Программа-вымогатель Netwalker: все, что вам нужно знать, чтобы оставаться в безопасности

В век информационных технологий киберпреступники разрабатывают передовые программы-вымогатели, которые используют сложные методы для вымогательства денег — разработка, представляющая угрозу для всех, кто подключен к Интернету. Программа-вымогатель шифрует файлы жертвы и требует выкуп за их расшифровку. Атаки программ-вымогателей приводят к потере данных и финансовым потерям для отдельных пользователей и компаний, которые также могут понести репутационный ущерб. Одним из последних типов программ-вымогателей, распространяющихся по всему миру, является Netwalker.

В этом сообщении блога рассказывается о Netwalker и его методах атаки, а также объясняется, как защититься от него.

История Netwalker

Что означает программа-вымогатель? Программа-вымогатель — это тип вредоносного программного обеспечения, которое крадет или шифрует файлы на зараженном компьютере. Затем он требует, чтобы жертва заплатила злоумышленнику выкуп за расшифровку файлов и предотвращение утечки украденных данных.

Исследователи кибербезопасности сообщили, что Netwalker был написан на C++ группой русскоязычных хакеров.

Впервые он был обнаружен где-то между концом августа и сентябрем 2019 года.

Netwalker также называют Mailto или Koko.

Первые известные атаки были направлены против компании в Австралии и медицинской компании в США.

Почему Netwalker опасен?

Netwalker компрометирует сеть и шифрует все подключенные к ней устройства Windows с помощью надежных алгоритмов шифрования с почти нулевой вероятностью расшифровки. Операторы Netwalker также требуют, чтобы жертвы платили выкуп в биткойнах, и эти выкупы очень высоки. Если жертва отказывается платить, злоумышленники угрожают опубликовать украденную информацию в даркнете, усиливая давление с целью оплаты.

Злоумышленники полагаются на современные высокоскоростные сети и интернет-соединения, позволяющие передавать большие объемы данных за короткое время, а также на зашифрованные сетевые соединения, которые трудно отследить.

Кто является мишенью для атак Netwalker-ов?

Исследователи и специалисты по безопасности обнаружили, что основной целью создателей Netwalker были атаки на крупные организации и агентства в развитых странах. Злоумышленники Netwalker считают, и это правильно, что у крупных компаний больше денег, чем у мелких. Время простоя для крупных компаний означает более высокие финансовые потери, чем для более мелких, что повышает шансы на то, что крупные компании заплатят выкуп. Однако многие атаки программ-вымогателей по-прежнему совершаются против небольших компаний и отдельных пользователей.

Цели Netwalker охватывают несколько отраслей и охватывают образовательный, медицинский и государственный секторы. Атаки Netwalker-ов на организации здравоохранения уже привели к гибели пациентов, поскольку компьютеры, содержащие медицинские записи и передовое медицинское оборудование, после заражения становились недоступными. Компании, атакованные Netwalker, потеряли миллионы долларов, а злоумышленники получили более 25 миллионов долларов США за первые месяцы распространения шифровальщика.

Модель RaaS

За последние восемь месяцев исследователи наблюдали переход Netwalker на программу-вымогатель как услугу (RaaS), потенциально открывая платформу для большего числа предприимчивых киберпреступников. В настоящее время Netwalker работает как портал RaaS с закрытым доступом. В рамках этой модели создатели Netwalker предоставляют своим партнерам, также опытным киберпреступникам, настраиваемый комплект, облегчающий проведение атак. Этим партнерам предоставляется доступ к веб-порталу, размещенному в даркнете, где они могут создавать собственные версии программы-вымогателя.

Грязная работа остается за бандами второго уровня, известными как филиалы, которые занимаются фактическим распространением Netwalker и нападениями на жертв. Теневая группа создателей также проводит маркетинговые кампании и рекламные акции в темной сети, чтобы нанять опытных хакеров для проведения атак на крупные цели. Предпочтение отдается лицам, уже имевшим успешный опыт взлома корпоративных сетей, а не новичкам.

Прежде чем запускать атаки, операторы Netwalker обычно проводят комплексную проверку своих целей, собирая такую ​​информацию, как название организации, данные о доходах, IP-адреса, доменные имена, имена учетных записей, используемое антивирусное программное обеспечение и т. д.

Стоит отметить, что создатели шифровальщика наложили одно существенное ограничение на использование червя — отсутствие атак на Россию и ее партнеров по СНГ (Содружество Независимых Государств). Однако инциденты с Netwalker были зарегистрированы и в этих странах.

