在2020年代后期出现的Ranzy Locker Ransomware,当变体开始在美国瞄准受害者时。根据FBI发出的闪存警报,使用Ranzy Locker Ransomware的未知网络犯罪分子遭到截至7月2021年7月的30多个美国企业,包括建筑,学术,政府,IT和运输部门的受害者。Ranzy Locker是Thunderx和Ako Ransomware的继承者。
勒索软件 - AS-A-Service
Ranzy Locker背后的小组与其他“大型游戏”赎金瓶帮派的商业方法没有截然不同。使用Ransomware-AS-Service(RAAS)模型提供赎金软件,该模型可允许开发人员从部署其针对受害者的网络犯罪公司中获利。它还经营泄漏网站,其中从拒绝支付赎金的受害者被盗的数据被发布。
RDP再次,交换
在商业模式毫不奇怪的地方,可以说攻击方法可以说Ranzy储物柜附属公司部署以获得初始访问。根据同样的联邦调查局警报,大多数受害者报告说威胁行动者蛮力攻击针对远程桌面协议(RDP)凭据以获得对受害者网络的访问权限。最近的目标报告了演员杠杆已知的Microsoft Exchange Server漏洞和网络钓鱼作为妥协网络的手段。
年龄较大,现在越来越少的攻击方法包括恶意垃圾邮件,以及使用钻机开发套件,以前用于传播公主勒索软件。
识别Ranzy Locker.
那么,你怎么能讲述你是否被Ranzy储物柜或另一个,许多人的勒索软件变体?好吧,对于初学者来说,你可以从赎金笔记的标题中讲述哪个名为Readme.txt.。
--- === Ranzy储物柜1.1 === ---注意!您的网络已被锁定。您的计算机和服务器现在被锁定。所有加密文件都有扩展名:.ranzy ----如何还原我的文件?----所有文件上的所有文件在网络中加密的所有文件都以最强的加密算法备份删除或格式化,不用担心,我们可以帮助您恢复只有私钥的文件解密 - 此键存储在我们的服务器上只有一个方法来退回您的文件返回 - 联系我们,接收通用解密程序不用担心保证 - 您可以免费解密任何3个文件作为保证
某些变体也使用文件扩展为在工作中显示Ranzy储物柜的加密文件。这些延伸是.rnz.那.ranzy., 和。朗扎克,但还有一些不太有用,并添加一个随机的6个字符串。
行为
典型的一系列动作执行了Ranzy储物柜:
- 查找和删除影子卷副本以及其他最近备份,并禁用Windows恢复环境。
- 运行加密过程,但跳过文件
。可执行程序那.dll.那.sys.那.INI那.lnk.那。钥匙那.rdp.扩展;并排除具有弦的路径,包括应用程序数据那靴子那穿孔那perfboot.那英特尔那微软那视窗和浏览器。 - 寻找网络上的连接机器。
- 在受影响系统的桌面上删除赎金笔记。
从我们所注意到的,双重敲诈术 - 加密和灭绝的数据 - 仅适用于某些受害者,可能取决于公司的大小和被盗的数据类型。
减轻
基于Ranzy Locker的行为,FBI建议以下缓解策略:
- 储存常规备份您的数据离开现场和离线,攻击者无法到达它们。
- 实现网络分割,以便攻击者无法从一个受损立足点到达网络上的所有计算机。
- 在所有主机上安装和定期更新反恶意软件软件并启用实时检测。
- 在发布后立即安装软件,操作系统和固件的安全更新。
- 查看新的或无法识别的用户帐户的域控制器,服务器,工作站和活动目录。
- 审核用户帐户具有管理权限,并在牢记中配置具有最不特权的访问控制。请勿提供所有用户的管理权限。
- 禁用未使用的远程访问端口和监视远程访问日志以获取任何异常活动。
- 考虑将电子邮件横幅添加到从组织外部收到的电子邮件。
- 禁用收到的电子邮件中的超链接。
- 利用双重身份验证登录帐户或服务时。
我们想补充一下蛮力保护到那个清单。
IOC
除了这篇文章中提到的特征外,FBI还指向样品雅拉法则对于Ranzy储物柜,可以找到这里。
保持安全,每个人!
评论