3AM Ransomware
Програмне забезпечення-вимагач 3AM виділяється як особливо мерзенна та шкідлива загроза. Це програмне забезпечення-вимагач, відоме своїм особливим способом дії, завдало шкоди незліченній кількості людей і організацій.
Програма-вимагач 3AM сумно відома своїми можливостями шифрування. Як тільки він проникає в систему жертви, він непомітно шифрує широкий спектр файлів, роблячи їх недоступними для користувача. Щоб позначити свою присутність і підтвердити контроль над даними жертви, він додає до зашифрованих файлів розширення ".threeamtime". Наприклад, файл із початковою назвою "document.docx" буде перетворено на "document.docx.threeamtime". Це характерне розширення сигналізує жертві, що її файли тепер під контролем операторів програм-вимагачів.
Примітка про викуп: RECOVER-FILES.txt
Щоб гарантувати, що жертва добре знає про жахливу ситуацію, програмне забезпечення-вимагач 3AM скидає повідомлення про викуп у скомпрометованій системі. Ця примітка, яка зазвичай називається «RECOVER-FILES.txt», служить похмурим нагадуванням про ситуацію із заручниками даних. У записці зловмисники вимагають викуп за отримання ключа дешифрування, необхідного для відновлення доступу до зашифрованих файлів.
Щоб зберегти анонімність і уникнути правоохоронних органів, програмне забезпечення-вимагач 3AM надає жертвам адресу веб-сайту Tor у повідомленні про викуп. Tor, абревіатура від «The Onion Router», — це мережа, призначена для анонімізації веб-трафіку, що надзвичайно ускладнює відстеження місцезнаходження та ідентифікації користувачів. Жертви отримали вказівки щодо доступу до цього веб-сайту за допомогою браузера Tor, де вони можуть знайти подальші інструкції щодо того, як здійснити викуп і отримати ключ розшифровки. Використання Tor для спілкування підкреслює складний характер загрози та те, на що кіберзлочинці готові піти, щоб зберегти свою анонімність.
Проблеми відновлення даних: видалення тіньової копії тома та завершення процесу
Одним із найпідступніших аспектів програми-вимагача 3AM є її спроба зробити відновлення даних надзвичайно складним для жертв. Щоб досягти цього, він використовує дві основні техніки:
a. Видалення тіньових копій томів: операційні системи Windows зберігають копії файлів і даних за допомогою функції, відомої як тіньова копія томів. Ці копії можна використовувати для відновлення файлів у разі втрати даних. Однак програма-вимагач 3AM активно намагається видалити ці копії, гарантуючи, що жертви не зможуть відновити дані без сплати викупу.
b. Припинення процесу: окрім видалення тіньових копій томів, програма-вимагач також вживає заходів для зупинки певних критичних процесів. Зупинка цих процесів ще більше ускладнює доступ жертв до інструментів або служб, які можуть допомогти у відновленні чи видаленні програми-вимагача.
Програмне забезпечення-вимагач 3AM — це грізна загроза, яка поєднує передові методи шифрування з використанням Tor для анонімного спілкування. Він полює на вразливі місця як окремих осіб, так і організацій, залишаючи жертв перед жахливим вибором: заплатити викуп або ризикувати назавжди втратити свої дані. Крім того, його спроби видалити тіньові копії томів і порушити критичні процеси посилюють проблеми, з якими стикаються жертви під час відновлення своїх файлів.
Оскільки атаки програм-вимагачів продовжують розвиватися, вкрай важливо, щоб окремі особи та організації надавали пріоритет надійним заходам кібербезпеки, включаючи регулярне резервне копіювання, оновлення системи та навчання співробітників, щоб розпізнавати та пом’якшувати ці загрози. Зрештою, профілактичні заходи залишаються найкращим захистом від темного світу програм-вимагачів, включаючи підступну програму-вимагач 3AM.
Записка про викуп, яку 3AM Ransomware доставляє своїм жертвам, говорить:
'Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
-
Access key:'