Идентификация антивирусным программным обеспечением

Создатели использовали упаковщик и уникальный формат сжатия, чтобы антивирусные приложения не могли обнаружить Netwalker. Антивирусные программы присваивают этому червю разные имена после его обнаружения. Ниже приведен список имен Netwalker, ранее идентифицированных различными антивирусными приложениями:

* Другое: Malware-gen [Trj] * Trojan.PowerShell.Agent.GV * Вариант Generik.CMKGJSA * HEUR: Trojan.PowerShell.Generic * Trojan.Encoder.31707 * Win64/Файлодер.Netwalker.A * PS/Netwalker.b * Вирус.powershell.qexvmc.1 * Trojan.Gen.NPE * Выкуп: PowerShell/NetWalker!MTB * Trojan.PowerShell.Agent.GV

Хакеры — настоящие мастера, которые делают программы-вымогатели более опасными и трудными для выявления. В самых последних атаках Netwalker использовал файлы exe или dll — разработка, которая затрудняет идентификацию этого конкретного червя антивирусными программами. Признаки того, что система была заражена, включают невозможность открывать файлы и запускать приложения, измененные значки файлов, измененные расширения файлов, случайные зависания системы и так далее. Если вы заметили высокую нагрузку на свои диски без особой причины, стоит это проверить, потому что в этот момент программа-вымогатель может шифровать ваши файлы. Если вы видите сообщение о выкупе, это означает, что компьютер был заражен. Читайте дальше, чтобы узнать, как отражать атаки программ-вымогателей.

Как работает Netwalker

Анализ программ-вымогателей показывает, что основной способ заражения Netwalker ваших компьютеров под управлением Windows – это распространение исполняемых файлов (EXE) по сети.

Червь также может получить доступ к отдельной машине, а затем распространиться по сети с помощью фишинговых атак или спам-сообщений с прикрепленным VBScript. Заражение Netwalker можно описать как поэтапное. Ниже мы подробно рассмотрим весь процесс.

Этап 1. Заражение компьютеров

Netwalker заражает компьютеры, используя различные методы и пути. Ниже приведены наиболее популярные способы заражения:

* Использование уязвимостей в пользовательском интерфейсе Telerik (CVE-2019-18935) и Pulse Secure VPN (CVE-201911510) для проникновения в бизнес-сети. Если используется VPN, интерфейс маршрутизатора на основе браузера остается доступным из Интернета, что представляет собой еще одно уязвимое место. * Получение доступа через приложения удаленного рабочего стола к учетным записям пользователей со слабыми учетными данными. * Использование существующих эксплойтов на серверах Oracle WebLogic и Apache Tomcat.

Для запуска атак Netwalker операторы используют набор программ-вымогателей с широкими функциональными возможностями для получения начального доступа, выполнения (включая удаленное выполнение кода), повышения привилегий, обхода защиты, доступа к учетным данным, обнаружения сети, бокового перемещения и т. д.

Этап 2. Распространение EXE-файлов

Файлы EXE, зараженные Netwalker, могут иметь разные имена. Популярны имена файлов, состоящие из случайных символов (обычно HEX-символов) и расширения EXE, например, a5df26c1.exe или qeSw.exe. Однако зараженный файл может иметь другой формат, например WTVConverter.exe.

При выполнении запускаются следующие процессы:

C:UserstestuserDesktopa5df26c1.exe
C:Windowssystem32explorer.exe
C:Windowssystem32vssadmin.exe delete shadows /all /quiet
??C:Windowsconhost.exe 0xffffffff -ForceV1
C:Windowssystem32notepad.exe "C:UserstestuserDesktopA8DCE-Readme.txt" ```

Как видите, как только Netwalker запускает свой EXE-файл, он удаляет теневые копии томов в автоматическом режиме, чтобы пользователь не мог использовать встроенные средства восстановления Windows. Затем conhost.exe подключается к консольному приложению Windows, -ForceV1, запрашивая информацию непосредственно у ядра ОС. Блокнот затем используется для записи файла readme с инструкциями по вымогателям в различных папках. Команда на удаление теневых копий выполняется с использованием исходного Проводника и внедренных процессов Проводника. В свете вышеизложенного пользователям компьютеров/сетей необходимо уделять особое внимание процессам Explorer.

