INC. 贖金：新網絡威脅的完整指南

INC. Ransom 代表了一種新型勒索軟件操作，其不僅僅是為了經濟利益而進行數據加密。其計算方法、廣泛的目標範圍和創新的勒索方法揭示了組織在不斷變化的網絡威脅環境中必須應對的複雜程度。

SalvageData 專家建議採取主動的數據安全措施，例如定期備份、強大的網絡安全實踐以及保持軟件最新，以防止惡意軟件攻擊。和，如果發生網絡攻擊，請立即聯繫我們的惡意軟件恢復專家。

對於網絡安全服務和 IT 團隊來說，INC. Ransom 是一個可怕的對手。出現在現場2023 年 7 月作為一種殘酷的勒索軟件勒索行為，其起源可以追溯到一種精心策劃的方法，將自己定位為為受害者提供的服務，而不僅僅是一個惡意實體。 INC.勒索軟件的作案手法反映了一種複雜且適應性強的方法。雖然贖金支付是核心組成部分，但運營商巧妙地將受害者聲譽保護的概念交織在一起。威脅行為者表示，支付贖金可以防止其方法被曝光，從而確保受害者的聲譽。該威脅組織在選擇目標時缺乏歧視，受害者遍及各個行業，包括醫療保健、教育和政府實體。 INC. Ransom 採用的加密方法是縝密且具有戰略性的。該勒索軟件支持各種命令行參數，允許威脅參與者靈活地針對特定文件、目錄甚至網絡共享。

我們所知道的關於 INC. Ransom 的一切

確認姓名

• INC病毒

INC. 勒索解密器

• 截至本文發表時，還沒有 INC. Ransom 的公共解密密鑰。

威脅類型

• 勒索軟件
• 加密病毒
• 文件櫃
• 數據洩露

加密文件擴展名

• .INC

勒索信文件名

• INC-README.txt
• INC-README.html
• 桌面壁紙

檢測名稱

• 阿瓦斯特Win32:RansomX-gen [贖金]
• 埃姆西軟件生成：Heur.Ransom.Imps.1 (B)
• 卡巴斯基勒索木馬.Win32.Inc.a
• 惡意軟件字節Ransom.IncRansom
• 微軟贖金：Win32/IncRansom.YAA!MTB
• 索福斯木馬/勒索-GYR

分配方式

• 網絡釣魚電子郵件
• 惡意廣告（惡意廣告）
• 漏洞利用套件
• 遠程桌面協議 (RDP)

INC. 感染和處決的贖金方法

INC. Ransom 網絡威脅組織是一個新的勒索軟件組織，其方法和技術與大多數勒索軟件不同。以下是從初始訪問到加密以及與受害者通信所採取的步驟。

1. 初始訪問

INC. Ransom 採用多種方法來初步接觸受害者。其中，魚叉式網絡釣魚電子郵件是一種常見的載體，利用人為漏洞誘騙個人點擊惡意鏈接或下載受感染的附件。此外，觀察到的實例包括利用漏洞，例如在 Citrix NetScaler 中利用 CVE-2023-3519，展示了初始訪問的技術方法。

2. 內部偵察與橫向移動

一旦進入受害者的環境，INC. Ransom 就會啟動細緻的內部偵察和橫向移動過程。威脅行為者利用多樣化的工具包，使他們能夠在受害者的網絡中導航，識別有價值的加密目標。這些工具包用於以下應用程序：

網絡掃描程序

這是一個多協議網絡掃描器和分析器。它允許網絡管理員和安全專業人員掃描和分析網絡設備、服務和開放端口。 NETSCAN.EXE 執行以下任務：端口掃描,服務檢測， 和網絡分析。此外，它還可用於當地的（在同一網絡內）和偏僻的（跨不同網絡）掃描。

MEGAsyncSetup64.EXE

MEGAsyncSetup64.EXE 是桌面應用程序與 相關聯百萬，一種雲存儲和文件共享服務。用戶可以在計算機上安裝MEGAsyncSetup64.EXE，以在本地存儲和MEGA之間自動同步文件和文件夾。它提供跨設備對文件的無縫訪問並確保數據一致性。

