Hur man hanterar Ragnar Locker Ransomware (05.20.24)

Anti-Malware

Ransomware är en mycket otäck skadlig kod eftersom angriparna kräver att offret betalar för att hans eller hennes viktiga data ska släppas från att vara gisslan. Ransomware smittar smygande offerets enhet, krypterar viktiga data (inklusive säkerhetskopierade filer) och lämnar sedan instruktioner om hur mycket lösen som ska betalas och hur det ska betalas. Efter alla dessa problem har offret ingen garanti för att angriparen faktiskt kommer att släppa dekrypteringsnyckeln för att låsa upp filerna. Och om de någonsin gör det kan några av filerna bli skadade, vilket gör dem värdelösa i slutändan.

Under åren har användningen av ransomware ökat i popularitet eftersom det är det mest direkta sättet för hackare att tjäna pengar. De behöver bara släppa skadlig programvara och vänta sedan på att användaren skickar pengar via Bitcoin. Enligt data från Emsisoft ökade antalet ransomware-attacker 2019 med 41% jämfört med föregående år och påverkade cirka 1000 amerikanska organisationer. Cybersecurity Ventures förutspådde till och med att ransomware kommer att attackera företag var 11: e sekund.

Tidigare i år angrep Ragnar Locker, en ny stam av skadlig kod, Energias de Portugal (EDP), ett portugisiskt elföretag med huvudkontor i Lissabon. . Angriparna krävde 1 580 bitcoins som lösen, vilket motsvarar cirka 11 miljoner dollar.

Vad är Ragnar Locker Ransomware?

Ragnar Locker är en ransomware-typ av skadlig kod som inte bara skapas för att kryptera data utan också för att döda installerade applikationer, som ConnectWise och Kaseya, som vanligtvis används av hanterade tjänsteleverantörer och flera Windows-tjänster. Ragnar Locker byter namn på de krypterade filerna genom att lägga till ett unikt tillägg som består av ordet ragnar följt av en rad slumpmässiga siffror och tecken. Till exempel kommer en fil med namnet A.jpg byt namn till A.jpg.ragnar_0DE48AAB.

Efter kryptering av filerna skapar den ett lösenmeddelande med en textfil med samma namnformat som med exemplet ovan. Ransomeddelandet kan heter RGNR_0DE48AAB.txt.

Denna ransomware körs bara på Windows-datorer, men det är ännu inte säkert om författarna till den här skadliga programvaran också har utformat en Mac-version av Ragnar Locker. Det riktar sig vanligtvis till processer och applikationer som vanligtvis används av hanterade tjänsteleverantörer för att förhindra att deras attack upptäcks och stoppas. Ragnar Locker riktar sig bara till engelsktalande användare.

Ragnar Locker-ransomware upptäcktes först i slutet av december 2019, då det användes som en del av attacker mot komprometterade nätverk. Enligt säkerhetsexperter var Ragnar Locker-attacken mot den europeiska energigiganten en genomtänkt och grundligt planerad attack.

Här är ett exempel på lösenmeddelandet Ragnar Locker:

Hej *!

********************

Om du läser detta meddelande PENETRERades ditt nätverk och alla dina filer och data har Krypterats

av RAGNAR_LOCKER!

********************

********* Vad händer med ditt system? * ***********

Ditt nätverk har trängt igenom, alla dina filer och säkerhetskopior var låsta! Så från och med nu finns det INGEN KAN HJÄLPA DIG att få tillbaka dina filer, FÖRUTOM OSS.

Du kan google det, det finns inga chanser att dekryptera data utan vår hemliga nyckel.

Men oroa dig inte! Dina filer är INTE SKADADE eller TAPNA, de är bara MODIFIERADE. Du kan få tillbaka det så snart du BETALAR.

Vi letar bara efter PENGAR, så det finns inget intresse för oss att stala eller radera din information, det är bara en AFFÄRS $ -)

Du kan dock skada dina DATA själv om du försöker Kryptera med någon annan programvara utan vår SPECIFIKA Krypteringsnyckel !!!

Dessutom samlades all din känsliga och privata information in och om du bestämmer dig för att INTE betala

laddar vi upp den för allmänheten!

****

*********** Hur får du tillbaka dina filer? ******

Till dekryptera alla dina filer och data du måste betala för krypteringsnyckeln:

BTC-plånbok för betalning: *

Belopp som ska betalas (i Bitcoin): 25

****

*********** Hur mycket tid har du att betala? **********

* Du bör kontakta oss inom två dagar efter att du märkt krypteringen för att få ett bättre pris.

* Priset skulle höjas med 100% (dubbelpris) efter 14 dagar om det inte finns någon kontakt.

* Nyckeln raderas helt på 21 dagar om det inte har gjorts någon kontakt eller ingen överenskommelse har gjorts.

Viss känslig information som stjäls från filservrarna laddas upp offentligt eller till återförsäljare.

