Ragnar Locker

Skrivet av Guest User

Ragnar Locker är en familj av ransomware, som först blev framträdande i slutet av 2019 när det blev ökänt för att drabba stora organisationer inom många branscher, allt från videospelsutvecklare företag till energiföretag, och försöka pressa ut stora mängder kryptovaluta från sina offer. Ragnar Locker är ransomware som påverkar enheter som kör operativsystemet Microsoft Windows.

En av de särdrag som lyfter fram Ragnar Locker är att den riktar sig specifikt till fjärrhanteringsprogramvara som ofta används av hanterade tjänsteleverantörer (managed service providers, MSPs).

Ragnar Locker påverkar också säkerhetspersonal och alla som använder någon av dessa webbläsare: Tor browser, Internet, Explorer, Google, Opera, Opera Software, Mozilla, och Mozilla Firefox, osv.

I allmänhet distribueras denna skadliga programvara manuellt genom nätverksövervakning och fördistribuerad programvara i nätverket. Detta visar att distributionen av Ragnar Locker är en något mer komplex operation än de flesta kampanjer för spridning av ransomware.

Allmän angreppsmetodik

Innan Ragnar Locker ransomware exekveras injicerar angripare en modul som kan samla in känslig data från infekterade maskiner och ladda upp den till sina servrar. Därefter meddelar angripare bakom skadlig programvara offret att filerna kommer att släppas till allmänheten om lösensumman inte betalas.

Angripare infiltrerar först nätverk, infrastrukturer och organisationer med hjälp av hittade sårbarheter eller till och med genom ”social engineering” som nätfiskeattacker. På samma gång genomförs spaning och dataexfiltrering innan ransomware exekveras. När dataexfiltreringsprocessen är klar installeras ransomware.

När ransomware-mjukvaran startar räknar den upp processer som körs och stoppas om några av dessa tjänster innehåller specifika strängar, som till exempel: SQL, backup, osv. I sådana fall inaktiveras ofta vissa tjänster som ett sätt att kringgå säkerhetsskydd och även databas- och säkerhetskopieringssystem för att öka effekten av attacken. Databas- och e-posttjänster stoppas också så att deras data kan krypteras under infektionsprocessen.

Ragnar Locker och andra ransomwares använder flera tekniker för att skada säkerhetskopior av Windows-miljöer. Med denna process på plats är det svårare att reparera potentiella datakrypteringsattacker.

Krypteringsprocessen

Efter det kommer Ragnar Locker att påbörja krypteringsprocessen. Ragnar Locker lägger till det hårdkodade tillägget ".ragnar_*" som läggs till i slutet av filnamnet och "*" ersätts av ett genererat och unikt ID. Alla tillgängliga filer på fysiska enheter är krypterade och i slutändan öppnas notepad.exe-processen och visar lösenanteckningsfilen som skapats i offrets systemkatalog. I detalj släpps en lösennota i varje mapp. När en fil är krypterad läggs även "RAGNAR"-filmarkören till i slutet av varje krypterad fil.

Denna ransomware är inte utrustad med en mekanism för att upptäcka om enheten redan har infekterats. Därför om den skadlig programvara når samma enhet mer än en gång, kommer den att kryptera enheten om och om igen.

Ragnar Locker exekveras dock inte i tidigare Sovjetunionens länder. Denna datakryptering skadlig programvara infekterar datorer baserat på deras språkinställningar. När den startas först kontrollerar Ragnar Locker de konfigurerade Windows-språkinställningarna. Ragnar Locker avslutar processen om inställningen är konfigurerad som ett av de tidigare Sovjetunionens länder. 

Lösennota

I varje mapp läggs en "HOW TO DECRYPT FILES.txt"-fil. Sammanfattande av meddelandet är att offret inte kan dekryptera filer utan ett dekrypteringsprogram. Det programmet kan köpas genom att överföra en summa Bitcoin till den medföljande BTC-plånboken. Exempel på meddelande (vissa detaljer maskade med ”x”, felaktig stavning och grammatik inte korrigerad):

 HOW TO DECRYPT FILES.txt - Notepad

YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

DON'T WORRY YOUR FILES ARE SAFE.

TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.

PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.

YOU CAN GET THEM VIA ATM MACHINE OR ONLINE

https://xxxxxxxxxxxx.com/ (find a ATM)

https://www.xxxxxxxxxxxxx.com/ (buy instantly online any country)

THE PRICE FOR DECRYPTOR SOFTWARE IS xxxx$

BTC ADRESS : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (where you need to make the payment)

VERRY IMPORTANT !

DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .

ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.

THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.

For more information : xxxxxxxxx@xxxxxxxx.com (24/7)

Subject: SYSTEM-LOCKED-ID: xxxxxxxxx

Hur man skyddar sig

Som med all ransomware och annan skadlig mjukvara finns det åtgärder man kan implementera för att minska riskerna för att bli utsatt.

-       Använd anti-virus-mjukvara på samtliga enheter inom organisationen

-       Håll alla enheter uppdaterade, i synnerhet deras respektive operativsystem

-       Ha väl fungerande och väl täckande säkerhetskopieringrutiner.

o   Om möjligt bör säkerhetskopior förvaras off-line, helt frikopplade från det primära systemet

-       Säkerställ god säkerhetsmedvetenhet hos anställda, i synnerhet vad gäller nätfiske

Guest User
Föregående

Känsliga personuppgifter i E-post
Nästa

IT-säkerhet för Sveriges alla Myndigheter