Приятели рансъмуер

До Mezo през Ransomwareг

Превод на:

Защитата на устройствата от злонамерен софтуер е по-важна от всякога, тъй като съвременните кибер заплахи могат да криптират ценни данни, да нарушават бизнес операциите и да разкриват чувствителна информация. Ransomware-ът, по-специално, остава една от най-вредните форми на зловреден софтуер, защото комбинира криптиране на данни с тактики за изнудване, предназначени да принудят жертвите да плащат големи суми пари. Един забележителен пример е Friends Ransomware-ът, сложна заплаха, която е насочена към широк спектър от файлови типове, като същевременно използва кражба на данни, за да увеличи вероятността за плащане.

Съдържание

Приятели Ransomware: Киберзаплаха с двойно изнудване

Friends Ransomware е злонамерена програма, открита от изследователи по киберсигурност, която криптира файлове в компрометирани системи и изисква откуп в замяна на ключ за декриптиране. Освен криптирането на файлове, операторите зад тази заплаха твърдят, че крадат поверителна информация от жертвите, преди да заключат данните им. Тази тактика, известна като двойно изнудване, позволява на нападателите да заплашват както със загуба на данни, така и с публично разкриване на чувствителна информация.

След като бъде изпълнен в системата, Friends Ransomware сканира за множество типове файлове и ги криптира. По време на този процес, той добавя разширението „.friends124“ към засегнатите файлове. Например, файл с име „1.png“ се трансформира в „1.png.friends124“, докато „2.pdf“ става „2.pdf.friends124“. Това разширение служи като ясен индикатор, че файловете са били обработени от зловредния софтуер и вече не са достъпни по нормалния начин.

Процес на криптиране и искания за откуп

След завършване на процедурата по криптиране, рансъмуерът създава файл с име „RANSOM_NOTE.html“, съдържащ инструкции за жертвата. Бележката информира потребителите, че файловете им са криптирани и предоставя информация за контакт за започване на преговори за откуп. Жертвите са инструктирани да се свързват с нападателите чрез имейл адресите „recovery1@salamati.vip“ и „recovery1@amniyat.xyz“. Споменава се и алтернативен метод за контакт чрез мрежата Tor.

В съобщението за откуп се твърди, че поверителни и лични данни са събрани и съхранявани на частен сървър, контролиран от нападателите. Според съобщението, тази информация ще бъде публикувана или продадена на трети страни, ако жертвата откаже да се съобрази с изискванията за откуп. За да убедят жертвите, че възстановяването на файлове е възможно, престъпниците предлагат да декриптират два или три несъществени файла безплатно. В съобщението се предупреждава допълнително, че размерът на откупа ще се увеличи, ако не се установи контакт в рамките на 72 часа, и се съветва жертвите да създадат акаунт в ProtonMail, преди да комуникират.

Защо плащането на откупа е рисковано решение

Жертвите често обмислят плащането на откуп, когато критични файлове станат недостъпни. Плащането на киберпрестъпниците обаче не гарантира успешно възстановяване. Многобройни операции за рансъмуер са събирали плащания, без да предоставят функциониращи инструменти за декриптиране, или са предоставяли помощни програми, които не са успели да възстановят всички засегнати данни.

Дори когато нападателите предоставят инструмент за декриптиране, плащането подкрепя престъпна дейност и насърчава бъдещи атаки срещу други лица и организации. Поради тези причини, специалистите по киберсигурност силно обезкуражават плащането на искания за откуп. В повечето инциденти криптираните файлове не могат да бъдат възстановени без ключа за декриптиране на нападателите, освен ако рансъмуерът не съдържа значителни недостатъци в имплементацията, които изследователите могат да използват, за да разработят безплатен декриптор.

Възстановяване и реагиране при инциденти

Непосредственият приоритет след инфекция е премахването на Friends Ransomware от засегнатата система. Премахването на зловредния софтуер помага за предотвратяване на криптирането на допълнителни файлове и намалява риска от по-нататъшна злонамерена дейност. Самото премахване на зловредния софтуер обаче не възстановява вече криптирани данни.

Най-надеждният метод за възстановяване включва възстановяване на файлове от резервни копия, създадени преди заразяването. Резервните копия трябва да се съхраняват отделно от основната система, така че да останат недокоснати по време на атака. Ако резервните копия са свързани към една и съща мрежа или остават постоянно достъпни, ransomware може да се опита да ги криптира, оставяйки жертвите без опция за възстановяване.