Этап 3. Внедрение Netwalker в проводник Windows

Кроме того, операторы Netwalker используют сложные методы, чтобы повысить скрытность и усложнить анализ причин. Один из методов, используемых для внедрения полезной нагрузки Netwalker в explorer.exe атакуемой ОС, называется Process Hollowing. Это происходит, когда Netwalker создает новый процесс explorer.exe в приостановленном состоянии, затем отключает память процесса и заменяет фактический процесс кодом программы-вымогателя. После внедрения вредоносного кода создается новый экземпляр процесса explorer.exe, который выглядит законным, а исходный процесс программы-вымогателя уничтожается. Эта тактика не позволяет обычному пользователю идентифицировать процесс Netwalker в диспетчере задач и обозревателе процессов.

Одним из способов определить, удалось ли злоумышленникам внедрить полезную нагрузку Netwalker, является проверка наличия необычного пути, принадлежащего модифицированному процессу explorer.exe. Такой модифицированный процесс будет работать как

C:WindowsSysWOW64explorer.exe, в то время как законный процесс explorer.exe должен работать как C:Windowsexplorer.exe.

Это изменение пути происходит, если исполняемый файл Netwalker 32-разрядный. 32-разрядная версия Explorer в 64-разрядной системе запускается в папке SysWOW64.

Этап 4. Добавление параметров в реестр Windows

После выполнения описанных выше шагов и удаления исходного исполняемого файла Netwalker новый исполняемый файл создается в ...AppDataRoaming в папке пользователя.

Например:

C:UserstestuserAppDataRoaminga5df26c1a5df26c1.exe

Есть несколько причин, по которым вредоносное ПО может быть помещено именно в эту папку. Папка AppData имеет скрытые атрибуты и не видна пользователям, которые не настроили свою систему для отображения всех файлов в проводнике Windows. Обычные пользователи обычно не имеют прав администратора для записи файлов в папку AppData. Они могут только записывать и выполнять файлы в этой папке. Netwalker создает новые записи в реестре Windows, которые вызываются каждый раз при загрузке зараженного компьютера.

HKLMSoftwareMicrosoftWindowsCurrentVersionRuna5df26c1
HKLMSoftwarea5df26c1a5df26c1

После добавления ключей в реестр Netwalker будет запускаться при каждом запуске Windows.

Этап 5. Распространение программ-вымогателей по атакуемой сети

После проникновения в сеть целевой организации и взлома хотя бы одной из машин злоумышленники используют набор инструментов для получения бокового доступа к другим компьютерам в сети. Учетные записи пользователей со слабыми паролями, особенно с разрешениями на доступ по протоколу RDP, и незакрытые уязвимости служат шлюзами для эскалации атаки. Хакеры регулярно используют различные эксплойты, сканеры, инструменты для взлома паролей методом грубой силы, инструменты для удаления антивирусов и т. д. Одной из основных целей во время атак является контроллер домена Active Directory. Есть свидетельства того, что Netwalker создает учетную запись администратора домена с именем пользователя SQLSVC и присваивает ей пароль Br4pbr4p. Затем злоумышленники используют контроллер домена для выполнения сценариев Netwalker на каждой доступной машине, чтобы реплицировать себя; например, с помощью инструмента psexec и certutil:

"psexec.exe host_name -d -c -f c:programdatarundl1.exe"

Эта команда копирует полезную нагрузку по всей сети. Если обнаруживается более ранняя версия, она перезаписывается и запускается в скрытом режиме, без уведомлений или действий пользователя.

Этап 6. Шифрование файлов

Конкретные расширения определены во встроенном файле конфигурации, и Netwalker попытается зашифровать файлы с этими расширениями на локальных дисках, в доступных сетевых ресурсах, а также в «скрытых» ресурсах, таких как Admin$. Он также определяет пути, которые должны быть исключены из шифрования, чтобы сохранить функциональность ОС Windows на протяжении всего процесса шифрования, а затем потребовать от пользователя уплаты выкупа. В том же файле конфигурации также указывается, какие запущенные процессы должны быть уничтожены.

Netwalker завершает запущенные процессы, потому что он предназначен для шифрования как можно большего количества файлов. Если файл используется активным процессом, его нельзя изменить или удалить. Любые оставшиеся запущенные процессы могут взаимодействовать с открытыми файлами, тем самым предотвращая их шифрование. Например, если пользователь редактирует файл XLS в Microsoft Excel, файл нельзя удалить в проводнике или с помощью CMD (командной строки), пока он остается открытым. Netwalker использует алгоритм шифрования AES для шифрования файлов.

Примеры незашифрованных форматов файлов:

exe, cmd, ps1, msi и т. д.