****

*********** Vad händer om filer inte kan återställas? ******

För att bevisa att vi verkligen kan dekryptera dina data kommer vi att dekryptera en av dina låsta filer!

Skicka bara den till oss så får du tillbaka den GRATIS.

Priset för dekrypteraren baseras på nätverksstorlek, antal anställda, årliga intäkter.

Kontakta oss gärna för hur mycket BTC som ska betalas.

****

! OM du inte vet hur du får bitcoins kommer vi att ge dig råd om hur du byter pengar.

!!!!!!!!!!!!!

! HÄR ÄR DET ENKELA HANDBOKEN FÖR ATT FÅ KONTAKT MED OSS!

!!!!!!!!!!!!!

1) Gå till den officiella webbplatsen för TOX messenger (hxxps: //tox.chat/download.html)

2) Ladda ner och installera qTOX på din dator, välj plattformen (Windows, OS X, Linux, etc.)

3) Öppna messenger, klicka på "Ny profil" och skapa profil.

4) Klicka på knappen "Lägg till vänner" och sök i vår kontakt *

5) För identifiering, skicka till vår supportinformation från —RAGNAR SECRET—

VIKTIGT ! OM du av några anledningar inte kan kontakta oss i qTOX, här är vår reservpostlåda (*) skicka ett meddelande med data från —RAGNAR SECRET—

VARNING!

-Försök inte dekryptera filer med någon tredje parts programvara (den kommer att skadas permanent)

-Installera inte om ditt operativsystem, det kan leda till fullständig dataförlust och filer kan inte dekrypteras. ALDRIG!

-DITT HEMLIGA NYCKEL för avkryptering finns på vår server, men den kommer inte att sparas för alltid. SLÖSA INTE TID !

********************

—RAGNAR SECRET—

*******************

Vad gör Ragnar Locker?

Ragnar Locker levereras vanligtvis via MSP-verktyg som ConnectWise, där cyberkriminella släpper en mycket riktad körbar fil för ransomware. Denna förökningsteknik har använts av tidigare mycket skadlig ransomware, som Sodinokibi. När denna typ av attack inträffar infiltrerar författarna till ransomware organisationer eller anläggningar via osäkra eller dåligt säkra RDP-anslutningar. Den använder sedan verktyg för att skicka Powershell-skript till alla tillgängliga slutpunkter. Skripten laddar sedan ner en nyttolast via Pastebin som är utformad för att köra ransomware och kryptera slutpunkterna. I vissa fall kommer nyttolasten i form av en körbar fil som startas som en del av en filbaserad attack. Det finns också fall där ytterligare skript laddas ner som en del av en helt filfri attack.

Ragnar Locker riktar sig specifikt till programvara som vanligtvis drivs av hanterade tjänsteleverantörer, inklusive följande strängar:

vss
sql
memtas
mepocs
sophos
veeam
säkerhetskopia
pulseway
logme
logmein
connectwise
splashtop
kaseya

Ransomware stjäl först ett måls filer och laddar upp det till sina servrar. Det som är unikt med Ragnar Locker är att de inte bara krypterar filerna utan också hotar offret att uppgifterna kommer att släppas offentligt om lösen inte har betalats, såsom fallet med EDP. Med EDP hotade angriparna att släppa den påstådda 10 TB av stulna data, vilket kan vara en av de största dataläckage i historien. Angriparna hävdade att alla partners, kunder och konkurrenter kommer att informeras om överträdelsen och deras läckta data kommer att skickas till nyheter och media för offentlig konsumtion. Även om EDP: s talesman har meddelat att attacken inte har haft någon inverkan på elnätet och infrastrukturen, är det hotande dataintrånget något som de oroar sig för.

Inaktivera tjänster och avsluta processer är vanliga metoder som används av skadlig kod för att inaktivera säkerhetsprogram, säkerhetskopieringssystem, databaser och e-postservrar. När dessa program har avslutats kan deras data sedan krypteras.

När Ragnar Locker startades först skannar de de konfigurerade språkinställningarna för Windows. Om språkinställningen är engelska fortsätter skadlig programvara med nästa steg. Men om Ragnar Locker upptäckte att språket är inställt som ett av de tidigare Sovjetunionens länder kommer skadlig programvara att avsluta processen och inte med kryptering av datorn.

Ragnar Locker äventyrar MSP: s säkerhetsverktyg innan de kan blockera ransomware körs. En gång inuti startar skadlig kod krypteringsprocessen. Den använder en inbäddad RSA-2048-nyckel för att kryptera viktiga filer.

Ragnar Locker krypterar inte alla filer. Det hoppar över vissa mappar, filnamn och tillägg, till exempel:

kernel32.dll
Windows
Windows.old
Tor-webbläsare
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Alla användare
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Bortsett från att lägga till ett nytt filtillägg till de krypterade filerna, Ragnar Locker lägger också till en "RAGNAR" -filmarkör i slutet av varje krypterad fil.

