Κάθε εβδομάδα λαμβάνουμε αρκετά αιτήματα από επιχειρήσεις που χρειάζονται αποκρυπτογράφηση αρχείων Dharma cezar, ένα Ransomware το οποίο τον τελευταίο μήνα έχει κρυπτογραφήσει τα αρχεία πολλών επιχειρήσεων και ζητάει λύτρα 3000$ – 8000$ σε Bitcoin.
Θα υπενθυμίσουμε για μία ακόμα φορά ότι για το συγκεκριμένο Ransomware δεν έχει βρεθεί ακόμα λύση, οπότε οι επιλογές που υπάρχουν για το χρήστη είναι οι παρακάτω:
- Να γίνει απόπειρα ανάκτησης αρχείων από το εργαστήριο ανάκτησης δεδομένων της TicTac (δυστυχώς χωρίς ιδιαίτερα καλά αποτελέσματα, μιας και υπάρχουν αρκετές εγγραφές πάνω στα αρχεία και έχουμε ανάκτηση κάποιων εγγράφων και φωτογραφιών σε ελάχιστο ποσοστό)
- Να κλωνοποιήσετε τους δίσκους σας και να περιμένετε να βρεθεί λύση ή να δωθούν ελεύθερα στην αγορά τα κλειδία (χωρίς φυσικά να ξέρουμε πότε και εάν θα συμβεί αυτό)
- Να πληρώσετε τα λύτρα στον εκβιαστή Hacker με την ελπίδα ότι θα παραλάβει τα χρήματα σας (τα οποία πληρώνονται σε Bitcoin) και θα φιλοτιμηθεί να σας στείλει τη λύση και το κλειδί αποκρυπτογράφησης, πράγμα που δεν συμβαίνει συχνά αν δεν γίνει καλός χειρισμός
Την περασμένη εβδομάδα αναλάβαμε δύο υποθέσεις απελπισμένων επιχειρηματιών οι οποίοι μολύνθηκαν με τον Dharma (.cezar) που μπήκαν στη διαδικασία να πληρώσουν τα λύτρα καθώς δεν είχαν άλλη επιλογή.
Επιτυχημένη Υπόθεση: Ransomware στην περιοχή της Λάρισας
Η μία υπόθεση μας ήρθε από την ευρύτερη περιοχή της Λάρισας όπου επιχειρηματίας βρέθηκε να έχει κρυπτογραφημένα αρχεία με τον Dharma (.cezar) και ο κεντρικός του υπολογιστής περιείχε τόσο τη βάση δεδομένων των προγραμμάτων του όσο και πολύ σημαντικά αρχεία για τη λειτουργία της επιχείρισης του.
Ο Hacker χρησιμοποιούσε το Email: decryptdata@qq.com για την επικοινωνία του.
Δυστυχώς ακόμα και τα Backup αρχεία είχαν επίσης κρυπτογραφηθεί από τον Ransomware ιό Dharma cezar.
Το ποσό των λύτρων για τον Χακερ ανήλθε περίπου στα 5000€ και με τον καλό χειρισμό της ομάδας μας έγινε μια ουσιαστική μείωση στα λύτρα, δόθηκαν άμεσα στον πελάτη οδηγίες και καθοδήγηση στο πώς μπορεί να αγοράσει την ίδια μέρα το απαραίτητο ποσό και καθοδηγήσαμε στην διαδικασία αποστολής των λύτρων στον Χάκερ.
Η όλη διαδικασία διήρκησε περίπου 48 ώρες και πάρθηκαν οι κατάλληλες προφυλάξεις πριν και κατα τη διάρκεια της αποκρυπτογράφησης, αλλά και μετά από αυτή.
Επιτυχημένη Υπόθεση: Ransomware σε λογιστικό γραφείο στη Στερεά Ελλάδα
Άλλο ένα περιστατικό μας ήρθε από τη Στερεά Ελλάδα σε ένα πλήρως μηχανογραφημένο λογιστήριο το οποίο έπεσε θύμα του Dharma cezar όπου όλα τα αρχεία είχαν κρυπτογραφηθεί με την επέκταση .adobe
O Hacker χρησιμοποιούσε το Email: sasutemul1972@aol.com για την επικοινωνία του.
