть вамуникайте атак програм-вимагачів:

  • Тримай свій оновлена ​​операційна система та програмне забезпеченняз останніми виправленнями безпеки та оновленнями. Це може допомогти запобігти вразливостям, якими можуть скористатися зловмисники.
  • Використовуйте надійні та унікальні паролідля всіх облікових записів і ввімкніть двофакторну автентифікацію, коли це можливо. Це може допомогти запобігти зловмисникам отримати доступ до ваших облікових записів.
  • Будьте обережні з підозрілими електронними листами, посиланнями та вкладеннями.Не відкривайте електронні листи та не натискайте на посилання чи вкладення з невідомих або підозрілих джерел.
  • Використовуйте надійне антивірусне та антишкідливе програмне забезпеченняі підтримувати його в актуальному стані. Це може допомогти виявити та видалити зловмисне програмне забезпечення до того, як воно завдасть шкоди.
  • Використовуйте брандмауерщоб заблокувати несанкціонований доступ до вашої мережі та систем.
  • Обмеження привілеїв користувачівщоб запобігти зловмисникам отримати доступ до конфіденційних даних і систем.
  • Навчайте співробітників і персоналпро те, як розпізнати та уникнути фішингових електронних листів та інших атак соціальної інженерії.

Related Posts

Як налаштувати налаштування аудіо змішаної реальності в Windows 10

Як налаштувати налаштування аудіо змішаної реальності в Windows 10

2025-03-30
Як виправити файл хостів, які не працюють у Windows 11

Як виправити файл хостів, які не працюють у Windows 11

2025-04-28
Запит дистанційного керування в масштабі: просте як робити

Запит дистанційного керування в масштабі: просте як робити

2025-05-07
Як бачити людей, яких ви заблокували на Snapchat

Як бачити людей, яких ви заблокували на Snapchat

2023-02-28
Як виправити Microsoft Edge не відкриватися на Windows 11

Як виправити Microsoft Edge не відкриватися на Windows 11

2025-04-21
Як скинути втрачений пароль Windows Virtual Machine у VMware Esxi / vSphere

Як скинути втрачений пароль Windows Virtual Machine у VMware Esxi / vSphere

2025-05-09
Під час вибору параметрів розробника 11 Помилка Windows 11: Додаток Налаштування висить

Під час вибору параметрів розробника 11 Помилка Windows 11: Додаток Налаштування висить

2025-03-01
Поширення DNS: що це таке і чому це важливо

Поширення DNS: що це таке і чому це важливо

2024-12-29
Як видалити все з iCloud

Як видалити все з iCloud

2024-10-24
Як звільнити пам'ять смартфона

Як звільнити пам'ять смартфона

2025-01-30
Нові обмеження електронної пошти в Інтернеті Exchange

Нові обмеження електронної пошти в Інтернеті Exchange

2025-03-06
Швидкий старт передає все? Ось відповідь

Швидкий старт передає все? Ось відповідь

2024-10-11
Як скинути шрифт блокнота в Windows 11

Як скинути шрифт блокнота в Windows 11

2025-04-22
Як створити спеціальні теми в браузері Edge за допомогою AI

Як створити спеціальні теми в браузері Edge за допомогою AI

2025-03-26
Що робить Скидання всіх налаштувань на iPhone та iPad

Що робить Скидання всіх налаштувань на iPhone та iPad

2024-11-24