Поправете Ransomware

По време на своя анализ на потенциални заплахи от злонамерен софтуер, изследователите на киберсигурността се натъкнаха на злонамерена програма, известна като Repair. Тази програма функционира като рансъмуер, като криптира данни в заразените системи. При проникване Repair заключва многобройни файлове и променя оригиналните им файлови имена, като добавя разширение „.repair“. Например файл с име „1.png“ ще се появи като „1.png.repair“, а „2.pdf“ ще стане „2.pdf.repair“ и т.н.

След като процесът на криптиране приключи, Repair генерира HTML файл с име „How_to_back_files.html“ в компрометираната система. Този файл съдържа бележката за откуп от нападателите, която изисква плащане за дешифриране. Освен това Repair използва двойна тактика за изнудване, като заплашва жертвите с разкриването на техните данни. Този конкретен вариант на ransomware е свързан със семейството на MedusaLocker Ransomware .

Repair Ransomware изнудва жертвите, като взема данни за заложници

Бележката за откуп на Repair показва, че този конкретен рансъмуер е насочен предимно към бизнеса, а не към отделните домашни потребители. В бележката изрично се споменава, че файловете в мрежата на компанията са криптирани и чувствителни или лични данни са извлечени от нападателите. Той подчертава, че само киберпрестъпниците притежават способността да отключват криптираните файлове. Всякакви опити на жертвата да преименува, модифицира или ръчно дешифрира файловете са предупредени, тъй като те биха могли необратимо да повредят данните.

За да започнат процеса на дешифриране, жертвите трябва да платят откуп. Неспазването на това изискване може да доведе до изтичане или продажба на откраднатите данни от нападателите. Освен това сумата на откупа се увеличава, ако контактът с киберпрестъпниците не бъде иницииран в рамките на 72 часа. Преди да извършат плащането, на жертвите е разрешено да тестват дешифрирането на до три по-малко критични файла.

Експертите по информационна сигурност предупреждават, че дешифрирането без участието на нападателите обикновено е непрактично. Изключенията от това правило са редки и обикновено възникват в случаите, когато рансъмуерът е фундаментално дефектен.

Освен това няма гаранции, че киберпрестъпниците ще предоставят обещаните ключове за дешифриране или софтуер дори след получаване на плащане. Поради това силно се препоръчва да не се съгласявате с техните искания, тъй като това не само не гарантира възстановяване на файлове, но също така поддържа престъпни дейности.

Въпреки че премахването на Repair ransomware от операционната система предотвратява по-нататъшно криптиране на данни, то не възстановява файлове, които вече са били засегнати от ransomware.

Вземете мерки за защита на вашите данни и устройства от атаки на зловреден софтуер

Защитата на данните и устройствата от атаки на зловреден софтуер изисква многостранен подход, който включва както превантивни, така и мерки за реагиране. Ето някои ключови стъпки, които потребителите могат да предприемат:

• Поддържайте софтуера актуализиран : Редовно актуализирайте операционни системи, софтуерни приложения и антивирусни програми, за да коригирате уязвимостите и да се предпазите от известни злоупотреби. Много атаки на зловреден софтуер използват остарял софтуер.
• Използвайте силни пароли : Винаги използвайте уникални пароли за всички акаунти, включително имейл, социални медии и онлайн банкиране. Помислете за предимствата от използването на мениджър на пароли за генериране и безопасно съхраняване на силни пароли.
• Активиране на двуфакторно удостоверяване (2FA) : Внедрете 2FA, когато е възможно, за да увеличите максимално сигурността на акаунтите. Това гарантира, че дори ако паролата е компрометирана, е необходима допълнителна стъпка за проверка за достъп.
• Бъдете внимателни с имейлите : Бъдете внимателни с нежеланите имейли, особено тези, съдържащи прикачени файлове или връзки от неизвестни податели. Избягвайте да кликвате върху съмнителни връзки или да изтегляте прикачени файлове от имейли, които изглеждат подозрителни или неочаквани.
• Редовно архивиране на данни : Поддържайте редовно архивиране на необходимите файлове и други данни на външно устройство за съхранение или облачна услуга. Уверете се, че резервните копия се съхраняват сигурно и не са директно достъпни от мрежата, за да ги предотвратите от компрометиране при атака на злонамерен софтуер.
• Използвайте софтуер за сигурност : Инсталирайте и актуализирайте редовно реномиран софтуер против зловреден софтуер на всички устройства. Тези програми могат да откриват и премахват заплахи от зловреден софтуер, както и да осигуряват защита в реално време срещу нови заплахи.
• Прилагане на мерки за мрежова сигурност : Използвайте защитни стени, системи за откриване на проникване (IDS) и системи за предотвратяване на проникване (IPS), за да наблюдавате и филтрирате мрежовия трафик за подозрителна дейност. Сегментирайте мрежите, за да ограничите разпространението на зловреден софтуер в случай на пробив.
• Образовайте потребителите : Въведете програми за обучение и осведоменост, за да образовате потребителите относно рисковете от зловреден софтуер и как да идентифицират потенциални заплахи. Научете ги да разпознават фишинг имейли, подозрителни връзки и други обичайни тактики, използвани от киберпрестъпниците.
• Редовно сканиране за злонамерен софтуер : Провеждайте редовни сканирания за злонамерен софтуер на всички устройства, за да откриете и премахнете всеки опасен софтуер, който може да е преминал през първоначалните защити.

Като следват тези мерки, потребителите могат значително да подобрят сигурността на своите данни и устройства, намалявайки риска от трайни атаки на зловреден софтуер.

Бележката за откуп, генерирана от Repair Ransomware, гласи:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'