3AM рансъмуер

3AM рансъмуерът се откроява като особено престъпна и вредна заплаха. Известен със своя отличителен modus operandi, този ransomware причини хаос на безброй хора и организации.

Рансъмуерът 3AM е известен със своите възможности за криптиране. След като проникне в системата на жертвата, той скрито криптира широк набор от файлове, което ги прави недостъпни за потребителя. За да отбележи присъствието си и да упражни контрол върху данните на жертвата, той добавя файловото разширение „.threeamtime“ към криптираните файлове. Например, файл с първоначално име „document.docx“ ще бъде трансформиран в „document.docx.threeamtime“. Това отличително разширение сигнализира на жертвата, че нейните файлове вече са под контрола на операторите на ransomware.

Бележка за откуп: RECOVER-FILES.txt

За да се гарантира, че жертвата е добре запозната с тежката ситуация, 3AM Ransomware пуска бележка за откуп в компрометираната система. Тази бележка, обикновено наречена "RECOVER-FILES.txt", служи като мрачно напомняне за ситуацията със заложници на данни. В бележката извършителите изискват плащане на откуп, за да получат ключа за дешифриране, необходим за възстановяване на достъпа до криптираните файлове.

В опит да запази анонимност и да избегне правоприлагането, 3AM Ransomware предоставя на жертвите адрес на уебсайт на Tor в бележката за откуп. Tor, съкращение от "The Onion Router", е мрежа, предназначена да анонимизира уеб трафика, което прави изключително трудно проследяването на местоположението и самоличността на потребителите. Жертвите са инструктирани да влязат в този уебсайт с помощта на браузъра Tor, където могат да намерят допълнителни инструкции как да направят плащането на откупа и да получат ключа за декриптиране. Използването на Tor за комуникация подчертава сложния характер на заплахата и дължините, до които киберпрестъпниците са готови да отидат, за да запазят своята анонимност.

Предизвикателства при възстановяването на данни: Изтриване на копие на скрит том и прекратяване на процеса

Един от най-коварните аспекти на 3AM Ransomware е опитът му да направи възстановяването на данни изключително предизвикателство за жертвите. За да постигне това, той използва две ключови техники:

а. Изтриване на Shadow Volume Copies: Операционните системи Windows поддържат копия на файлове и данни във функция, известна като Shadow Volume Copy. Тези копия могат да се използват за възстановяване на файлове в случай на загуба на данни. Въпреки това рансъмуерът 3AM активно се опитва да изтрие тези копия, като гарантира, че жертвите нямат възможност за възстановяване на данни, без да платят откупа.

b. Прекратяване на процеса: В допълнение към изтриването на сенчестите копия на томове, рансъмуерът също така предприема мерки за спиране на определени критични процеси. Чрез спирането на тези процеси става още по-трудно за жертвите да получат достъп до инструменти или услуги, които могат да помогнат за възстановяването или премахването на рансъмуера.

3AM Ransomware е страхотна заплаха, която съчетава усъвършенствани техники за криптиране с използването на Tor за анонимна комуникация. Той се стреми към уязвимостите както на отделни лица, така и на организации, оставяйки жертвите пред тежък избор: да платят откупа или да рискуват да загубят данните си завинаги. Освен това усилията му да изтрие копията на сенчестите томове и да наруши критичните процеси увеличават предизвикателствата, пред които са изправени жертвите при възстановяването на техните файлове.

Тъй като атаките на ransomware продължават да се развиват, наложително е хората и организациите да дадат приоритет на стабилни мерки за киберсигурност, включително редовно архивиране, корекции на системата и обучение на служители, за да разпознаят и смекчат тези заплахи. В крайна сметка проактивните мерки остават най-добрата защита срещу тъмния свят на рансъмуера, включително коварния 3AM Ransomware.

Бележката за откуп, доставена от 3AM Ransomware на своите жертви, гласи:

'Hello. "3 am" The time of mysticism, isn't it?

All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.

All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).

There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.

We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.

We propose to reach an agreement and conclude a deal.

Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.

Please contact us as soon as possible, using Tor-browser:

-

Access key:'