Днес в 02:09 часа сървър 95.158.143.5 беше засегнат с Runsom вирус. Засегнати са и бекапите, които се намираха на друг дисков масив.
Засега успяхме да възстановим MSSQL базите данни, IIS, FTP., както и повечето акаунти. Имейлите и MySQL базите не са засегнати.
Част от акаунтите все още не можем да въстановим.
Всички файлове във файловата структура на сайтовете, са енкриптнати и са с разширение .secure. Засега не можем да ги възстановим, защото и архивите са засегнати. Търсим начин да ги декриптнем, но засега без успех.
Молим клиентите, които имат файловете на сайтовете да ги възстановят в хостинг пространството си използвайки FTP или deploy.
Ще Ви информираме за развитието на възстановяването на файловете.
Какво е Secure (Sorena) рансъмуер?
Secure (Sorena) е програма от типа рансъмуер. Системите, заразени с този зловреден софтуер, изпплзват криптиране на данни и получават искания за откуп за дешифрирането.
По време на процеса на шифроване всички компрометирани файлове се добавят с ".Id- [random_string] .secure". Например файл, първоначално наречен "1.jpg", ще се появи като нещо подобно на "1.jpg.Id-KCQJMGNP.secure" - след криптиране. След като този процес приключи, се създават идентични бележки за откуп - "HELP_DECRYPT_YOUR_FILES.tx" и "HELP_DECRYPT_YOUR_FILES.html" ".
Съобщението, изискващо откуп („HELP_DECRYPT_YOUR_FILES.txt“ и „HELP_DECRYPT_YOUR_FILES.html“), информира жертвите, че техните данни са криптирани с криптографските алгоритми AES-256 и RSA-2848. За да възстановят файловете, на потребителите се казва, че трябва да закупят ключовете за дешифриране от кибер престъпниците зад Secure (Sorena). За да научат как да извършат плащането, жертвите са инструктирани да установят контакт с престъпниците чрез платформата за съобщения Telegram. Цената на инструментите за възстановяване не е посочена в бележката, но тя ще се удвои, ако комуникацията се установи след 48 часа, и се утрои след 72 часа. Освен това жертвите имат само 72 часа да платят откупа, ако срокът бъде пропуснат - ключът за дешифриране ще бъде изтрит и файловете ще бъдат декриптирани.
Въпреки че размерът на исканата сума не е посочен, е посочено, че тя ще трябва да бъде платена в криптовалута Bitcoin. Преди да платят, потребителите ще могат да дешифрират неопределен брой файлове безплатно - това ще докаже, че възстановяването е възможно. Освен това съобщението предупреждава, че преименуването и / или модифицирането по друг начин на криптираните файлове - ще доведе до трайна загуба на данни.
За съжаление, в повечето случаи на рансъмуерни инфекции - дешифрирането е невъзможно без намеса на отговорните кибер престъпници. Може да бъде, ако зловредният софтуер все още се разработва и / или има значителни грешки (недостатъци). Независимо от обстоятелствата, изрично се препоръчва да не се отговаря на исканията за откуп. Както често, въпреки плащането - потребителите не получават обещаните ключове / инструменти за дешифриране. Следователно те изпитват финансови загуби и техните данни остават криптирани - по същество безполезни.
За да се предотврати Secure (Sorena) рансъмуер от по-нататъшно шифроване - той трябва да бъде премахнат от операционната система. Премахването обаче няма да възстанови вече криптирани файлове. Единственото решение е да ги възстановите от резервно копие. При условие, че архивът е създаден преди инфекцията и е съхраняван на отделно място (за да не бъде засегнат от Secure [Sorena]).
Как рансъмуерът заразява компютъра?
Рансъмуерът и другият зловреден софтуер се разпространяват предимно чрез троянски коне, качване на заразени файлове.
Троянските програми са злонамерени програми с различни функционалности, които могат да включват способността да причиняват верижни инфекции (т.е. изтегляне / инсталиране на допълнителен злонамерен софтуер).
Заразените файлове могат да бъдат в различни формати (напр. архиви, изпълними файлове, PDF и Microsoft Office документи, JavaScript и др.), А когато се отворят - задейства се веригата за заразяване. Злонамереният софтуер може да бъде изтеглен по невнимание от ненадеждни източници, напр. неофициални и безплатни уебсайтове за хостинг на файлове, мрежи за споделяне на връстници и други програми за изтегляне на трети страни.
Как да се предпазим от инфекции с рансъмуер?
Подозрителни и / или неподходящи имейли не трябва да се отварят, особено каквито и да е прикачени файлове или връзки в тях - тъй като това може да доведе до системни инфекции. Препоръчително е да се използват само официални и проверени източници. Също толкова важно е да активирате и актуализирате продукти с инструменти / функции, предоставени от легитимни разработчици. Тъй като за разпространение на зловреден софтуер се използват инструменти за незаконно активиране ("cracking") и програми за изтегляне на трети страни.
За да се гарантира безопасността на устройствата и потребителите, е от решаващо значение да бъде инсталиран и поддържан актуализиран проверен антивирусен / антишпионски софтуер. Освен това този софтуер трябва да се използва за извършване на редовно сканиране на системата и за премахване на открити заплахи и проблеми. Ако компютърът ви вече е заразен със Secure (Sorena), препоръчваме да стартирате сканиране с Malwarebytes за Windows, за да премахнете автоматично този рансъмуер.