執行程序

ESENTUTL.EXE 是一個 Microsoft 實用程序，主要用於數據庫管理和恢復。它允許管理員執行諸如數據庫修復,壓實， 和完整性檢查。它對於維護 ESE 數據庫的健康和可靠性至關重要。

AnyDesk.exe

AnyDesk.exe 是一個遠程管理和遠端桌面應用。它使用戶能夠從另一台設備訪問和控制遠程計算機，無論物理位置如何。

3. 負載部署和加密

有效負載是在受害者的計算機或網絡上執行特定操作的惡意組件或軟件，例如未經授權的訪問、數據加密或系統操縱。勒索的有效負載支持各種命令行參數，提供了一種靈活的方法來定位特定文件和目錄。這些論點包括：

參見：LockBit 勒索軟件：針對最多產網絡威脅的綜合指南

• -文件：針對特定文件進行加密。
• –目錄：以整個目錄為目標進行加密。
• –sup：停止指定的進程。
• – 恩斯：加密網絡共享。
• –左舵：加密本地隱藏驅動器，使其不可啟動。
• -偵錯:輸出控制台樣式的調試日誌記錄。

如果未指定命令行參數，有效負載會系統地嘗試加密整個本地設備，包括所有可用的捲和文件。

4.卷影副本刪除

為了進一步鞏固對受害者數據的控制，INC. Ransom 嘗試刪除卷影副本 (VSS)。雖然沒有一致地重現，但這種行為表明勒索軟件試圖消除潛在的數據恢復途徑，從而增加了受害者滿足贖金要求的壓力。卷影複製服務 (VSS)，也稱為卷快照服務，是 Windows 操作系統中的一個重要組件，可促進備份和恢復操作而不中斷正在運行的應用程序。

5. 勒索信投遞

加密文件後，INC. 勒索軟件會在每個加密文件夾中留下勒索字條，從而留下獨特的標記。這些筆記採用 .TXT 和 .HTML 格式（“INC-README.TXT”和“INC-README.HTML”），包含給受害者的說明。值得注意的是，勒索軟件試圖通過將 HTML 格式的筆記輸出到任何連接且可訪問的打印機或傳真機來擴大其影響。這種身體表現增加了額外的脅迫層，並確保受害者敏銳地意識到贖金要求。

不要支付贖金！聯繫勒索軟件恢復服務不僅可以恢復您的文件，還可以消除任何潛在威脅。

INC. 勒索妥協指標 (IOC)

妥協指標 (IOC) 是在網絡或操作系統中觀察到的偽影，可高度可信地指示計算機入侵。 IOC 可用於使用入侵檢測系統和防病毒軟件來及早檢測未來的攻擊企圖。它們本質上是犯罪現場留下的證據的數字版本，潛在的 IOC 包括異常網絡流量、來自外國的特權用戶登錄、奇怪的 DNS 請求、系統文件更改等。當檢測到 IOC 時，安全團隊會評估可能的威脅或驗證其真實性。 IOC 還提供攻擊者滲透網絡後可以訪問的內容的證據。

INC. 特定於贖金的 IOC

文件哈希（勒索軟件二進制）：

• SHA256：fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced

勒索信文件名：

• INC-自述文件.TXT
• INC-自述文件.HTML

打印的勒索信輸出：

• INC. 勒索軟件可以將勒索信息打印到已連接且可訪問的打印機或傳真機上。應調查任何意外或未經授權的打印作業。

INC. 贖金 贖金字條

INC. Ransom 贖金票據是勒索軟件勒索操作的關鍵組成部分，向受害者傳達威脅行為者的要求和指示。該票據暗示支付贖金不僅僅是為了檢索加密數據，而且被定位為“挽救其聲譽”的一種方法。矛盾的是，攻擊者聲稱，通過遵守贖金要求，受害者的環境將因他們的方法被洩露而變得“更加安全”。贖金票據中為受害者分配了一個個人 ID，他們被指示在訪問基於 TOR 的支付門戶時使用該 ID 與攻擊者進行通信。

如何處理 INC. 勒索攻擊

從 INC. 勒索軟件攻擊中恢復的第一步是通過斷開與互聯網的連接並刪除所有連接的設備來隔離受感染的計算機。然後，您必須聯繫地方當局。就美國居民和企業而言，聯邦調查局和網絡犯罪投訴中心（IC3）要報告惡意軟件攻擊，您必須收集有關該攻擊的所有信息，包括：

