Come gestire il ransomware Ragnar Locker (05.19.24)

Il ransomware è un malware molto pericoloso perché gli aggressori chiedono alla vittima di pagare per liberare i suoi dati importanti dall'ostaggio. Il ransomware infetta furtivamente il dispositivo della vittima, crittografa i dati importanti (inclusi i file di backup), quindi lascia istruzioni su quanto dovrebbe essere pagato il riscatto e come dovrebbe essere pagato. Dopo tutti questi problemi, la vittima non ha alcuna garanzia che l'attaccante rilascerà effettivamente la chiave di decrittazione per sbloccare i file. E se mai lo fanno, alcuni file potrebbero essere danneggiati, rendendoli alla fine inutili.

Nel corso degli anni, l'uso del ransomware è cresciuto in popolarità perché è il modo più diretto per gli hacker di guadagnare denaro. Devono solo eliminare il malware, quindi attendere che l'utente invii denaro tramite Bitcoin. Secondo i dati di Emsisoft, il numero di attacchi ransomware nel 2019 è aumentato del 41% rispetto all'anno precedente, colpendo circa 1.000 organizzazioni statunitensi. Cybersecurity Ventures ha persino previsto che il ransomware attaccherà le aziende ogni 11 secondi.

All'inizio di quest'anno, Ragnar Locker, un nuovo ceppo di malware, ha attaccato Energias de Portugal (EDP), una società di servizi elettrici portoghese, con sede a Lisbona . Gli aggressori hanno chiesto 1.580 bitcoin come riscatto, che equivale a circa $ 11 milioni.

Che cos'è Ragnar Locker Ransomware?

Ragnar Locker è un tipo di malware ransomware creato non solo per crittografare i dati, ma anche per uccidere le applicazioni installate, come ConnectWise e Kaseya, solitamente utilizzate dai provider di servizi gestiti e da diversi servizi Windows. Ragnar Locker rinomina i file crittografati aggiungendo un'estensione univoca composta dalla parola ragnar seguita da una stringa di numeri e caratteri casuali. Ad esempio, un file con il nome A.jpg verrà rinominato A.jpg.ragnar_0DE48AAB.

Dopo aver crittografato i file, crea un messaggio di riscatto utilizzando un file di testo, con lo stesso formato del nome con l'esempio sopra. Il messaggio di riscatto potrebbe essere chiamato RGNR_0DE48AAB.txt.

Questo ransomware funziona solo su computer Windows, ma non è ancora sicuro che gli autori di questo malware abbiano progettato anche una versione Mac di Ragnar Locker. Di solito prende di mira processi e applicazioni comunemente utilizzati dai provider di servizi gestiti per impedire che il loro attacco venga rilevato e fermato. Ragnar Locker è rivolto solo agli utenti di lingua inglese.

Il ransomware Ragnar Locker è stato rilevato per la prima volta verso la fine di dicembre 2019, quando è stato utilizzato come parte di attacchi contro reti compromesse. Secondo gli esperti di sicurezza, l'attacco Ragnar Locker al colosso energetico europeo è stato un attacco ben ponderato e accuratamente pianificato.

Ecco un esempio del messaggio di riscatto di Ragnar Locker:

Ciao*!

********************

Se stai leggendo questo messaggio, significa che la tua rete è stata PENETRATA e tutti i tuoi file e i dati sono stati ENCRYPTED

da RAGNAR_LOCKER !

********************

*********Cosa succede con il tuo sistema?* ***********

La tua rete è stata violata, tutti i tuoi file e backup sono stati bloccati! Quindi da ora NESSUNO PU AIUTARTI a riavere i tuoi file, TRANNE NOI.

Puoi google, non ci sono POSSIBILITÀ di decifrare i dati senza la nostra CHIAVE SEGRETA.

Ma non preoccuparti! I tuoi file NON SONO DANNEGGIATI o PERSI, sono solo MODIFICATI. Puoi riavere indietro non appena paghi.

Stiamo cercando solo DENARO, quindi non c'è alcun interesse per noi a riparare o cancellare le tue informazioni, è solo un BUSINESS $-)

COMUNQUE puoi danneggiare i tuoi DATI da solo se provi a DECRIPARE con qualsiasi altro software, senza LA NOSTRA CHIAVE DI CRITTOGRAFIA SPECIFICA !!!

Inoltre, tutte le tue informazioni sensibili e private sono state raccolte e se decidi di NON pagare,

le caricheremo per la visualizzazione pubblica!

****

***********Come recuperare i tuoi file ?******

A decrittografa tutti i tuoi file e dati che devi pagare per la chiave di crittografia:

Portafoglio BTC per il pagamento: *

Importo da pagare (in Bitcoin): 25

****

*********** Quanto tempo devi pagare?**********

* Dovresti metterti in contatto con noi entro 2 giorni dopo aver notato la crittografia per ottenere un prezzo migliore.