Ragnar Locker släpper sedan ett lösenmeddelande med namnet '.RGNR_ [tillägg] .txt' som innehåller information om lösenbeloppet, bitcoin-betalningsadressen, ett TOX-chatt-ID som ska användas för att kommunicera med angriparna och en reserv-e-postadress om det finns problem med TOX. Till skillnad från andra ransomware har Ragnar Locker inte en fast mängd lösen. Det varierar beroende på målet och beräknas individuellt. I vissa rapporter kan lösensumman variera mellan 200 000 och 600 000 dollar. När det gäller EDP frågades lösenlösningen om 1 580 bitcoin eller 11 miljoner dollar.

Hur man tar bort Ragnar Locker

Om din dator var otur att bli smittad med Ragnar Locker är det första du behöver göra att kontrollera om alla dina filer har krypterats. Du måste också kontrollera om dina säkerhetskopierade filer också har krypterats. Attacker som detta lyfter fram vikten av att ha en säkerhetskopia av dina viktiga data, för åtminstone behöver du inte oroa dig för att förlora åtkomst till dina filer.

Försök inte betala lösen eftersom det är värdelöst. Det finns ingen garanti för att angriparen skickar rätt dekrypteringsnyckel till dig och att dina filer aldrig kommer att läcka ut till allmänheten. Det är faktiskt mycket möjligt att angriparna fortsätter att pressa ut pengar från dig eftersom de vet att du är villig att betala.

Vad du kan göra är att ta bort ransomware först från din dator innan du försöker dekryptera. Det. Du kan använda din antivirus- eller anti-malware-app för att skanna din dator efter skadlig kod och följa instruktionerna för att ta bort alla upptäckta hot. Därefter avinstallerar du misstänkta appar eller tillägg som kan relateras till skadlig programvara.

Slutligen leta efter ett dekrypteringsverktyg som matchar Ragnar Locker. Det finns flera dekrypterare som har utformats för filer som krypteras av ransomware, men du bör först kontrollera tillverkaren av säkerhetsprogramvaran om de har en tillgänglig. Avast och Kaspersky har till exempel sitt eget dekrypteringsverktyg som användarna kan använda. Här är en lista över andra dekrypteringsverktyg du kan prova.

Hur du skyddar dig mot Ragnar Locker

Ransomware kan vara ganska besvärligt, särskilt om det inte finns något befintligt dekrypteringsverktyg som kan ångra krypteringen som görs av skadlig programvara . För att skydda din enhet från ransomware, särskilt Ragnar Locker, här är några av de tips du behöver tänka på:

Använd en strong lösenordspolicy med en dubbel-faktor eller flerfaktorautentisering (MFA) om möjligt. Om det inte är möjligt, skapa slumpmässiga, unika lösenord som är svåra att gissa.
Se till att låsa din dator när du lämnar skrivbordet. Oavsett om du går ut till lunch, tar en kort paus eller bara går på toaletten, lås din dator för att förhindra obehörig åtkomst.
Skapa en säkerhetskopierings- och återställningsplan, särskilt för viktig information om dator. Lagra den viktigaste informationen som lagras utanför nätverket eller på en extern enhet om möjligt. Testa dessa säkerhetskopior regelbundet för att se till att de fungerar korrekt i händelse av en verklig kris.
Se till att dina system uppdateras och installeras med de senaste säkerhetsuppdateringarna. Ransomware utnyttjar vanligtvis sårbarheter i ditt system, så se till att enhetens säkerhet är lufttät.
Var försiktig med de vanliga vektorerna för phishing, som är den vanligaste distributionsmetoden för ransomware. Klicka inte på slumpmässiga länkar och skanna alltid e-postbilagor innan du laddar ner dem till din dator.
Ha en robust säkerhetsprogramvara installerad på din enhet och håll databasen uppdaterad med de senaste hoten.

YouTube-video: Hur man hanterar Ragnar Locker Ransomware

05, 2024

Hur man hanterar Ragnar Locker Ransomware (05.20.24)

YouTube-video: Hur man hanterar Ragnar Locker Ransomware

Artiklar

Hjälp, Opera fortsätter att krascha Hur man löser Opera-problem på Windows 10

Vad du ska göra när skärmsläckaren försvinner på macOS Mojave

Studentsats: 8 mobilappar som hjälper dig att gå vidare i studierna

Hur man löser problemet med Macs Kernel_Task CPU-användning

3 skäl till varför Eredar tvillingar inte lekar i WoW

Senaste artiklarna

Java Edition vs Bedrock Edition In Minecraft

Topp 4 mest populära icke-förbjudna Roblox Gross-spel som du kan prova

Minecraft: Vad gör Naruto Mod

Windows 10-felkod 0x80242016

AirDrop: Hur man säkert överför filer över Apple-produkter