Примеры исключенных папок:

*программные файлы*Windows Media**, *appdata*Microsoft*, **Windows Defender** и т. д..

Примеры процессов, подлежащих прекращению:

outlook.exe, oracle.exe, winword.exe, excel.exe, synctime.exe, firefox.exe и т. д.

Этап 7. Отображение примечания о выкупе после шифрования

Примечание о выкупе обычно создается в виде текстового файла, расположенного в каталогах, содержащих зашифрованные файлы.

Привет!

Ваши файлы зашифрованы.

Все зашифрованные файлы на этом компьютере имеют расширение: .a5df26c1

---

… Текст пояснения

---

Свяжитесь с нами

knoocknoo@cock.lo

eeeooppaaaxxx@tuta.io

Не забудьте включить свой код в электронное письмо:

уникальный_длинный_код

Вот некоторые из адресов электронной почты, которые использовались для отправки сообщений с требованием выкупа жертвам Netwalker:

Hariliuios@tutanota.com, 2Hamlampampom@cock.li, Galgalgalgalk@tutanota.com, kkeessnnkkaa@cock.li, hhaaxxhhaaxx@tuta.io, sevenoneone@cock.li, kavariusing@tutanota.com.

Анализ программы-вымогателя выявил строки, связанные с шаблоном записки о выкупе, после анализа полезной нагрузки в памяти зараженного компьютера. Было показано, что обычно используется метод обфускации, а текст кодируется с использованием BASE64*.

*Примечание. BASE64 — это схема преобразования двоичного кода в текст, которая представляет двоичные данные в текстовом формате (ASCII).

---

Свяжитесь с нами:

1.{mail1}

2.{mail2}

Не забудьте включить свой код в электронное письмо:

{код

Как видите, адреса электронной почты и уникальный код задаются как переменные.

В более поздних модификациях Netwalker вместо отправки электронных писем жертве предлагается посетить веб-чат (some_hash_string.onion), расположенный в сети Tor, и ввести уникальный код в соответствующее поле веб-интерфейса.

Перед началом шифрования файлов Netwalker сканирует все доступные диски и сетевые ресурсы, пытаясь найти образы резервных копий. Он начинает шифровать любые найденные резервные копии после начала процесса шифрования скомпрометированной машины. Такая последовательность дает пострадавшему пользователю возможность прервать шифрование и сохранить хотя бы часть файлов. Предположим, пользователь открывает заметку, когда Netwalker уже зашифровал некоторые, но не все файлы. В этом случае пользователь может увидеть устрашающее сообщение с требованием не выключать машину, пока идет шифрование файлов. Не рекомендуется ждать, пока все файлы будут зашифрованы. Вы должны немедленно выключить зараженный компьютер. Затем вы можете загрузиться с живого загрузочного носителя (который должен защищать от записи, например DVD или SD-флэш-карту) и удалить вредоносные файлы с помощью антивирусного программного обеспечения. В этом случае вы можете восстановить файлы, которые еще не были зашифрованы.

Рассылка по электронной почте

Еще один способ распространения Netwalker и заражения компьютеров — электронная почта. Спам и фишинговые письма содержат макросы с вредоносными скриптами VBScript (Visual Basic Scripting). С пандемией COVID-19 атаки Netwalker вернулись с удвоенной силой. Организованные банды киберпреступников используют тревогу населения по поводу распространения COVID-19 для проведения фишинговых атак, придавая им вид сообщений с важной информацией или обновлениями о COVID-19. В таких письмах потенциальных жертв просят открыть вложенный файл, чтобы получить полную информацию.

После открытия вредоносного вложения (обычно это документ Word или Excel в форматах DOCX или XLSX) активируется VBScript и заражает компьютер.

C:Windowssystem32WScript.exe C:UserstestuserDesktopCORONAVIRUS_COVID-19.vbs

После активации программа-вымогатель Netwalker, распространяемая по электронной почте, ведет себя так же, как и версия, распространяемая в виде EXE-файлов. В частности, в реестр Windows добавляются новые ключи, поэтому Netwalker может обеспечить сохранение и запускаться при каждой загрузке системы: HKLM/Software/ и HKCU/Software/

Теневые копии тома удаляются.

C:Windowssystem32vssadmin.exe удалить тени /all /quiet

Сценарий загрузчика PowerShell — альтернативный способ заражения компьютеров. В этом случае злоумышленники используют несколько уровней методов обфускации, чтобы скрыть вредоносные скрипты от антивирусных приложений, пользователей и исследователей. Один из таких методов включает использование кодировки BASE64 и однобайтовых алгоритмов XOR для шифрования сценария в виде массивных двухбайтовых массивов. Из-за его способности использовать сценарии PowerShell и выполнять внедрение DLL в запущенные процессы вместо использования традиционных исполняемых файлов для заражения компьютеров, некоторые называют его «безфайловым вымогателем».

