Multi-License Discount Quote
Βάση δεδομένων απειλών Ransomware FORCE Ransomware

FORCE Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:
Ελληνικά

Κατά τη διάρκεια μιας εξέτασης πιθανών απειλών κακόβουλου λογισμικού, οι ερευνητές αποκάλυψαν το FORCE Ransomware. Μόλις διεισδύσει σε μια συσκευή, το FORCE ξεκινά την κρυπτογράφηση σε διάφορους τύπους αρχείων, περιλαμβάνοντας εικόνες, έγγραφα, υπολογιστικά φύλλα και άλλα. Ο στόχος των εισβολέων είναι να κρατήσουν όμηρα τα κρυπτογραφημένα δεδομένα και να εξαναγκάσουν τα θύματα που επηρεάζονται να πληρώσουν για την αποκρυπτογράφηση τους. Για τον εντοπισμό των θυμάτων και τη δημιουργία επικοινωνίας, το ransomware προσαρτά μοναδικά αναγνωριστικά, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση «.FORCE» στα ονόματα αρχείων των κρυπτογραφημένων αρχείων. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.png" θα μετατραπεί σε "1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE."

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το σύστημα εμφανίζει πανομοιότυπες σημειώσεις λύτρων σε δύο μορφές: ένα αναδυόμενο παράθυρο ('info.hta') και ένα αρχείο κειμένου ('info.txt'). Αυτά τα μηνύματα εμφανίζονται στην επιφάνεια εργασίας και σε όλους τους καταλόγους που περιέχουν κρυπτογραφημένα αρχεία. Περαιτέρω ανάλυση αποκάλυψε ότι το FORCE ανήκει στην οικογένεια Phobos Ransomware .

Το FORCE Ransomware εκβιάζει θύματα για χρήματα

Τα σημειώματα λύτρων που εξέδωσε η FORCE τονίζουν ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και ότι τα ευαίσθητα δεδομένα έχουν παραβιαστεί. Για να ανακτήσει υποτιθέμενη πρόσβαση στα αρχεία του, το θύμα λαμβάνει εντολή να πληρώσει λύτρα χρησιμοποιώντας μόνο το κρυπτονόμισμα Bitcoin. Η μη συμμόρφωση με τις αναφερόμενες απαιτήσεις θα έχει ως αποτέλεσμα την πώληση των κλεμμένων πληροφοριών. Πριν πραγματοποιήσει οποιεσδήποτε πληρωμές, δίνεται στο θύμα η επιλογή να δοκιμάσει τη διαδικασία αποκρυπτογράφησης δωρεάν, αν και με ορισμένους περιορισμούς.

Τα μηνύματα προειδοποιούν για την τροποποίηση των κρυπτογραφημένων αρχείων ή τη χρήση εργαλείων ανάκτησης τρίτων, καθώς τέτοιες ενέργειες μπορεί να καταστήσουν τα δεδομένα μη ανακτήσιμα. Επιπλέον, το θύμα προειδοποιείται ότι η αναζήτηση βοήθειας από τρίτους θα μπορούσε να κλιμακώσει τις οικονομικές του ζημίες.

Το FORCE Ransomware λαμβάνει μέτρα για να αποτρέψει την εύκολη ανάκτηση κλειδωμένων δεδομένων

Αυτό το απειλητικό πρόγραμμα, μέρος της οικογένειας Phobos Ransomware, είναι γνωστό για τη μεθοδική του προσέγγιση στην κρυπτογράφηση. Σε αντίθεση με ορισμένες παραλλαγές ransomware που καθιστούν τα μολυσμένα μηχανήματα εντελώς μη λειτουργικά, το κακόβουλο λογισμικό Phobos στοχεύει επιλεκτικά αρχεία για κρυπτογράφηση, αποφεύγοντας κρίσιμα αρχεία συστήματος για να διασφαλίσει ότι το σύστημα παραμένει λειτουργικό. Κρυπτογραφεί τόσο τα τοπικά αποθηκευμένα αρχεία όσο και αυτά που μοιράζονται μέσω δικτύων και τερματίζει τις διαδικασίες που σχετίζονται με ανοιχτά αρχεία για να αποτρέψει εξαιρέσεις που βασίζονται σε αρχεία που «χρησιμοποιούνται», όπως προγράμματα βάσης δεδομένων ή προγράμματα ανάγνωσης αρχείων κειμένου.

Για να αποφευχθεί η διπλή κρυπτογράφηση, το Phobos Ransomware διατηρεί μια λίστα εξαιρέσεων με δημοφιλή προγράμματα ransomware. Τα αρχεία που είναι ήδη κλειδωμένα από λογισμικό σε αυτήν τη λίστα παραμένουν ανεπηρέαστα. Επιπλέον, το Phobos διαγράφει το Shadow Volume Copies, μια κοινή επιλογή ανάκτησης, για να αποτρέψει περαιτέρω τις προσπάθειες επαναφοράς δεδομένων.

