INC. 赎金：新网络威胁的完整指南

INC. Ransom 代表了一种新型勒索软件操作，其不仅仅是为了经济利益而进行数据加密。其计算方法、广泛的目标范围和创新的勒索方法揭示了组织在不断变化的网络威胁环境中必须应对的复杂程度。

SalvageData 专家建议采取主动的数据安全措施，例如定期备份、强大的网络安全实践以及保持软件最新，以防止恶意软件攻击。和，如果发生网络攻击，请立即联系我们的恶意软件恢复专家。

对于网络安全服务和 IT 团队来说，INC. Ransom 是一个可怕的对手。出现在现场2023 年 7 月作为一种残酷的勒索软件勒索行为，其起源可以追溯到一种精心策划的方法，将自己定位为为受害者提供的服务，而不仅仅是一个恶意实体。INC.勒索软件的作案手法反映了一种复杂且适应性强的方法。虽然赎金支付是核心组成部分，但运营商巧妙地将受害者声誉保护的概念交织在一起。威胁行为者表示，支付赎金可以防止其方法被曝光，从而确保受害者的声誉。该威胁组织在选择目标时缺乏歧视，受害者遍及各个行业，包括医疗保健、教育和政府实体。INC. Ransom 采用的加密方法是缜密且具有战略性的。该勒索软件支持各种命令行参数，允许威胁参与者灵活地针对特定文件、目录甚至网络共享。

我们所知道的关于 INC. Ransom 的一切

确认姓名

• INC病毒

INC. 勒索解密器

• 截至本文发表时，还没有 INC. Ransom 的公开解密密钥。

威胁类型

• 勒索软件
• 加密病毒
• 文件柜
• 数据泄露

加密文件扩展名

• .INC

勒索信文件名

• INC-README.txt
• INC-README.html
• 桌面壁纸

检测名称

• 阿瓦斯特Win32:RansomX-gen [赎金]
• 埃姆西软件生成：Heur.Ransom.Imps.1 (B)
• 卡巴斯基勒索木马.Win32.Inc.a
• 恶意软件字节Ransom.IncRansom
• 微软赎金：Win32/IncRansom.YAA!MTB
• 索福斯木马/勒索-GYR

分配方式

• 网络钓鱼电子邮件
• 恶意广告（恶意广告）
• 漏洞利用套件
• 远程桌面协议 (RDP)

INC. 感染和处决的赎金方法

INC. Ransom 网络威胁组织是一个新的勒索软件组织，其方法和技术与大多数勒索软件不同。以下是从初始访问到加密以及与受害者通信所采取的步骤。

1. 初始访问

INC. Ransom 采用多种方法来初步接触受害者。其中，鱼叉式网络钓鱼电子邮件是一种常见的载体，利用人为漏洞诱骗个人点击恶意链接或下载受感染的附件。此外，观察到的实例包括利用漏洞，例如在 Citrix NetScaler 中利用 CVE-2023-3519，展示了初始访问的技术方法。

2. 内部侦察与横向移动

一旦进入受害者的环境，INC. Ransom 就会启动细致的内部侦察和横向移动过程。威胁行为者利用多样化的工具包，使他们能够在受害者的网络中导航，识别有价值的加密目标。这些工具包用于以下应用程序：

网络扫描程序

这是一个多协议网络扫描器和分析器。它允许网络管理员和安全专业人员扫描和分析网络设备、服务和开放端口。NETSCAN.EXE 执行以下任务：端口扫描,服务检测， 和网络分析。此外，它还可用于当地的（在同一网络内）和偏僻的（跨不同网络）扫描。

MEGAsyncSetup64.EXE

MEGAsyncSetup64.EXE 是桌面应用程序与 相关联兆，一种云存储和文件共享服务。用户可以在计算机上安装MEGAsyncSetup64.EXE，以在本地存储和MEGA之间自动同步文件和文件夹。它提供跨设备对文件的无缝访问并确保数据一致性。

执行程序

ESENTUTL.EXE 是一个 Microsoft 实用程序，主要用于数据库管理和恢复。它允许管理员执行诸如数据库修复,压实， 和完整性检查。它对于维护 ESE 数据库的健康和可靠性至关重要。

AnyDesk.exe

AnyDesk.exe 是一个远程管理和远程桌面应用。它使用户能够从另一台设备访问和控制远程计算机，无论物理位置如何。

3. 负载部署和加密

有效负载是在受害者的计算机或网络上执行特定操作的恶意组件或软件，例如未经授权的访问、数据加密或系统操纵。勒索的有效负载支持各种命令行参数，提供了一种灵活的方法来定位特定文件和目录。这些论点包括：

参见：LockBit 勒索软件：针对最多产网络威胁的综合指南

• -文件：针对特定文件进行加密。
• –目录：以整个目录为目标进行加密。
• –sup：停止指定的进程。
• – 恩斯：加密网络共享。
• –左舵：加密本地隐藏驱动器，使其不可启动。
• -调试：输出控制台样式的调试日志记录。

如果未指定命令行参数，有效负载会系统地尝试加密整个本地设备，包括所有可用的卷和文件。

4.卷影副本删除

为了进一步巩固对受害者数据的控制，INC. Ransom 尝试删除卷影副本 (VSS)。虽然没有一致地重现，但这种行为表明勒索软件试图消除潜在的数据恢复途径，从而增加了受害者满足赎金要求的压力。卷影复制服务 (VSS)，也称为卷快照服务，是 Windows 操作系统中的一个重要组件，可促进备份和恢复操作而不中断正在运行的应用程序。

