Có vẻ như các nhà phát triển tội phạm không bao giờ ngủ khi phòng thủ tăng. Họ luôn cảnh giác với những cách khác nhau để mài giũa vũ khí tấn công. Một trong những kỹ thuật gần đây nhất là chủng ransomware có thể buộc một Windows thiết bị để khởi động lại vào Chế độ an toàn ngay trước khi bắt đầu mã hóa, dự định đi xung quanh bảo vệ điểm cuối.
Chủng đặc biệt này được gọi là Snatch do các tác giả của nó, những người tự gọi mình là Nhóm Snatch. Nó được phát hiện bởi các nhà nghiên cứu của Sophos Labs, người đã phác thảo khám phá của họ cùng với những hiểu biết về cách các băng đảng như vậy đột nhập vào các doanh nghiệp và các thực thể khác trong danh sách thành công của họ.
Chúng tôi sẽ giải thích Snatch ransomware là gì, cách thức hoạt động và cách bạn có thể gỡ bỏ nó khỏi thiết bị của mình.
Snans Ransomware là gì
Snatch là một biến thể ransomware mới có lực lượng thực thi Windows các thiết bị khởi động lại vào Chế độ an toàn ngay cả trước khi quá trình mã hóa bắt đầu trong giá thầu để bỏ qua bảo vệ điểm cuối thường không chạy trong chế độ này.
Được phát hiện bởi các nhà nghiên cứu SophosLabs và nhóm Phản ứng đe dọa được quản lý của Sophos, ransomware là một trong số nhiều thành phần chòm sao phần mềm độc hại đang được sử dụng trong một loạt các cuộc tấn công được sắp xếp cẩn thận có thu thập dữ liệu rộng rãi.
Chủng mới của ransomware sử dụng một phương thức lây nhiễm duy nhất áp dụng mã hóa AES tinh vi để người dùng có máy bị nhiễm có thể truy cập tệp của họ.
Snatch ransomware lần đầu tiên hoạt động đáng chú ý vào tháng 4 năm 2019, nhưng nó đã được phát hành vào cuối năm 2018. Tuy nhiên, sự tăng đột biến trong các tệp được mã hóa và ghi chú tiền chuộc đã dẫn đến việc phát hiện và theo dõi bởi nhóm các nhà nghiên cứu tại Sophos.
Dạng virus mã hóa của nó tấn công các mục tiêu cấu hình cao, nhưng chủng mới này, được tạo bằng chương trình Google Go, bao gồm một bộ công cụ bao gồm tính năng đánh cắp dữ liệu và tính năng ransomware. Thêm vào đó, nó có lớp vỏ đảo ngược Cobalt Strike và các công cụ khác được sử dụng bởi người kiểm tra thâm nhập và quản trị viên hệ thống.
Note: Biến thể Sophos được phát hiện chỉ có thể chạy trên Windows trong phiên bản 32 bit và 64 bit từ phiên bản 7 đến 10.
Snatch Ransomware hoạt động như thế nào
Là một virus khóa tập tin, Snatch ransomware không có kết nối với các chủng khác. Tuy nhiên, các nhà phát triển của nó đã phát hành chín biến thể của mối đe dọa, nối thêm các phần mở rộng khác nhau sau khi dữ liệu được mã hóa bằng mật mã AES.
Mẹo nhỏ là khởi động lại máy vào Chế độ an toàn, và sau đó phần mềm ransomware hạn chế quyền truy cập vào dữ liệu của bạn bằng cách mã hóa các tệp của bạn. Sau đó, tin tặc cố gắng tống tiền bạn bằng cách thu hút tiền chuộc dưới dạng Bitcoin để đổi lấy việc mở khóa các tệp của bạn và trả lại quyền truy cập dữ liệu.
Có một lý do tại sao lừa của họ hoạt động. Một số phần mềm chống vi-rút không khởi động ở Chế độ an toàn và các nhà phát triển phát hiện ra rằng họ có thể dễ dàng sửa đổi Windows khoá đăng ký và chỉ cần khởi động máy của bạn vào Chế độ an toàn. Do đó, phần mềm ransomware chạy không bị phát hiện bởi phần mềm bảo mật của bạn.
Lần đầu tiên nó cài đặt trên thiết bị của bạn, nó xuất hiện thông qua SuperBackupMan, một Windows dịch vụ và thiết lập ngay trước khi máy tính của bạn bắt đầu khởi động lại để bạn có thể dừng lại kịp thời.
Sau khi cài đặt, những kẻ tấn công sử dụng quyền truy cập quản trị viên để chạy BCDEDIT, một Windows công cụ dòng lệnh, để buộc máy tính của bạn khởi động lại ở Chế độ an toàn ngay lập tức.
Sau đó, nó tạo ra một tên thực thi ngẫu nhiên có tên trong thư mục% AppData% hoặc% LocalAppData% của bạn, sẽ được khởi chạy và bắt đầu quét các ký tự ổ đĩa máy tính của bạn để tìm các tệp để mã hóa.
Tập tin được nhắm mục tiêu bởi Snatch Ransomware
Có các phần mở rộng tệp cụ thể mà nó mã hóa, bao gồm .doc, .docx, .pdf, .xls và nhiều phần mềm khác, nó lây nhiễm và thay đổi các phần mở rộng của chúng thành Snatch để bạn có thể mở lại chúng.
