Empire Ransomware

I processen med at undersøge potentielle malwaretrusler har cybersikkerhedsanalytikere identificeret en ransomware-variant ved navn Empire. Denne særlige stamme af ransomware anvender en metode til at gøre ofres filer utilgængelige ved at kryptere dem og derved begrænse deres adgang. Navnlig ændrer Empire filnavnene ved at tilføje '.emp'-udvidelsen til hver berørt fil. For eksempel bliver en fil, der oprindeligt hedder '1.png', transformeret til '1.png.emp' og '2.doc' bliver '2.doc.emp' og så videre.

Desuden efterlader Empire et særpræg ved at generere en fil med navnet 'HOW-TO-DECRYPT.txt.' Denne tekstfil tjener som en løsesumseddel, der giver instruktioner til offeret om, hvordan man fortsætter med dekrypteringsprocessen.

Empire Ransomware afpresser sine ofre ved at tage deres data som gidsler

Angriberne hævder at have krypteret alle filer sikkert på ofrets computer. De hævder, at gendannelsen af disse filer er betinget af at betale en løsesum for en dekryptering, som kun angriberne besidder. For at starte gendannelsesprocessen bliver ofre bedt om at erhverve dekrypteringsværktøjet ved at kontakte en Telegram-bot, som er tilgængelig via et medfølgende link.

I tilfælde af at Telegram-botten er utilgængelig, skitseres en alternativ kommunikationsmetode via e-mail (howtodecryptreserve@proton.me). Løsepengenotaen udsender en advarsel mod forsøg på uafhængig filgendannelse, hvilket understreger potentialet for uoprettelig skade. Ofre bliver yderligere advaret om ikke at slukke deres computere, før dekrypteringsprocessen er afsluttet, hvilket indikerer følsomheden af gendannelsesproceduren.

De, der er berørt af ransomware, frarådes kraftigt at bukke under for kravene fra trusselsaktører ved at foretage betalinger, da der ikke er nogen garanti for at modtage et dekrypteringsværktøj til gengæld. Desværre er dekryptering af filer uden involvering af cyberkriminelle sjældent mulig, medmindre der er iboende sårbarheder eller mangler i ransomwaren, eller hvis ofrene har adgang til upåvirkede sikkerhedskopier af data.

Det er afgørende, at hurtig fjernelse af ransomware fra operativsystemet understreges. Mens en computer forbliver inficeret, udgør ransomware risikoen for at forårsage yderligere krypteringer og har potentiale til at sprede sig over et lokalt netværk, hvilket forværrer virkningen af angrebet. Derfor er en hurtig og grundig reaktion for at eliminere ransomware bydende nødvendigt for at afbøde yderligere skade.

Sikre alle enheder mod potentielle malwareindtrængen

Sikring af enheder mod potentielle malware-indtrængen er grundlæggende for at holde følsomme oplysninger beskyttet og bevare systemernes integritet. Her er en omfattende guide til, hvordan brugere kan styrke sikkerheden på deres enheder:

• Installer pålidelig anti-malware-software : Vælg velrenommeret anti-malware-software fra pålidelige leverandører. Hold sikkerhedssoftwaren opdateret for at sikre, at den kan registrere og neutralisere de seneste trusler.
• Opdater regelmæssigt operativsystemer og software : Aktiver automatiske opdateringer til operativsystemer, applikationer og software. Regelmæssige opdateringer retter på sårbarheder, som malware ofte udnytter.
• Brug en firewall : Aktiver og konfigurer firewalls på netværksroutere og individuelle enheder. Firewalls fungerer som en barriere, der blokerer for uautoriseret adgang og potentiel malware.
• Udvis forsigtighed med e-mails : Undgå at få adgang til vedhæftede filer eller links fra ukendte eller mistænkelige kilder. Brug e-mail-filtreringsværktøjer til at opdage og sætte potentielt ondsindede e-mails i karantæne.
• Implementer sikker webbrowsing-praksis : Brug sikre og opdaterede webbrowsere. Installer browserudvidelser eller tilføjelser, der blokerer usikre scripts og annoncer.
• Uddan dig selv og tag sikker onlineadfærd i brug : Hold dig informeret om almindelige onlinetrusler og phishing-taktik. Vær forsigtig, når du besøger ukendte websteder, og undgå at downloade filer fra upålidelige kilder.
• Sikkerhedskopier data regelmæssigt : Sikkerhedskopier regelmæssigt vigtige data til en uafhængig enhed eller en sikker cloud-tjeneste. Sørg for, at sikkerhedskopier ikke er direkte tilgængelige fra netværket for at forhindre malware i at kompromittere dem.

Ved at integrere denne sikkerhedspraksis i deres rutine kan brugere skabe et robust forsvar mod potentielle malware-indtrængen, hvilket reducerer risikoen for at kompromittere deres enheder og data. Regelmæssig årvågenhed, uddannelse og proaktive foranstaltninger er nøglekomponenter i en omfattende sikkerhedsstrategi.

Løsesedlen, der blev droppet af Empire Ransomware, lyder:

'Empire welcomes you!

All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this link

hxxps://t.me/how_to_decrypt_bot

If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me

There you will receive an up-to-date contact for personal communication.

Forsøg ikke at gendanne filer selv, de kan gå i stykker, og vi vil ikke være i stand til at returnere dem, prøv også ikke at slukke din computer før dekryptering.
Dit ID er [-]'