Два DLL-файла для 32-битной и 64-битной версии Windows закодированы в массиве байтов скрипта PowerShell. Правильная версия выбирается в зависимости от целевой операционной системы, затем выполняется рефлексивное внедрение DLL в explorer.exe после разрешения необходимых адресов API из kernel32.dll. Алгоритмы SHA256, CRC32 и RC4 KSA используются для шифрования конфигурации вредоносных программ Netwalker.

Получив доступ к сети, операторы атаки могут затем запустить пакет PowerShell для распространения программ-вымогателей на все доступные устройства в сети.

Пример показан ниже.

для

/f %%G IN (%INPUT_FILE%) DO PsExec.exe -d %%G powershell -ExecutionPolicy Bypass -NoProfile -NoLogo -NoExit -File {redacted}Users{redacted}{redacted}.ps1

В результате полезная нагрузка Netwalker доставляется и выполняется по всей сети. Весь процесс в высокой степени автоматизирован.

Киберпреступники обновляют свой «продукт» перед запуском новых атак, поэтому некоторые функции и принципы работы Netwalker могут измениться. Однако понимание того, как осуществляются атаки программ-вымогателей Netwalker, поможет защитить от них ваши данные.

Что делать, если вы заражены: контрольный список дел

• Немедленно отключите все зараженные компьютеры от сети. Если компьютер подключен к сети через соединение Ethernet, физически отсоедините кабель. Предположим, зараженный компьютер подключен к сети Wi-Fi. В этом случае необходимо выключить точку доступа, так как функция управления сетью может работать некорректно на зараженном компьютере.

* Выключите все зараженные компьютеры. Рассмотрите возможность отключения всех компьютеров, поскольку они могут быть уже заражены, но их файлы еще не зашифрованы.

* НЕ платить выкуп! Это увековечивает атаки программ-вымогателей! Кроме того, нет никакой гарантии, что ваши файлы будут восстановлены. Помните, что банды вымогателей атакуют больницы, электростанции и другую критически важную инфраструктуру. Работа этих организаций необходима для функционирования общества, и любое прерывание может привести к гибели людей. Не спонсируйте преступников!

* Подготовьте загрузочный носитель, будь то DVD или USB-накопитель, или в качестве альтернативы запишите загрузочный образ на SD-карту. Этот носитель должен быть доступен только для чтения, чтобы избежать заражения при вставке в зараженный компьютер.

* Загрузитесь с загрузочного носителя и удалите программу-вымогатель. Вы можете упаковать файлы Netwalker в защищенный паролем архив и отправить его в цифровую лабораторию, специализирующуюся на анализе программ-вымогателей.

* Создайте образ дисков, содержащих зашифрованные/поврежденные файлы, и сохраните образ на внешний диск. Он может понадобиться вам позже для дальнейшего анализа и восстановления данных.

* Примите меры для восстановления удаленных файлов с помощью программного обеспечения для восстановления удаленных файлов. Возможно, вам удастся восстановить некоторые файлы, если диск не был перезаписан или стерт программой-вымогателем, записывающей нули или случайные биты. Скопируйте восстановленные файлы на внешний диск.

Если у вас есть резервная копия, восстановите данные из этой резервной копии. Перед началом восстановления убедитесь, что вы удалили вредоносные файлы и что ваши компьютеры больше не заражены. Подумайте об удалении зараженных дисков и запуске полного восстановления, поскольку вирусы могут оставлять после себя бреши в системе безопасности или другие лазейки, которые могут быть активированы позже.

Смените пароли на каждом зараженном компьютере. После атаки мы рекомендуем изменить все остальные пароли в вашей организации, включая пароли для беспроводных сетей, учетных записей электронной почты и т. д.

Сообщите властям об атаках программ-вымогателей Netwalker на вас и вашу компанию.

Как предотвратить атаки программ-вымогателей Netwalker

Самая эффективная стратегия предотвращения атак программ-вымогателей Netwalker состоит из двух частей: наличие политики безопасности и выполнение запланированных резервное копирование данных.

Вот несколько рекомендаций:

* Регулярно устанавливайте исправления безопасности и обновления для операционной системы и других приложений. Вы можете настроить свою систему для выполнения автоматических обновлений.

