SHTORM Ransomware

SHTORM е вид ransomware, който криптира файлове на заразени компютри и изисква плащане в замяна на ключ за дешифриране. Първите случаи на SHTORM бяха открити през 2019 г. и оттогава той е отговорен за множество атаки по целия свят. Рансъмуерът SHTORM принадлежи към фамилията заплахи Phobos Ransomware .

Как рансъмуерът SHTORM влиза в компютър

Рансъмуерът SHTORM обикновено се доставя чрез торент уебсайтове, компрометирани имейли, опасни реклами или уязвимости в софтуера на компютъра на жертвата. Веднъж инсталиран, той ще сканира компютъра за конкретни типове файлове за шифроване, като документи, изображения и архиви. Шифрованите файлове се преименуват с уникално разширение „.SHTORM“ и две бележки за откуп с имена info.hta и info.txt се оставят във всяка папка, която съдържа криптирани файлове.

Бележката за откуп, доставена от рансъмуера SHTORM

Бележката за откуп обикновено съдържа инструкции как да платите откупа, който обикновено се иска в биткойни или друга криптовалута. Той също така предоставя средства за връзка с нападателите, за да договорите таксата за откуп, в този случай адресите mjk20@tutanota.com (имейл), @Stop_24 (телеграма), Tox messenger.

Подобно на други видове ransomware, SHTORM може да причини значителни смущения и финансови загуби за фирми и физически лица. Ето защо е от съществено значение да се предприемат стъпки за предотвратяване на инфекция, като поддържане на софтуера актуален, използване на силни пароли и внимаване при отваряне на имейли и прикачени файлове от неизвестни податели. Освен това се препоръчва редовно да архивирате важни файлове и да ги съхранявате на сигурно място в случай на атака на ransomware.

Как да реагираме в случай на заразяване с рансъмуер SHTORM

Ако вашият компютър се зарази с SHTORM Ransomware, първата стъпка е незабавно да го прекъснете от интернет. Това ще предотврати по-нататъшното разпространение на инфекцията и ще спре криптирането на допълнителни данни. Трябва също така да стартирате сканиране срещу злонамерен софтуер на вашата система, за да откриете злонамерени файлове, които биха могли да бъдат използвани в атаката.

След като се уверите, че вашата система вече не е свързана с интернет, опитайте се да определите кои файлове са криптирани от SHTORM. Ако е възможно, архивирайте тези криптирани файлове на външно устройство за съхранение или услуга за съхранение в облак, така че да не ги загубите напълно, ако решите да не платите искането за откуп.

Никога не трябва да се опитвате да платите искане за откуп, тъй като няма гаранция, че ще получите ключ за дешифриране или дори ще отключите всичките си криптирани файлове след плащането. Вместо това се свържете с експерт по сигурността, който може да ви помогне да оцените ситуацията и да даде съвет как най-добре да продължите. Те може да успеят да възстановят вашите файлове, без да плащат откупа.

Следното е info.txt бележка за откуп, представена от SHTORM Ransomware на своите жертви:

„Всички ваши файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл mjk20@tutanota.com
Напишете този идентификатор в заглавието на вашето съобщение 9ECFA84E-3351
Ако не получите отговор до 24 часа, моля, свържете се с нас чрез акаунт в Telegram.org: @Stop_24
Или ни пишете на TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
Можете да изтеглите TOX messenger тук hxxps://tox.chat/
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.
Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 3 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.'

Съобщението за откуп info.hta гласи:

'!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: mjk20@tutanota.com.
Ако не отговорим до 24 часа, изпратете съобщение до telegram: @Stop_24
Или ни пишете на TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'