FORCE рансъмуер
По време на проверка на потенциални заплахи от злонамерен софтуер, изследователите откриха FORCE Ransomware. След като проникне в устройство, FORCE инициира криптиране на различни типове файлове, включващи изображения, документи, електронни таблици и др. Целта на нападателите е да държат криптираните данни като заложници и да принудят засегнатите жертви да платят за тяхното дешифриране. За да идентифицира жертвите и да установи комуникация, рансъмуерът добавя уникални идентификатори, имейл адреси на киберпрестъпниците и разширение „.FORCE“ към имената на криптираните файлове. Например, файл с първоначално име "1.png" ще бъде трансформиран в "1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE."
След завършване на процеса на криптиране системата показва идентични бележки за откуп в два формата: изскачащ прозорец („info.hta“) и текстов файл („info.txt“). Тези съобщения се появяват на работния плот и във всички директории, съдържащи криптирани файлове. Допълнителен анализ разкри, че FORCE принадлежи към фамилията Phobos Ransomware .
Съдържание
Рансъмуерът FORCE изнудва жертвите за пари
Бележките за откуп, издадени от FORCE, подчертават, че файловете на жертвата са били криптирани и че чувствителните данни са били компрометирани. Предполага се, че за да възвърне достъпа до своите файлове, жертвата е инструктирана да плати откуп, като използва само криптовалутата биткойн. Неспазването на изброените изисквания ще доведе до продажба на открадната информация. Преди да извърши каквото и да е плащане, на жертвата се дава възможност да тества процеса на декриптиране безплатно, макар и с определени ограничения.
Съобщенията предупреждават да не се променят криптираните файлове или да се използват инструменти за възстановяване на трети страни, тъй като подобни действия могат да направят данните невъзстановими. Освен това жертвата е предупредена, че търсенето на помощ от трети страни може да ескалира финансовите й загуби.
Рансъмуерът FORCE предприема мерки за предотвратяване на лесното възстановяване на заключени данни
Тази заплашителна програма, част от семейството на Phobos Ransomware, е известна със своя методичен подход към криптирането. За разлика от някои варианти на ransomware, които правят заразените машини напълно неработоспособни, злонамереният софтуер Phobos селективно насочва файлове за криптиране, като избягва критични системни файлове, за да гарантира, че системата остава функционална. Той криптира както локално съхранени файлове, така и тези, споделени по мрежи, и прекратява процесите, свързани с отворени файлове, за да предотврати изключения въз основа на файлове, които се „използват“, като програми за бази данни или четци на текстови файлове.
За да предотврати двойно криптиране, Phobos Ransomware поддържа списък за изключване на популярни програми за рансъмуер. Файловете, които вече са заключени от софтуера в този списък, остават незасегнати. Освен това Phobos изтрива Shadow Volume Copies, обичайна опция за възстановяване, за да осуети допълнително опитите за възстановяване на данни.
За да осигури устойчивост на пробитите устройства, зловредният софтуер се копира в пътя %LOCALAPPDATA% и се регистрира със специфични ключове за изпълнение, като гарантира, че автоматично стартира при всяко рестартиране на системата. Интересното е, че рансъмуерът Phobos може да се въздържа от атакуване на устройства въз основа на тяхното геолокация, особено тези в икономически слаби региони или геополитически обвързани държави.
Дешифрирането на данни, заключени от ransomware, без намесата на киберпрестъпници обикновено е невъзможно. Дори жертвите да се съобразят с исканията за откуп, няма гаранция, че ще получат обещаните ключове за дешифриране или софтуер. Следователно плащането на откупа не само не гарантира възстановяване на данни, но също така поддържа незаконни дейности.
Докато премахването на ransomware от операционната система предотвратява по-нататъшно криптиране, то не възстановява компрометирани файлове. Единственото надеждно решение е да възстановите файлове от архив, ако има такъв.
Не рискувайте с безопасността на вашите устройства и данни
Потребителите могат да подобрят защитата на своите данни и устройства срещу заплахи от ransomware чрез прилагане на многопластов подход към киберсигурността. Ето някои ефективни стратегии:
- Поддържайте софтуера актуализиран : Редовно актуализирайте операционни системи, софтуерни приложения и антивирусни програми, за да коригирате уязвимостите в сигурността и да се предпазите от известни злоупотреби. Активирайте автоматичните актуализации, когато е възможно.
- Инсталирайте надежден софтуер за сигурност : Използвайте уважаван софтуер против злонамерен софтуер, за да откриете и премахнете ransomware и други вредни заплахи. Уверете се, че антивирусният софтуер се актуализира често, за да разпознава най-новите заплахи.
- Проявете бдителност с прикачените файлове и връзки към имейли : Внимавайте с подозрителни имейли, особено тези от неизвестни податели или съдържащи неочаквани прикачени файлове или връзки. Опитайте се да не осъществявате достъп до връзки или да изтегляте прикачени файлове от нежелани имейли, тъй като те може да съдържат рансъмуер или друг зловреден софтуер.
- Редовно архивиране на данни : Настройте стабилна стратегия за архивиране, като редовно архивирате важни данни на външен твърд диск, услуга за съхранение в облак или устройство за мрежово съхранение (NAS). Уверете се, че резервните копия се съхраняват сигурно и не са директно достъпни от основната система, за да предотвратите криптирането им от ransomware.
- Използвайте силни, уникални пароли : Създавайте силни, сложни пароли за всички акаунти и не използвайте една и съща парола в няколко акаунта. Обмислете възможността да използвате уважаван мениджър на пароли за генериране и съхраняване на пароли по сигурен начин.
- Активиране на двуфакторно удостоверяване (2FA) : Активирайте двуфакторно удостоверяване, за да увеличите максимално сигурността на вашите акаунти. 2FA изисква потребителите да включват втора форма на потвърждение, като парола или код, изпратен до мобилното им устройство.
Чрез приемането на тези проактивни мерки потребителите могат да намалят възможностите да станат жертва на атаки на рансъмуер и да защитят значително по-добре своите данни и устройства.
Бележката за откуп, пусната от FORCE Ransomware, е:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