* Правильно настройте брандмауэр на своих маршрутизаторах. Не оставляйте открытыми порты для неиспользуемых сервисов. Измените стандартные номера портов на пользовательские, если это возможно. Рассмотрите возможность использования детонации портов.

* Используйте надежные и разные пароли для всех учетных записей пользователей. Не сохраняйте пароли в виде простого текста, не пишите на наклейках и не размещайте их на мониторах или других объектах, которые могут видеть другие.

* Установите антивирусное/антивредоносное программное обеспечение на все свои машины. Программное обеспечение должно регулярно обновлять базы данных сигнатур вирусов и всегда быть в актуальном состоянии.

* Настройте фильтры электронной почты на почтовых серверах или почтовых шлюзах, чтобы отклонять спам и подозрительные электронные письма. Воспользуйтесь возможностями фильтрации и защиты электронной почты облачных провайдеров электронной почты. Например, если вы используете Microsoft 365 с Outlook 365 и Exchange Online, вы можете использовать Exchange Online Protection и Advanced Threat Protection.

* Сегментация сети помогает ограничить распространение вирусов в случае заражения компьютера, подключенного к сети.

* Беспроводные сети более уязвимы по сравнению с проводными. Вместо этого выберите проводные сети.

* По возможности используйте двухфакторную аутентификацию.

* Вы также должны убедиться, что ваши пользователи соблюдают политику безопасности компании! Сообщите им о взломах социальной инженерии, вредоносных фишинговых вложениях и других угрозах безопасности. Пользователи должны быть обучены уведомлять системных администраторов, если они наблюдают подозрительную активность на своих компьютерах или получают сообщения электронной почты, которые выглядят сомнительно.

* Если вы нашли DVD диск, флешку, флешку или другой носитель рядом с вашим офисом, не вставляйте его в работающий компьютер. В этом случае уведомите пользователей о находке и попросите их сообщить об этом вашему системному администратору. Злоумышленник может подбросить невинный на вид носитель рядом с вашим офисом. Этот носитель можно настроить для автоматического запуска программы-вымогателя, чтобы заразить ваш компьютер и другие машины в сети. Системный администратор может использовать машину, не подключенную к сети, на которой установлена ​​операционная система Linux (или загрузиться с Linux live DVD), чтобы изучить найденный носитель. Если будут обнаружены какие-либо вредоносные файлы, велика вероятность, что против вашей организации идет кибератака. В этом случае вам необходимо установить последние исправления безопасности, убедиться, что ваше антивирусное программное обеспечение обновлено и работает на всех компьютерах, сделать свежие резервные копии и уведомить руководство и пользователей о попытке взлома.

* Настройте резервное копирование данных и выполняйте их регулярно. Убедитесь, что репозитории резервных копий не являются общими или доступными для других пользователей в вашей сети. Отключение репозиториев резервных копий после завершения задания резервного копирования — хорошая идея. Вы можете использовать DVD-диски или диски Blue Ray для записи резервных копий данных, которые невозможно стереть. Рассмотрите возможность использования ленточных картриджей, чтобы предотвратить стирание или шифрование резервных копий данных программами-вымогателями.

Ваша организация должна в равной степени применять политики резервного копирования данных и безопасности. Имейте в виду, что даже если вы создали резервную копию своих данных перед атакой Netwalker и смогли их восстановить, злоумышленники все равно могут украсть личные данные, которые были украдены до того, как они были зашифрованы Netwalker. Вот почему вы должны принять меры безопасности, чтобы предотвратить потенциальные атаки.

Заключение

Ставки высоки. Последние атаки программ-вымогателей показывают, что программы-вымогатели никуда не денутся, и количество инцидентов с ними растет. Атаки программ-вымогателей Netwalker представляют собой явную и реальную опасность, которая может привести к гибели людей и значительным финансовым потерям. Операторы Netwalker могут красть данные и публиковать их в даркнете. Утечка конфиденциальных данных всегда представляет собой ситуацию высокого риска и может оказать существенное негативное влияние на бизнес. Netwalker шифрует данные на зараженных компьютерах с помощью надежных алгоритмов шифрования, что делает невозможным их расшифровку.

Стратегия защиты вашей сети от атак программ-вымогателей Netwalker требует от организаций наличия и применения жизнеспособной политики безопасности для снижения вероятности заражения, а также настройки и выполнения регулярного резервного копирования данных для обеспечения быстрого восстановления в случае атаки.

Также опубликовано здесь