5. 勒索信投递

加密文件后，INC. 勒索软件会在每个加密文件夹中留下勒索字条，从而留下独特的标记。这些笔记采用 .TXT 和 .HTML 格式（“INC-README.TXT”和“INC-README.HTML”），包含给受害者的说明。值得注意的是，勒索软件试图通过将 HTML 格式的笔记输出到任何连接且可访问的打印机或传真机来扩大其影响。这种身体表现增加了额外的胁迫层，并确保受害者敏锐地意识到赎金要求。

不要支付赎金！联系勒索软件恢复服务不仅可以恢复您的文件，还可以消除任何潜在威胁。

INC. 勒索妥协指标 (IOC)

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击企图。它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。

INC. 特定于赎金的 IOC

文件哈希（勒索软件二进制）：

• SHA256：fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced

勒索信文件名：

• INC-自述文件.TXT
• INC-自述文件.HTML

打印的勒索信输出：

• INC. 勒索软件可以将勒索信息打印到已连接且可访问的打印机或传真机上。应调查任何意外或未经授权的打印作业。

INC. 赎金 赎金字条

INC. Ransom 赎金票据是勒索软件勒索操作的关键组成部分，向受害者传达威胁行为者的要求和指示。该票据暗示支付赎金不仅仅是为了检索加密数据，而且被定位为“挽救其声誉”的一种方法。矛盾的是，攻击者声称，通过遵守赎金要求，受害者的环境将因他们的方法被泄露而变得“更加安全”。赎金票据中为受害者分配了一个个人 ID，他们被指示在访问基于 TOR 的支付门户时使用该 ID 与攻击者进行通信。

如何处理 INC. 勒索攻击

从 INC. 勒索软件攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后，您必须联系地方当局。就美国居民和企业而言，联邦调查局和网络犯罪投诉中心（IC3）要报告恶意软件攻击，您必须收集有关该攻击的所有信息，包括：

• 勒索信截图
• 与威胁行为者的沟通（如果有的话）
• 加密文件的示例

但是，如果您愿意联系专业人士，那么最好让每台受感染的机器保持原样并要求紧急勒索软件清除服务。这些专业人员有能力快速减轻损害、收集证据、可能逆转加密并恢复系统。

重新启动或关闭系统可能会影响恢复服务。捕获实时系统的 RAM 可能有助于获取加密密钥，捕获 dropper 文件（即执行恶意负载的文件）可能会被逆向工程并导致数据解密或了解其运行方式。您必须不删除勒索软件，并保留所有攻击证据。这对于数字取证专家们将追踪该黑客组织并查明其身份。当局可以通过使用受感染系统上的数据调查这次攻击。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1.联系您的事件响应提供商

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活，提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商，他们可以立即接管并指导您完成勒索软件恢复的每个步骤。但是，如果您决定自行删除恶意软件并与 IT 团队一起恢复文件，则可以按照以下步骤操作。

2.使用备份恢复数据

备份对于数据恢复的重要性怎么强调都不为过，尤其是在数据完整性存在各种潜在风险和威胁的情况下。备份是全面数据保护策略的关键组成部分。它们提供了从各种威胁中恢复的方法，确保操作的连续性并保留有价值的信息。面对勒索软件攻击，恶意软件会加密您的数据并要求您付费才能释放数据，备份可以让您恢复信息，而不会屈服于攻击者的要求。请确保定期测试和更新您的备份程序，以增强其防范潜在数据丢失情况的有效性。进行备份的方法有多种，因此您必须选择正确的备份介质，并至少在异地和离线状态下存储一份数据副本。

3. 联系恶意软件恢复服务

如果您没有备份或需要帮助删除恶意软件并消除漏洞，请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是您有备份。如果您不这样做，勒索软件数据恢复服务可以帮助您解密和恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 INC. Ransom 再次攻击您的网络，请全天候 (24/7) 联系我们的恢复专家。

防止 INC. 勒索攻击

防止恶意软件是数据安全的最佳解决方案。比从中恢复更容易、更便宜。 INC. 勒索软件可能会损害您企业的未来，甚至关门大吉。以下是一些提示，可确保您可以避免恶意软件攻击:

• 保留你的 操作系统和软件是最新的具有最新的安全补丁和更新。这有助于防止攻击者利用的漏洞。
• 使用强而独特的密码对于所有帐户，并尽可能启用双因素身份验证。这可以帮助防止攻击者访问您的帐户。
• 警惕可疑电子邮件、链接和附件。不要打开电子邮件或点击来自未知或可疑来源的链接或附件。
• 使用信誉良好的防病毒和反恶意软件软件并保持最新。这可以帮助在恶意软件造成损害之前检测并删除它。
• 使用防火墙阻止对您的网络和系统的未经授权的访问。
• 网络分段将较大的网络划分为较小的子网络，子网络之间的互连性有限。它限制攻击者的横向移动并防止未经授权的用户访问组织的知识产权和数据。
• 限制用户权限防止攻击者访问敏感数据和系统。
• 教育员工和员工关于如何识别和避免网络钓鱼电子邮件和其他社会工程攻击。