• 勒索信截圖
• 與威脅行為者的溝通（如果有的話）
• 加密文件的示例

但是，如果您願意聯繫專業人士，那麼最好讓每台受感染的機器保持原樣並要求緊急勒索軟件清除服務。這些專業人員有能力快速減輕損害、收集證據、可能逆轉加密並恢復系統。

重新啟動或關閉系統可能會損害恢復服務。捕獲實時系統的 RAM 可能有助於獲取加密密鑰，捕獲 dropper 文件（即執行惡意負載的文件）可能會被逆向工程並導致數據解密或了解其運行方式。您必須不刪除勒索軟件，並保留所有攻擊證據。這對於數字取證專家們將追踪該黑客組織並查明其身份。當局可以通過使用受感染系統上的數據調查這次攻擊。網絡攻擊調查與任何其他刑事調查沒有什麼不同：它需要證據來找到攻擊者。

1.聯繫您的事件響應提供商

網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議，允許組織獲​​得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持，使他們能夠在網絡事件期間快速有效地做出響應。事件響應保留人員讓組織高枕無憂，在網絡安全事件發生之前和之後提供專家支持。事件響應保留程序的具體性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應保留者應該強大而靈活，提供經過驗證的服務來增強組織的長期安全態勢。如果您聯繫您的 IR 服務提供商，他們可以立即接管並指導您完成勒索軟件恢復的每個步驟。但是，如果您決定自行刪除惡意軟件並與 IT 團隊一起恢復文件，則可以按照以下步驟操作。

2.使用備份恢復數據

備份對於數據恢復的重要性怎麼強調都不為過，尤其是在數據完整性存在各種潛在風險和威脅的情況下。備份是全面數據保護策略的關鍵組成部分。它們提供了從各種威脅中恢復的方法，確保操作的連續性並保留有價值的信息。面對勒索軟件攻擊，惡意軟件會加密您的數據並要求您付費才能釋放數據，備份可以讓您恢復信息，而不會屈服於攻擊者的要求。請確保定期測試和更新您的備份程序，以增強其防範潛在數據丟失情況的有效性。進行備份的方法有多種，因此您必須選擇正確的備份介質，並至少在異地和離線狀態下存儲一份數據副本。

3. 聯繫惡意軟件恢復服務

如果您沒有備份或需要幫助刪除惡意軟件並消除漏洞，請聯繫數據恢復服務。支付贖金並不能保證您的數據會歸還給您。恢復每個文件的唯一有保證的方法是您有備份。如果您不這樣做，勒索軟件數據恢復服務可以幫助您解密和恢復文件。 SalvageData 專家可以安全地恢復您的文件並防止 INC. Ransom 再次攻擊您的網絡，請全天候 (24/7) 聯繫我們的恢復專家。

防止 INC. 勒索攻擊

防止惡意軟件是數據安全的最佳解決方案。比從中恢復更容易、更便宜。 INC. 勒索軟件可能會損害您企業的未來，甚至關門大吉。以下是一些提示，可確保您可以避免惡意軟件攻擊:

• 保留你的 操作系統和軟件是最新的具有最新的安全補丁和更新。這有助於防止攻擊者利用的漏洞。
• 使用強而獨特的密碼對於所有帳戶，並儘可能啟用雙因素身份驗證。這可以幫助防止攻擊者訪問您的帳戶。
• 警惕可疑電子郵件、鏈接和附件。不要打開電子郵件或點擊來自未知或可疑來源的鏈接或附件。
• 使用信譽良好的防病毒和反惡意軟件軟件並保持最新。這可以幫助在惡意軟件造成損害之前檢測並刪除它。
• 使用防火牆阻止對您的網絡和系統的未經授權的訪問。
• 網絡分段將較大的網絡劃分為較小的子網絡，子網絡之間的互連性有限。它限制攻擊者的橫向移動並防止未經授權的用戶訪問組織的知識產權和數據。
• 限制用戶權限防止攻擊者訪問敏感數據和系統。
• 教育員工和員工關於如何識別和避免網絡釣魚電子郵件和其他社會工程攻擊。