SWIFT рансъмуер

Изследователите са открили нова заплаха за рансъмуер, наречена SWIFT Ransomware, която представлява значителен риск за сигурността на данните на жертвите. Този заплашителен софтуер използва стабилен алгоритъм за криптиране, което прави широк набор от файлове напълно недостъпен. Трябва да се отбележи, че рансъмуерът SWIFT надхвърля обикновеното криптиране, тъй като активно променя имената на засегнатите файлове, променя тапета на работния плот на компрометираната система и генерира бележка за откуп, озаглавена „#SWIFT-Help.txt“.

Процесът на преименуване на файла включва добавяне на имейл адрес „swift_1@tutamail.com“ и a. Разширение „SWIFT“ към оригиналните имена на файлове. Например, файл с първоначално име „1.png“ ще бъде трансформиран в „1.png.[swift_1@tutamail.com].SWIFT,“ и по подобен начин „2.pdf“ ще стане „2.pdf.[swift_1@ tutamail.com].SWIFT“ и т.н. Тази стратегия служи за идентифициране на файловете, които са станали жертва на ransomware атака.

По-нататъшно разследване от изследователи потвърди, че рансъмуерът SWIFT е вариант, свързан със семейството на зловреден софтуер Proton .

Рансъмуерът SWIFT изнудва жертвите си за пари

Бележката за откуп, изготвена от SWIFT Ransomware, започва с представяне на ужасната ситуация, обяснявайки, че извършителите са използвали усъвършенствани алгоритми за криптиране, по-специално AES и ECC, за да криптират и откраднат всички файлове на жертвата. Използването на тези алгоритми се подчертава като правещо възстановяването на файлове без услугата за дешифриране, предлагана от нападателите, практически невъзможно.

След това бележката очертава стъпките, необходими за възстановяване, като набляга на финансовите мотиви на нападателите. Киберпрестъпниците предлагат транзакция, при която жертвата може да получи софтуер за декриптиране и да гарантира унищожаването на данните чрез плащане. За да се установи достоверност, групата предлага да се изпрати малък, маловажен файл (по-малко от 1 MB) за дешифриране като демонстрация на способността им да изпълнят обещанията си.

Предоставени са данни за контакт за комуникация, включително имейл адрес (swift_1@tutamail.com) и Telegram ID (@swift_support). Предлага се алтернативен имейл адрес (swift@onionmail.com) в случай на липса на отговор в рамките на 24 часа. Жертвата е инструктирана да включи своята идентификация в темата на имейла за целите на идентификацията.

Бележката завършва със строги предупреждения да не се търси помощ от компании за възстановяване на данни, като се предупреждава, че такива организации могат да използват ситуацията за финансова печалба. Освен това, жертвата е силно посъветвана да не забавя плащането и се предупреждава да не изтрива или модифицира криптирани файлове, за да избегне потенциални усложнения по време на процеса на дешифриране.

Подчертава се, че плащането на откуп е силно обезкуражено, тъй като не само поддържа престъпното поведение, но и не гарантира успешното възстановяване на данни. Жертвите са призовани да проучат алтернативни методи за справяне с атаки на ransomware, които не включват отстъпване пред изискванията на нападателите.

Как да защитите вашите данни и устройства от заплахи от рансъмуер?

За да защитят своите данни и устройства от заплахи за ransomware, потребителите трябва да възприемат цялостен подход към киберсигурността. Ето пет основни мерки за сигурност, които трябва да бъдат приложени на всички устройства:

Редовно архивиране : Уверете се, че се извършва редовно архивиране на критични данни. Архивите трябва да се съхраняват в изолирана среда, като външен твърд диск или защитена облачна услуга.

Автоматизирайте процеса на архивиране, когато е възможно, за да намалите вероятността да забравите да архивирате критична информация.

Актуален софтуер и корекции за сигурност :

1. Поддържайте софтуера на операционната система актуализиран с най-новите корекции за сигурност.
2. Инсталирайте редовно актуализации за справяне с уязвимостите, които киберпрестъпниците могат да използват.
3. Активирайте автоматичните актуализации, за да сте сигурни, че корекциите за сигурност се прилагат своевременно.

Използвайте надеждни решения за защита от зловреден софтуер :

1. Инсталирайте реномиран софтуер против зловреден софтуер на всички устройства.
2. Уверете се, че софтуерът за сигурност се актуализира редовно, за да открива и защитава срещу развиващи се заплахи за ransomware.
3. Извършвайте редовни сканирания, за да идентифицирате и елиминирате потенциален зловреден софтуер на устройството.

Бъдете внимателни с използването на имейл и интернет : Бъдете внимателни с фишинг имейли и неизвестни прикачени файлове. Избягвайте да кликвате върху съмнителни връзки или да изтегляте файлове от непроверени източници.

Използвайте инструменти за филтриране на имейли, за да откриете и филтрирате потенциално опасни имейли. Информирайте себе си и екипа си за признаците на опити за фишинг.

Внедрете обучение и осведоменост на потребителите : Обучете потребителите относно рисковете, свързани с ransomware и значението на хигиената на киберсигурността. Насърчавайте практики за надеждни пароли, включително използването на уникални пароли и двуфакторно удостоверяване (2FA), където е възможно.

Насърчавайте култура на скептицизъм, при която потребителите проверяват легитимността на исканията за чувствителна информация или неочаквани изтегляния на файлове.

Чрез включването на тези мерки за сигурност в техните рутинни практики, потребителите могат значително да подобрят защитата си срещу заплахи от ransomware. Многопластовият подход, който съчетава редовно архивиране, софтуерни актуализации, стабилни решения за сигурност, предпазливо онлайн поведение и обучение на потребителите, може заедно да създаде силна защита срещу развиващия се пейзаж от кибернетични заплахи.

Бележката за откуп, пусната от SWIFT Ransomware, гласи:

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

Съобщението, доставено от SWIFT Ransomware като фоново изображение на работния плот, е:

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'