* Il prezzo sarà aumentato del 100% (doppio prezzo) dopo 14 giorni se non viene effettuato alcun contatto.

* La chiave verrebbe completamente cancellata in 21 giorni se non ci fossero contatti o accordi.

Alcune informazioni sensibili rubate dai file server verrebbero caricate pubblicamente o rivenditore.

****

***********E se i file non possono essere ripristinati ?******

Per dimostrare che possiamo davvero decifrare i tuoi dati, decifreremo uno dei tuoi file bloccati!

Basta inviarcelo e lo riavrai GRATIS.

Il prezzo per il decryptor si basa sulla dimensione della rete, il numero di dipendenti, le entrate annuali.

Non esitate a contattarci per l'importo di BTC che dovrebbe essere pagato.

****

! SE non sai come ottenere bitcoin, ti consiglieremo come cambiare il denaro.

!!!!!!!!!!!!!!!

! ECCO IL SEMPLICE MANUALE COME CONTATTARCI !

!!!!!!!!!!!!!!

1) Vai al sito ufficiale di TOX messenger ( hxxps://tox.chat/download.html )

2) Scarica e installa qTOX sul tuo PC, scegli la piattaforma (Windows, OS X, Linux, ecc.)

3) Apri messenger, fai clic su "Nuovo profilo" e crea un profilo.

4) Fare clic sul pulsante "Aggiungi amici" e cercare il nostro contatto *

5) Per l'identificazione, inviare al nostro supporto i dati da —RAGNAR SECRET—

IMPORTANTE ! SE per qualche motivo NON PUOI CONTATTARCI in qTOX, ecco la nostra casella di posta di riserva (*) invia un messaggio con un dato da —RAGNAR SECRET—

ATTENZIONE!

-Non tentare di decrittografare i file con software di terze parti (saranno danneggiati in modo permanente)

-Non reinstallare il sistema operativo, questo può portare alla completa perdita di dati e file non può essere decifrato. MAI!

-La tua SECRET KEY per la decrittazione è sul nostro server, ma non verrà archiviata per sempre. NON PERDERE TEMPO !

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

********************

Cosa fa l'armadietto Ragnar?

Ragnar Locker viene solitamente fornito tramite strumenti MSP come ConnectWise, in cui i criminali informatici rilasciano un file eseguibile ransomware altamente mirato. Questa tecnica di propagazione è stata utilizzata da precedenti ransomware altamente dannosi, come Sodinokibi. Quando si verifica questo tipo di attacco, gli autori del ransomware si infiltrano nelle organizzazioni o nelle strutture tramite connessioni RDP non protette o mal protette. Quindi utilizza gli strumenti per inviare script Powershell a tutti gli endpoint accessibili. Gli script scaricano quindi un payload tramite Pastebin progettato per eseguire il ransomware e crittografare gli endpoint. In alcuni casi, il payload si presenta sotto forma di file eseguibile che viene lanciato come parte di un attacco basato su file. Ci sono anche casi in cui vengono scaricati script aggiuntivi come parte di un attacco completamente senza file.

Ragnar Locker prende di mira in modo specifico il software comunemente eseguito da provider di servizi gestiti, incluse le seguenti stringhe:

  • vss
  • sql
  • memta
  • mepoc
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

Il ransomware prima ruba i file di un bersaglio e li carica sui loro server. La particolarità di Ragnar Locker è che non si limitano a crittografare i file, ma minacciano anche la vittima che i dati verranno rilasciati pubblicamente se il riscatto non è stato pagato, come nel caso di EDP. Con EDP, gli aggressori hanno minacciato di rilasciare i presunti 10 TB di dati rubati, che potrebbero essere una delle più grandi fughe di dati della storia. Gli aggressori hanno affermato che tutti i partner, i clienti e i concorrenti saranno informati della violazione e i loro dati trapelati verranno inviati a notizie e immagini dei media per il consumo pubblico. Sebbene il portavoce di EDP abbia annunciato che l'attacco non ha avuto un impatto sul servizio energetico e sull'infrastruttura dell'azienda, l'incombente violazione dei dati è qualcosa di cui sono preoccupati.

La disabilitazione dei servizi e l'interruzione dei processi sono tattiche comuni utilizzate dal malware per disabilitare programmi di sicurezza, sistemi di backup, database e server di posta. Una volta terminati questi programmi, i loro dati possono essere crittografati.

Al primo avvio, Ragnar Locker eseguirà la scansione delle preferenze di lingua di Windows configurate. Se la lingua preferita è l'inglese, il malware continuerà con il passaggio successivo. Ma se Ragnar Locker rileva che la lingua è impostata come uno dei paesi dell'ex URSS, il malware interromperà il processo e non con la crittografia del computer.