Как се разпространява рансъмуерът Friends

Подобно на много семейства ransomware, Friends Ransomware разчита на множество канали за разпространение, за да достигне до потенциални жертви. Фишинг имейлите остават сред най-ефективните методи за доставка. Тези съобщения често съдържат злонамерени прикачени файлове или връзки, които инициират изтегляния на зловреден софтуер при отваряне. Нападателите обикновено използват документи, съдържащи злонамерени макроси, компресирани архиви, изпълними файлове, PDF файлове и JavaScript-базирани полезни данни.

Допълнителни вектори на инфекция включват троянски коне, които тихомълком инсталират ransomware, фалшиви механизми за актуализиране на софтуер, злонамерени реклами, компрометирани уебсайтове и файлове за изтегляне, получени от ненадеждни източници. Порталите за безплатен софтуер, peer-to-peer мрежите за споделяне на файлове и други неофициални платформи за разпространение често хостват злонамерени файлове, маскирани като легитимен софтуер. Заразените USB устройства също могат да улеснят разпространението на ransomware между системите.

Особено често срещан сценарий на инфекция включва софтуерни краквания и пиратски инструменти за активиране. Киберпрестъпниците често маскират зловредния софтуер като безплатни алтернативи на платения софтуер, експлоатирайки потребители, които са склонни да заобиколят официалните канали за разпространение. Веднъж изпълнени, тези на пръв поглед безобидни програми могат да инсталират ransomware без предупреждение.

Засилване на защитата срещу ransomware

Ефективната защита срещу ransomware изисква многопластова стратегия за сигурност, която съчетава технически предпазни мерки с безопасно потребителско поведение. Организациите и отделните лица трябва да поддържат надежден софтуер за сигурност, да гарантират, че операционните системи и приложенията получават редовни актуализации и да деактивират ненужните функции, които биха могли да бъдат злоупотребени от нападателите. Прикачените към имейли файлове и връзките от неизвестни или неочаквани източници винаги трябва да се третират с повишено внимание, дори когато изглеждат легитимни.

Редовните резервни копия на данни са сред най-важните защитни мерки. Поддържането на множество резервни копия на отделни места, като например офлайн външни устройства и сигурни решения за отдалечено съхранение, значително подобрява перспективите за възстановяване след атака. Тестването на резервните копия също трябва да се извършва периодично, за да се потвърди, че данните могат да бъдат възстановени успешно, когато е необходимо.

Ключовите практики за сигурност включват:

Поддържайте операционните системи, браузърите и приложенията напълно актуализирани с най-новите корекции за сигурност.
Използвайте надежден софтуер за защита на крайни точки с възможности за откриване на заплахи в реално време.
Поддържайте множество резервни копия, включително поне едно офлайн или по друг начин изолирано копие.
Избягвайте да отваряте непоискани прикачени файлове към имейли или да кликвате върху подозрителни връзки.
Изтегляйте софтуер само от официални и надеждни източници.
Въздържайте се от използване на пиратски софтуер, кракнати програми или неоторизирани инструменти за активиране.
Ограничавайте администраторските права, когато е възможно.
Обучете потребителите за фишинг тактики и атаки чрез социално инженерство.

Окончателна оценка

Рансъмуер вирусът „Friends“ представлява сериозна киберсигурностна заплаха, която съчетава криптиране на файлове с кражба на данни и изнудване. Чрез добавяне на разширението „.friends124“ към файловете, публикуване на бележка за откуп, озаглавена „RANSOM_NOTE.html“, и заплаха за разкриване на открадната информация, операторите му се опитват да увеличат максимално натиска върху жертвите. Въпреки че възможностите за възстановяване често са ограничени без надеждни резервни копия, силните практики за киберсигурност, редовните резервни копия, навременните актуализации на софтуера и предпазливото онлайн поведение могат значително да намалят вероятността от успешна атака с рансъмуер и да сведат до минимум въздействието в случай на инфекция.

System Messages

The following system messages may be associated with Приятели рансъмуер:

Your files have been encrypted.

Key ID: [Key ID]

Contact us for price and get decryption software.

No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.

If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

[Tor website address]

email:

recovery1@salamati.vip
recovery1@amniyat.xyz

* To contact us, create a new free email account on the site: protonmail.com

IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Процесорът за плащане на EnigmaSoft Digital River GmbH Подаването на молба за несъстоятелност не оказва влияние върху защитата на клиентите на SpyHunter срещу зловреден софтуер

Търсене

Промяна на региона