Цял рансъмуер

Изследователите са открили нова заплаха за ransomware, наречена „Whole“. Този вреден софтуер е предназначен да криптира данни в заразени системи и след това да изисква откуп от собственика на компютъра в замяна на ключа за дешифриране. За да извърши разрушителната си операция, Whole Ransomware заключва различни типове файлове и добавя към имената на всеки файл разширение „.whole“. Например, ако даден файл е бил първоначално наречен „1.jpg“, след криптирането, той ще бъде преименуван на „1.jpg.whole“. Този процес на преименуване засяга всички типове файлове, като изображения, документи и други.

В допълнение към шифроването на файлове, Whole Ransomware също променя тапета на работния плот на заразената система, което показва ясно, че системата е била компрометирана. Освен това рансъмуерът създава бележка за откуп със заглавие „README-ID-[victim's_ID].txt“ на нарушеното устройство. Съдържанието на тази бележка служи като съобщение до жертвата, предоставяйки инструкции как да плати искания откуп и да получи ключа за дешифриране.

Бележката за откуп и други улики предполагат, че този конкретен рансъмуер е насочен предимно към компании и организации, а не към отделни домашни потребители. Това показва по-високо ниво на сложност и вероятно по-значителни искания за откуп. Струва си да се отбележи, че изглежда, че Whole Ransomware споделя прилики с Keylock Ransomware , което предполага потенциална връзка или родословие между двете заплахи.

Целият Ransomware блокира жертвите от достъп до техните собствени данни

Съобщението, показано на тапета на работния плот от Whole Ransomware, предоставя инструкции на жертвата, като ги насочва да прочетат придружаващия текстов файл с етикет „README-ID-[victim's_ID].txt.“ Тази бележка за откуп служи като важна комуникация от нападателите, разкривайки, че файловете на жертвата са криптирани и сега са недостъпни. Той също така посочва, че уникалният ключ за дешифриране, необходим за възстановяване на криптираните данни, се съхранява сигурно на сървърите на нападателите.

На жертвите се предоставя опция за безплатно тестване на процеса на дешифриране. Това може да стане чрез изпращане на няколко криптирани файла до киберпрестъпниците, при спазване на определени спецификации. Важно предупреждение е, че ако жертвата не успее да започне комуникация с нападателите в рамките на 72-часов прозорец, техните чувствителни бизнес данни са застрашени от излагане чрез изтичане или продажба.

Съобщението с искане на откуп завършва с няколко предупреждения. Жертвата се предупреждава, че всякакви опити за преименуване или по друг начин модифициране на засегнатите файлове, както и използването на инструменти за възстановяване на данни или софтуер за сигурност на трети страни, може да направят данните неразшифровани. Той подчертава, че декриптирането обикновено изисква прякото участие на киберпрестъпниците, само с редки изключения в случаи на сериозно дефектен ransomware.

Трябва да се отбележи, че жертвите често не получават обещаните ключове или инструменти за дешифриране, дори след като са изпълнили исканията за откуп и са извършили плащания. В резултат на това силно се препоръчва да не се поддава на исканията на престъпниците, тъй като възстановяването на данни остава несигурно и плащането на откупа служи за продължаване на тази незаконна дейност.

Важни мерки за сигурност, които да приложите на вашите устройства

Защитата на вашите устройства срещу проникване на зловреден софтуер е ключов аспект от поддържането на киберсигурността. Ето пет важни мерки за сигурност, като една от тях е създаването на редовно архивиране на вашите данни:

Създаване на редовни резервни копия на данни :

Редовното архивиране на данни е от съществено значение. В случай на атака на злонамерен софтуер, наличието на актуализирани резервни копия гарантира, че можете да възстановите информацията си, без да плащате откуп или да страдате от постоянна загуба на данни. Редовно архивирайте вашите данни на външни устройства, облачно хранилище или мрежово хранилище (NAS). Автоматизирайте този процес, ако е възможно, и проверете целостта на вашите архиви.

Инсталиране и актуализиране на софтуер за сигурност :

Инсталирайте надежден софтуер против зловреден софтуер и го поддържайте актуален. Програмите за сигурност могат да откриват и премахват известен злонамерен софтуер, осигурявайки решаващо ниво на защита срещу заплахи. Уверете се, че вашият антивирусен софтуер автоматично актуализира дефинициите си за вируси, за да предпазва от нови варианти на зловреден софтуер.

Редовни софтуерни актуализации и управление на корекции :

Поддържайте актуални операционната система, софтуерните приложения и фърмуера на вашето устройство. Зловреден софтуер често използва уязвимости в остарелия софтуер. Редовно прилагайте корекции за сигурност и актуализации, за да затворите тези уязвимости, намалявайки риска от проникване на зловреден софтуер.

Защита на защитната стена :

Активирайте и конфигурирайте защитна стена на вашето устройство. Защитните стени функционират като бариера между вашето устройство и интернет, като помагат за блокиране на неоторизиран достъп и потенциално злонамерени данни. Използвайте мрежови и базирани на хост защитни стени, за да подобрите сигурността си и обмислете използването на системи за откриване и предотвратяване на проникване за разширена защита.

Практики за безопасен интернет и имейл :

Бъдете внимателни, когато сърфирате в интернет и работите с имейли. Избягвайте да взаимодействате с подозрителни връзки или да изтегляте имейл прикачени файлове от неизвестни или непроверени източници. Бъдете наясно с опитите за фишинг и се въздържайте от предоставяне на лична информация или кликване върху подозрителни изскачащи реклами. Използвайте инструменти за филтриране на имейли, за да идентифицирате и блокирате потенциално опасни съобщения.

Включването на тези мерки за сигурност в използването на вашето устройство значително ще намали риска от проникване на зловреден софтуер. Редовното архивиране на данни е особено важно, защото те осигуряват предпазна мрежа в случай, че злонамереният софтуер наруши вашата защита. Като поддържате проактивен и многопластов подход за сигурност, можете по-добре да защитите вашите устройства и данни от злонамерени заплахи.

Пълният текст на бележката за откуп, създадена от Whole Ransomware, е:

'YOUR FILES ARE ENCRYPTED

-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:

pmmx@techmail.info

wholekey@mailfence.com -
IMPORTANT!

We recommend you contact us directly to avoid overpaying agents.

We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.

Our message may be recognized as spam, so be sure to check the spam folder.

If we do not respond to you within 24 hours, write to us from another email address.

Моля, не губете време, това ще доведе само до допълнителни щети за вашата компания.

Моля, не преименувайте и се опитвайте сами да дешифрирате файловете. Няма да можем да ви помогнем, ако файловете бъдат променени.

Ако се опитате да използвате софтуер на трета страна за възстановяване на вашите данни или антивирусни решения, моля, направете резервно копие за всички криптирани файлове.

Ако изтриете шифровани файлове от текущия компютър, може да не успеете да ги дешифрирате.

Фоновото изображение на работния плот на Whole Ransomware съдържа следното съобщение:

Всички ваши файлове са откраднати и криптирани!
Намерете README-ID-.txt и следвайте инструкциите.'