Ragnar Locker compromette gli strumenti di sicurezza dell'MSP prima che possano bloccarsi il ransomware venga eseguito. Una volta all'interno, il malware avvia il processo di crittografia. Utilizza una chiave RSA-2048 incorporata per crittografare i file importanti.

Ragnar Locker non crittografa tutti i file. Salterà alcune cartelle, nomi di file ed estensioni, come:

  • kernel32.dll
  • Windows
  • Windows.old
  • Browser Tor
  • Internet Explorer
  • Google
  • Opera
  • Software Opera
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • Tutti gli utenti
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

A parte l'aggiunta una nuova estensione di file ai file crittografati, Ragnar Locker aggiunge anche un marcatore di file "RAGNAR" alla fine di ogni file crittografato.

Ragnar Locker rilascia quindi un messaggio di riscatto denominato ".RGNR_[estensione].txt" contenente dettagli sull'importo del riscatto, l'indirizzo di pagamento bitcoin, un ID chat TOX da utilizzare per comunicare con gli aggressori e un indirizzo email di backup se ci sono problemi con TOX. A differenza di altri ransomware, Ragnar Locker non ha un importo fisso di riscatto. Varia in base al target e viene calcolato individualmente. In alcuni rapporti, l'importo del riscatto potrebbe variare tra $ 200.000 e $ 600.000. Nel caso di EDP, il riscatto richiesto è stato di 1.580 bitcoin o $ 11 milioni.

Come rimuovere Ragnar Locker

Se il tuo computer ha avuto sfortuna di essere infettato da Ragnar Locker, la prima cosa che devi fare è controllare se tutti i tuoi file sono stati crittografati. È inoltre necessario verificare se anche i file di backup sono stati crittografati. Attacchi come questo evidenziano l'importanza di avere un backup dei dati importanti perché almeno non dovrai preoccuparti di perdere l'accesso ai tuoi file.

Non tentare di pagare il riscatto perché sarà inutile. Non c'è alcuna garanzia che l'attaccante ti invierà la chiave di decrittazione corretta e che i tuoi file non saranno mai divulgati al pubblico. In effetti, è altamente possibile che gli aggressori continuino a estorcerti denaro perché sanno che sei disposto a pagare.

Quello che puoi fare è eliminare il ransomware dal tuo computer prima di provare a decifrarlo esso. Puoi utilizzare la tua app antivirus o anti-malware per scansionare il tuo computer alla ricerca di malware e seguire le istruzioni per eliminare tutte le minacce rilevate. Quindi, disinstalla tutte le app o le estensioni sospette che potrebbero essere correlate al malware.

Infine, cerca uno strumento di decrittazione che corrisponda a Ragnar Locker. Esistono diversi decryptor progettati per i file crittografati dal ransomware, ma dovresti prima controllare il produttore del software di sicurezza se ne hanno uno disponibile. Ad esempio, Avast e Kaspersky dispongono del proprio strumento di decrittazione che gli utenti possono utilizzare. Ecco un elenco di altri strumenti di decrittazione che puoi provare.

Come proteggersi dal Ragnar Locker

Il ransomware può essere piuttosto problematico, soprattutto se non esiste uno strumento di decrittazione esistente in grado di annullare la crittografia eseguita dal malware . Per proteggere il tuo dispositivo dai ransomware, in particolare da Ragnar Locker, ecco alcuni suggerimenti che devi tenere a mente:

  • Utilizza una politica di password complessa, utilizzando un'autenticazione a doppio o multifattore (AMF) se possibile. Se non è possibile, genera password casuali e univoche che saranno difficili da indovinare.
  • Assicurati di bloccare il computer quando esci dalla scrivania. Che tu stia uscendo a pranzo, facendo una breve pausa o semplicemente andando in bagno, blocca il computer per impedire l'accesso non autorizzato.
  • Crea un piano di backup e ripristino dei dati, in particolare per le informazioni critiche sul tuo computer. Memorizzare le informazioni più critiche archiviate al di fuori della rete o su un dispositivo esterno, se possibile. Testa questi backup regolarmente per assicurarti che funzionino correttamente in caso di una vera crisi.
  • Fai in modo che i tuoi sistemi siano aggiornati e installati con le ultime patch di sicurezza. Il ransomware di solito sfrutta le vulnerabilità del tuo sistema, quindi assicurati che la sicurezza del tuo dispositivo sia ermetica.
  • Diffida dei comuni vettori di phishing, che è il metodo di distribuzione più comune del ransomware. Non fare clic su collegamenti casuali e scansiona sempre gli allegati e-mail prima di scaricarli sul tuo computer.
  • Disponi di un robusto software di sicurezza installato sul tuo dispositivo e mantieni il database aggiornato con le ultime minacce.

Video Youtube: Come gestire il ransomware Ragnar Locker

05, 2024