Phần mềm ransomware để lại ghi chú tệp văn bản Readme_Restore_Files.txt, yêu cầu bất cứ thứ gì từ một đến năm Bitcoin để đổi lấy khóa giải mã, với thông tin về cách liên lạc với tin tặc để lấy lại tệp dữ liệu của bạn.
Sau khi ransomware quét hoàn toàn máy tính của bạn, nó sử dụng vssadmin.exe, một Windows lệnh xóa tất cả các Bản sao khối lượng trên đó để bạn có thể khôi phục và sử dụng chúng để khôi phục các tệp dữ liệu được mã hóa. Bước cuối cùng là mã hóa bất kỳ tệp dữ liệu nào trên ổ cứng của bạn.
Hiện tại, các tệp bị nhiễm không thể giải mã được do tính chất tinh vi của mã hóa AES được sử dụng. Tuy nhiên, bạn vẫn có một huyết mạch nếu máy tính của bạn bị nhiễm bằng cách khôi phục các tệp của bạn từ bản sao lưu gần đây nhất.
Snatch ransomware đã nhắm mục tiêu người dùng thường xuyên thông qua email spam. Nhưng ngày nay, mục tiêu chính là các tập đoàn. Bằng cách trả tiền cho những tên tội phạm như vậy, bạn không chỉ mất tiền và không có gì đảm bảo rằng họ sẽ gửi khóa giải mã cho bạn mà còn khuyến khích họ tiếp tục với tội phạm mạng của họ.
Nếu bạn không có bản sao lưu cập nhật, thì bạn không thể làm gì khác ngoài việc đợi cho đến khi các chuyên gia bảo mật đưa ra bộ giải mã ransomware Snatch. Điều đó có thể mất nhiều thời gian, nhưng có nhiều cách khác bạn có thể tự bảo vệ mình khỏi các cuộc tấn công như vậy.
Làm thế nào để loại bỏ Snans Ransomware khỏi máy tính của bạn
Một trong những cách tốt nhất để loại bỏ Snatch ransomware và phần mềm độc hại khác là cài đặt phần mềm bảo mật chống vi-rút tốt như Malwarebytes hoặc SpyHunter có thể quét, phát hiện và loại bỏ mối đe dọa. Không phải tất cả các công cụ chống vi-rút đều có thể bắt được nó bởi vì nó là một phần mềm độc hại hoàn toàn mới, vì vậy nó rất tốt để quét bằng nhiều chương trình.
Bạn có thể bảo vệ bản thân và thiết bị của mình trước các cuộc tấn công của ransomware bằng cách thực hiện các bước đơn giản như tải xuống phần mềm từ các nguồn đáng tin cậy và tránh mở tệp đính kèm email từ các nguồn không đáng tin cậy.
Các cách khác bạn có thể bảo vệ bản thân và tổ chức của mình khỏi Snatch và các loại ransomware khác bao gồm:
- Duy trì hệ điều hành cập nhật và tiếp tục sao lưu dữ liệu của bạn. Thực hiện kiểm tra mật khẩu thường xuyên. Triển khai phần mềm bảo mật toàn diện, đa lớp để bảo vệ tất cả các điểm truy cập chống lại cuộc tấn công ransomware. Bảo vệ các công cụ truy cập từ xa và các chương trình dễ bị tổn thương khác vì kẻ tấn công Snatch thuê những tội phạm khác có kinh nghiệm sử dụng Web shell hoặc có thể hack vào máy chủ SQL thông qua các cuộc tấn công tiêm chích. Bảo vệ giao diện Remote Desktop của bạn bằng cách đặt chúng phía sau VPN trên mạng của bạn để mọi người không truy cập chúng mà không có thông tin xác thực VPN. Kiểm tra thường xuyên và kỹ lưỡng trên tất cả các thiết bị trong nhà của bạn hoặc tổ chức để đảm bảo họ được bảo vệ và theo dõi khi Snatch tận dụng các điểm truy cập và chỗ đứng như vậy để đạt được mục nhập. Hãy sử dụng và xác thực đa yếu tố cho bất kỳ quản trị viên nào trong tổ chức của bạn để kẻ tấn công không thể ép buộc thông tin đăng nhập của bạn. săn lùng trên mạng của bạn để xác định bất kỳ hoạt động như vậy trước khi lây nhiễm.
Bảo vệ hệ thống của bạn
Snatch ransomware nghe có vẻ nguy hiểm đến tính mạng trong cách thức hoạt động để làm tê liệt các tệp và thiết bị của bạn. Trước khi bạn nghĩ đến việc trả tiền chuộc đó, hãy thử các bước trên để loại bỏ mối đe dọa và luôn thực hiện các biện pháp phòng ngừa để đảm bảo điều này và các mối đe dọa đó không xuất hiện trên máy tính hoặc mạng của bạn.
Tiếp theo: Nếu bạn nghi ngờ điện thoại của mình bị nhiễm ransomware, hãy kiểm tra bài viết tiếp theo của chúng tôi để tìm hiểu cách phát hiện và loại bỏ nó.