Ο επιχειρηματίας είχε άγνοια των κινδύνων που υπάρχουν στις μέρες μας με τα Ransomware και ήταν απελπισμένος με ιδιαίτερη ψυχολογική φόρτιση.
Από την βάση δεδομένων μας διαπιστώσαμε ότι με το χειρισμό μας σε τέτοιες περιπτώσεις μπορούμε να βοηθήσουμε και είχαμε καλά ποσοστά καλής συνεργασίας και διαπραγμάτευσης με τους εκβιαστές Hackers.
Η διαδικασία προχώρησε και εντός περιπου 36 ωρών συνεχόμενης εργασίας, συντονισμού και διαπραγμάτευσης καταφέραμε να βοηθήσουμε στην “επιτυχημένη” αποκρυπτογράφηση μετά την πληρωμή των λύτρων.
Κακή έκβαση σε Ransomware στην Πάτρα, καθώς ο χάκερ δεν παρέδωσε το κλειδί
Μια υπόθεση του ίδιου τυπου Ransomware μας ήρθε από την Πάτρα και δεν είχε αίσιο τέλος δυστυχώς, καθώς ο πελάτης απευθύνθηκε στην εταιρία TicTac Data Recovery αφού είχε ξεκινήσει συνομιλίες με τον Χάκερ και διαπιστώσαμε ότι δεν έκανε καλό χειρισμό στην επικοινωνία του.
Όταν ζητήσαμε να μας παραθέσει την επικοινωνία που είχε με τον χάκερ εντοπίστηκαν σοβαρές παραλήψεις στο πρωτόκολλο μας και ενημερώσαμε τον πελάτη ότι μάλλον δεν θα έχει καλή έκβαση και δεν αναλάβαμε.
Αποφασίσαμε να μην αναλάβουμε την υπόθεση καθώς διαπιστώσαμε λάθος χειρισμούς οι οποίοι λαμβάνοντας τα στατισικά από την βάση μας, έδειχναν ένα μοτίβο επικοινωνίας το οποίο δεν θα έχει καλό τέλος.
Η ομάδα της TicTac Data Recovery αποφάσισε να μην εμπλακεί στην υπόθεση και ενημερώσαμε τον πελάτη ότι δεν θα ηταν συνετό να πληρώσει τα λύτρα.
Ο πελάτης τελικά ταλαιπωρήθηκε στην εύρεση των Bitcoin, καθώς δεν διέθετε τη γνώση να διαχειριστεί κρυπτονομίσματα και πλήρωσε τα λύτρα μετά από 10 ημέρες από την επίθεση.
Δυστυχώς επαληθεύτηκαν οι φοβίες μας και ο χάκερ μετά την πληρωμή των λύτρων έχει εξαφανιστεί και μάθαμε ότι δεν απαντάει πλέον στα μηνύματα.
Αν έχετε μολυνθεί με Dharma Cezar και έχουν κρυπτογραφηθεί τα αρχεία σας επικοινωνήστε άμεσα με την εταιρία ανάκτησης δεδομένων TicTac για να σας δώσουμε τις πρώτες οδηγίες ακόμα και αν δεν συνεργαστούμε.
Πρόληψη από Ransomware ιούς όπως ο Dharma Cezar
Σε κάθε περιστατικό συστήνουμε μετά την διεκπεραίωση της υπόθεσης 3 πολύ σημαντικές τακτικές
- Το TicTac Data Recovery as a Service: Cloud Backup από την εταιρία μας
- Να πραγματοποιηθεί Penetration Test (Έλεγχος παρείσδυσης) στο εταιρικό δίκτυο
- Συμβόλαιο ασφάλισης Κυβερνοεπιθέσεων – Cyber Security Insurance από την εταιρία IQ Brokers
Επικοινωνήστε μαζί μας για να ενημερωθείτε, καθώς οι επιθέσεις Ransomware ολοένα και αυξάνονται.