APT14CHIR Ransomware
Изследователите на киберсигурността класифицират APT14CHIR като заплаха за рансъмуер. Основната му функция е да криптира файлове, което ги прави недостъпни за техните собственици. В допълнение, APT14CHIR също така променя имената на файловете, които криптира, като заменя техните оригинални файлови имена с поредица от произволни знаци и добавя разширение '.APT14CHIR'.
Като пример, рансъмуерът APT14CHIR може да промени името на файл като „1.png“ на „46bHrwLR0CmRGarY.APT14CHIR“, докато „2.doc“ може да бъде преименуван на „qoMCVWgi0Vm27mcu.APT14CHIR“. Освен това APT14CHIR създава съобщение за откуп под формата на текстов файл с име „МОЛЯ, ПРОЧЕТЕТЕ.txt“, за да информира жертвите, че техните файлове са криптирани и да предостави инструкции как да платят откуп, за да получат ключа за дешифриране.
Рансъмуерът APT14CHIR оставя на жертвите списък с искания
Бележката за откуп, оставена от нападателите, ясно посочва, че важните файлове на жертвата са били напълно криптирани с комбинация от AES и RSA алгоритми за криптиране, което ги прави недостъпни за законния собственик. Бележката също така предупреждава жертвите да не се опитват да възстановят файловете с помощта на софтуер на трети страни, тъй като това може да доведе до трайна загуба на данни или по-нататъшна модификация на криптираните файлове.
Освен това в бележката се твърди, че нападателите са единствените с възможността да разрешат проблема и няма налични онлайн инструменти за декриптиране, които да помогнат с процеса. Това поставя жертвите в трудна позиция, в която те трябва да разчитат на готовността на нападателите да предоставят ключа за дешифриране в замяна на плащане на откуп.
Бележката също така подчертава, че нападателите са качили всички силно поверителни и лични данни на жертвата, както и копие на техните основни сървъри в частно място за съхранение. Нападателите заплашват да унищожат тези данни едва след като получат исканата сума за откуп. Въпреки това, ако жертвата избере да не плати откупа, киберпрестъпниците заплашват да направят данните публични, което може да бъде пагубно за репутацията на жертвата.
Нападателите твърдят, че искат само пари и не целят да накърнят репутацията или бизнеса на жертвата. За да получи повече информация относно необходимите действия за декриптиране на файловете, жертвата се насочва да се свърже с извършителите чрез имейл адресите „martin_catch_ithelp@tutanota.com“ и „martin_catch_ithelp@proton.me“ или чрез месинджъра qTox.
Как потребителите могат да намалят щетите от атаки от заплахи като рансъмуера APT14CHIR?
Атаките с рансъмуер стават все по-често срещани и въздействието им може да бъде опустошително. Има обаче няколко мерки, които потребителите могат да предприемат, за да намалят щетите, причинени от тези атаки.
Първо, уверете се, че се правят редовни резервни копия на важни данни и се съхраняват на сигурно място, което не е свързано с интернет. Това ще помогне да се гарантира, че ако данните са криптирани, те могат лесно да бъдат възстановени от архива и жертвата не трябва да плаща откупа.
Второ, потребителите трябва да бъдат внимателни, когато отварят имейли или кликват върху връзки от неизвестни или подозрителни източници. Рансъмуерът често се разпространява чрез фишинг имейли и щракването върху опасна връзка или отварянето на компрометиран прикачен файл може да доведе до заразяване на компютъра ви с рансъмуер.
От решаващо значение е софтуерът и операционните системи да се поддържат актуални, тъй като рансъмуерът често използва уязвимостите в по-старите версии на софтуера. Редовното актуализиране на софтуера и прилагането на корекции за сигурност ще помогне за намаляване на този риск.
Потребителите също трябва силно да обмислят използването на анти-злонамерен софтуер и защитни стени, които могат да помогнат за откриване и предотвратяване на атаки на ransomware. Тези инструменти могат да идентифицират и блокират подозрителна дейност, предотвратявайки достъпа на зловреден софтуер до вашия компютър.
И накрая, в случай на атака на ransomware, потребителите трябва да избягват плащането на откупа. Това само насърчава киберпрестъпниците и им осигурява ресурси да продължат незаконните си дейности. Вместо това потребителите трябва да потърсят съдействието на експерти по киберсигурност, които може да са в състояние да помогнат за възстановяване на криптираните данни или да премахнат зловреден софтуер от заразената система.
Пълният текст на бележката за откуп на APT14CHIR е:
„ЗДРАВЕЙТЕ, МРЕЖАТА НА ФИРМАТА ВИ Е ПРОНИКНАТА
Всичките ви важни файлове са криптирани!Вашите файлове НЕ СЕ ПОВРЕЖДАТ! Само напълно модифициран. (RSA+AES)
Те са криптирани със силен уникален алгоритъм за криптиране aes.ВСЕКИ ОПИТ ДА ВЪЗСТАНОВИТЕ ВАШИТЕ ФАЙЛОВЕ СЪС СОФТУЕР НА ТРЕТА СТРАНА
ПОСТОЯННО ЩЕ ГО ПОВАРИ.
НЕ ПРОМЕНЯЙТЕ КРИПТИРАНИ ФАЙЛОВЕ.
НЕ ПРЕИМЕНУВАЙТЕ ШИФРОВАНИТЕ ФАЙЛОВЕ.Никой софтуер, достъпен в интернет, не може да ви помогне. Ние сме единствените, които можем
реши проблема си.Качихме всички силно поверителни/лични данни и копирахме основните сървъри.
Тези данни в момента се съхраняват в частно хранилище.
Този сървър ще бъде незабавно унищожен след вашето плащане.
Ако решите да не плащате, ние ще предоставим вашите данни на публични или препродавачи, конкуренти, представители на местната власт, съдебни органи, посредници за изнудване и атаки
Така че можете да очаквате вашите данни да бъдат публично достъпни в близко бъдеще.Ние търсим само пари и нашата цел не е да навредим на вашата репутация или да предотвратим
вашия бизнес от унищожаване.За повече информация и ключове за дешифриране, моля свържете се с нас:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.meЩе ви бъде предоставена цялата информация за необходимите действия за пълно дешифриране на вашите файлове.
Можете също да се свържете с нас чрез месинджъра qTox, ще бъде много по-бързо, поддръжката е налична 24/7.
Можете да изтеглите от връзката или да намерите приложението сами:Свържете се с qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7CВашият личен номер:
APT14CHIR'
