FORCE Ransomware

Durant un examen de possibles amenaces de programari maliciós, els investigadors van descobrir el ransomware FORCE. Un cop s'infiltra en un dispositiu, FORCE inicia el xifratge en diversos tipus de fitxers, que inclouen imatges, documents, fulls de càlcul i molt més. L'objectiu dels atacants és mantenir com a ostatges les dades xifrades i coaccionar les víctimes afectades perquè paguin pel seu desxifrat. Per identificar les víctimes i establir la comunicació, el ransomware afegeix identificadors únics, adreces de correu electrònic dels ciberdelinqüents i una extensió ".FORCE" als noms dels fitxers xifrats. Per exemple, un fitxer anomenat inicialment '1.png' es transformaria en '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'

Un cop finalitzat el procés de xifratge, el sistema mostra notes de rescat idèntiques en dos formats: una finestra emergent ('info.hta') i un fitxer de text ('info.txt'). Aquests missatges apareixen a l'escriptori i dins de tots els directoris que contenen fitxers xifrats. Una anàlisi addicional va revelar que FORCE pertany a la família Phobos Ransomware .

El ransomware FORCE extorsiona les víctimes per diners

Les notes de rescat emeses per FORCE destaquen que els fitxers de la víctima s'han xifrat i que les dades sensibles s'han compromès. Per recuperar, suposadament, l'accés als seus fitxers, es demana a la víctima que pagui un rescat utilitzant només la criptomoneda Bitcoin. L'incompliment de les exigències enumerades donarà lloc a la venda de la informació robada. Abans de fer qualsevol pagament, la víctima té l'opció de provar el procés de desxifrat de forma gratuïta, encara que amb certes limitacions.

Els missatges adverteixen de no alterar els fitxers xifrats o utilitzar eines de recuperació de tercers, ja que aquestes accions poden fer que les dades siguin irrecuperables. A més, s'adverteix a la víctima que demanar ajuda a tercers podria augmentar les seves pèrdues econòmiques.

El ransomware FORCE pren mesures per evitar una fàcil recuperació de dades bloquejades

Aquest programa amenaçador, que forma part de la família Phobos Ransomware, és conegut pel seu enfocament metòdic del xifratge. A diferència d'algunes variants de ransomware que fan que les màquines infectades siguin completament inoperables, el programari maliciós Phobos s'orienta selectivament als fitxers per a l'encriptació, evitant els fitxers crítics del sistema per garantir que el sistema segueixi funcionant. Xifra tant els fitxers emmagatzemats localment com els compartits a través de xarxes i finalitza els processos associats als fitxers oberts per evitar exempcions basades en fitxers "en ús", com ara programes de bases de dades o lectors de fitxers de text.

Per evitar el doble xifratge, Phobos Ransomware manté una llista d'exclusió de programes populars de ransomware. Els fitxers ja bloquejats pel programari d'aquesta llista no es veuran afectats. A més, Phobos elimina les còpies de volum d'ombra, una opció de recuperació habitual, per frustrar encara més els intents de restauració de dades.

Per garantir la persistència dels dispositius violats, el programari maliciós es copia a la ruta %LOCALAPPDATA% i es registra amb claus d'execució específiques, assegurant-se que s'inicia automàticament amb cada reinici del sistema. Curiosament, el ransomware Phobos podria abstenir-se d'atacar dispositius en funció de la seva geolocalització, especialment aquells de regions econòmicament febles o països alineats geopolíticament.

Desxifrar les dades bloquejades per ransomware sense la intervenció dels ciberdelinqüents normalment és impossible. Fins i tot si les víctimes compleixen les demandes de rescat, no hi ha cap garantia que rebin les claus o el programari de desxifrat promesos. Per tant, pagar el rescat no només no garanteix la recuperació de dades, sinó que també perpetua activitats il·legals.

Tot i que l'eliminació del ransomware del sistema operatiu impedeix un xifrat addicional, no restaura els fitxers compromesos. L'única solució fiable és recuperar fitxers d'una còpia de seguretat si n'hi ha una disponible.

No arrisquis amb la seguretat dels teus dispositius i dades

Els usuaris poden millorar la defensa de les seves dades i dispositius contra les amenaces de ransomware mitjançant la implementació d'un enfocament de múltiples capes per a la ciberseguretat. Aquestes són algunes estratègies efectives:

• Mantenir el programari actualitzat : actualitzeu regularment els sistemes operatius, les aplicacions de programari i els programes antivirus per corregir les vulnerabilitats de seguretat i protegir-vos contra els exploits coneguts. Activa les actualitzacions automàtiques sempre que sigui possible.
• Instal·leu un programari de seguretat fiable : utilitzeu un programari anti-malware de confiança per detectar i eliminar el programari ransom i altres amenaces perjudicials. Assegureu-vos que el programari antivirus s'actualitza amb freqüència per reconèixer les últimes amenaces.
• Vigileu amb els enllaços i fitxers adjunts de correu electrònic : aneu amb compte amb els correus electrònics sospitosos, especialment els de remitents desconeguts o que contenen fitxers adjunts o enllaços inesperats. Intenteu no accedir als enllaços ni descarregar fitxers adjunts de correus electrònics no sol·licitats, ja que poden contenir programari de ransomware o altre programari maliciós.
• Còpia de seguretat de dades periòdicament : configureu una estratègia de còpia de seguretat sòlida fent còpies de seguretat regularment de dades importants en un disc dur extern, servei d'emmagatzematge al núvol o dispositiu d'emmagatzematge connectat a la xarxa (NAS). Assegureu-vos que les còpies de seguretat s'emmagatzemen de manera segura i que no siguin accessibles directament des del sistema principal per evitar que siguin xifrades pel ransomware.
• Utilitzeu contrasenyes úniques i fortes : creeu contrasenyes fortes i complexes per a tots els comptes i no utilitzeu la mateixa contrasenya en diversos comptes. Considereu la possibilitat d'utilitzar un gestor de contrasenyes de confiança per generar i emmagatzemar contrasenyes de manera segura.
• Habilita l'autenticació de dos factors (2FA) : habiliteu l'autenticació de dos factors per maximitzar la seguretat dels vostres comptes. La 2FA requereix que els usuaris incloguin una segona forma de verificació, com ara la seva contrasenya o un codi enviat al seu dispositiu mòbil.

En adoptar aquestes mesures proactives, els usuaris poden reduir les oportunitats de ser víctimes d'atacs de ransomware i protegir millor les seves dades i dispositius de manera significativa.

La nota de rescat enviada per FORCE Ransomware és:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'