Carver рансъмуер

Изследователите на Infosec са открили злонамерена програма, известна като Carver. Рансъмуерът Carver принадлежи към категорията рансъмуер, което означава, че основната му цел е да криптира данните на жертвата и след това да поиска откуп за предполагаемото възстановяване на файловете.

Ако се изпълни на заразените устройства, зловредният софтуер успешно криптира файловете и променя имената им. По-конкретно, оригиналните имена на файлове бяха добавени с уникален идентификатор, имейл адреса на киберпрестъпниците и разширение „.Carver“. Например, файл с предишно име „1.doc“ ще се появи като „1.doc.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver.'

След като процесът на криптиране приключи, Carver Ransomware ще достави две бележки за откуп, а именно „info.hta“ под формата на изскачащ прозорец и „info.txt“ като текстов файл. Тези бележки съдържат инструкции как да платите откупа и да получите ключа за дешифриране. Важно е да се отбележи, че Carver Ransomware е част от фамилията злонамерен софтуер Phobos.

Жертвите на Carver Ransomware са изнудвани за пари

Текстовият файл, генериран от рансъмуера Carver, просто информира жертвите, че техните данни са криптирани и предоставя инструкции за контакт с нападателите. Междувременно съобщението в изскачащия прозорец предоставя повече подробности за процеса на дешифриране. По-конкретно, той информира жертвите, че ще трябва да платят откуп в биткойн криптовалута, за да получат ключа за дешифриране. В съобщението обаче не се посочва точната сума на откупа, но се посочва, че може да зависи от това колко бързо жертвата ще се свърже с киберпрестъпниците. Преди да направят каквото и да е плащане, на жертвите се дава възможност безплатно да тестват процеса на дешифриране в рамките на определени спецификации.

Съобщението в изскачащия прозорец също така предупреждава да не се преименуват криптираните файлове или да се използват инструменти за декриптиране на трети страни, тъй като това ще направи данните неразшифровани. Въз основа на нашия обширен анализ и изследване на хиляди инфекции с ransomware можем да заключим, че дешифрирането обикновено е невъзможно без участието на нападателите. Единственото изключение може да бъде, ако рансъмуерът е дълбоко повреден или все още е в процес на разработка.

Освен това, дори ако откупът бъде платен, жертвите може да не получат обещаните ключове за дешифриране или софтуер. Ето защо силно съветваме да не плащате откупа и неволно да подкрепяте тази незаконна дейност.

Защитата на вашите устройства срещу заплахи като рансъмуера Carver е от решаващо значение

Инфекциите с рансъмуер могат да бъдат пагубни за потребителите, тъй като могат да доведат до загуба на важни данни и финансови загуби. За да защитят своите устройства от ransomware, потребителите могат да предприемат няколко мерки за сигурност. Една от най-важните мерки е да поддържат своите устройства актуални с най-новите корекции и актуализации за сигурност. Това ще гарантира, че всички уязвимости в операционната система или софтуера на устройството са коригирани, което прави по-трудно за ransomware да ги използва.

Друга съществена мярка е да не щраквате върху съмнителни връзки или да изтегляте файлове от ненадеждни източници. Рансъмуерът често се разпространява чрез злонамерени прикачени имейли или връзки, така че потребителите трябва да бъдат внимателни, когато отварят имейли от неизвестни податели или кликват върху връзки в имейли. Те също трябва да използват антивирусен софтуер, за да сканират устройствата си за злонамерен софтуер и да го поддържат актуален с най-новите вирусни дефиниции.

Също така е изключително важно редовно да архивирате основни данни и файлове на външно устройство или услуга за съхранение в облак. Това може да помогне на потребителите да възстановят данните си, в случай че бъдат криптирани от ransomware. Освен това потребителите трябва да създадат силни пароли и да активират двуфакторно удостоверяване, за да защитят своите акаунти.

Като цяло защитата срещу ransomware изисква комбинация от превантивни мерки, като актуализиране на софтуера, избягване на подозрителни връзки и прикачени файлове и използване на антивирусен софтуер, както и мерки за реагиране, като архивиране на основни данни и файлове. Предприемайки тези стъпки, потребителите могат значително да намалят риска да станат жертва на ransomware атака.

Съобщението за искане на откуп, представено в изскачащ прозорец, е:

„Всички ваши файлове са криптирани!

Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл ineedatool@rape.lol
Напишете този идентификатор в заглавието на вашето съобщение -
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.

Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 3 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)

Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.

Текстовият файл съдържа следното съобщение:

!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: ineedatool@rape.lol.'