Για να διασφαλιστεί η επιμονή στις συσκευές που έχουν παραβιαστεί, το κακόβουλο λογισμικό αντιγράφεται στη διαδρομή %LOCALAPPDATA% και εγγράφεται με συγκεκριμένα κλειδιά Εκτέλεσης, διασφαλίζοντας ότι ξεκινά αυτόματα με κάθε επανεκκίνηση του συστήματος. Είναι ενδιαφέρον ότι το ransomware Phobos ενδέχεται να απέχει από την επίθεση σε συσκευές με βάση τη γεωγραφική τους τοποθεσία, ιδιαίτερα σε αυτές που βρίσκονται σε οικονομικά αδύναμες περιοχές ή γεωπολιτικά ευθυγραμμισμένες χώρες.

Η αποκρυπτογράφηση δεδομένων που κλειδώνονται από ransomware χωρίς την παρέμβαση εγκληματιών του κυβερνοχώρου είναι συνήθως αδύνατη. Ακόμα κι αν τα θύματα συμμορφωθούν με τις απαιτήσεις για λύτρα, δεν υπάρχει καμία εγγύηση ότι θα λάβουν τα κλειδιά ή το λογισμικό αποκρυπτογράφησης που υποσχέθηκαν. Ως εκ τούτου, η πληρωμή των λύτρων όχι μόνο δεν εγγυάται την ανάκτηση δεδομένων αλλά και διαιωνίζει παράνομες δραστηριότητες.

Ενώ η κατάργηση ransomware από το λειτουργικό σύστημα αποτρέπει την περαιτέρω κρυπτογράφηση, δεν επαναφέρει τα παραβιασμένα αρχεία. Η μόνη αξιόπιστη λύση είναι η ανάκτηση αρχείων από ένα αντίγραφο ασφαλείας εάν υπάρχει διαθέσιμο.

Μην ρισκάρετε με την ασφάλεια των συσκευών και των δεδομένων σας

Οι χρήστες μπορούν να ενισχύσουν την άμυνα των δεδομένων και των συσκευών τους έναντι απειλών ransomware εφαρμόζοντας μια πολυεπίπεδη προσέγγιση για την ασφάλεια στον κυβερνοχώρο. Ακολουθούν μερικές αποτελεσματικές στρατηγικές:

  • Διατήρηση ενημερωμένου λογισμικού : Ενημερώνετε τακτικά λειτουργικά συστήματα, εφαρμογές λογισμικού και προγράμματα προστασίας από ιούς για να επιδιορθώσετε τα τρωτά σημεία ασφαλείας και να προστατεύσετε από γνωστά exploit. Ενεργοποιήστε τις αυτόματες ενημερώσεις όποτε είναι δυνατόν.
  • Εγκαταστήστε το Trustworthy Security Software : Χρησιμοποιήστε αξιόπιστο λογισμικό προστασίας από κακόβουλο λογισμικό για να εντοπίσετε και να αφαιρέσετε ransomware και άλλες επιβλαβείς απειλές. Βεβαιωθείτε ότι το λογισμικό προστασίας από ιούς ενημερώνεται συχνά για να αναγνωρίζει τις πιο πρόσφατες απειλές.
  • Επαγρύπνηση με συνημμένα email και συνδέσμους : Να είστε προσεκτικοί με ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, ειδικά αυτά από άγνωστους αποστολείς ή που περιέχουν απροσδόκητα συνημμένα ή συνδέσμους. Προσπαθήστε να μην έχετε πρόσβαση σε συνδέσμους ή να μην κάνετε λήψη συνημμένων από ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, καθώς ενδέχεται να περιέχουν ransomware ή άλλο κακόβουλο λογισμικό.
  • Δημιουργία αντιγράφων ασφαλείας δεδομένων τακτικά : Ρυθμίστε μια ισχυρή στρατηγική δημιουργίας αντιγράφων ασφαλείας, δημιουργώντας τακτικά αντίγραφα ασφαλείας σημαντικών δεδομένων σε έναν εξωτερικό σκληρό δίσκο, υπηρεσία αποθήκευσης cloud ή συσκευή αποθήκευσης συνδεδεμένης με το δίκτυο (NAS). Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας αποθηκεύονται με ασφάλεια και δεν είναι άμεσα προσβάσιμα από το πρωτεύον σύστημα για να αποτρέψετε την κρυπτογράφηση τους από ransomware.
  • Χρήση ισχυρών, μοναδικών κωδικών πρόσβασης : Δημιουργήστε ισχυρούς, σύνθετους κωδικούς πρόσβασης για όλους τους λογαριασμούς και μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς. Εξετάστε τη δυνατότητα χρήσης ενός αξιόπιστου διαχειριστή κωδικών πρόσβασης για τη δημιουργία και αποθήκευση κωδικών πρόσβασης με ασφάλεια.
  • Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA) : Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων για να μεγιστοποιήσετε την ασφάλεια των λογαριασμών σας. Το 2FA απαιτεί από τους χρήστες να συμπεριλάβουν μια δεύτερη μορφή επαλήθευσης, όπως τον κωδικό πρόσβασής τους ή έναν κωδικό που αποστέλλεται στην κινητή συσκευή τους.
  • Εκπαίδευση χρηστών : Εκπαιδεύστε τον εαυτό σας και τους άλλους σχετικά με τους κινδύνους του ransomware και πώς να αναγνωρίζετε και να αποφεύγετε πιθανές απειλές. Εκπαιδεύστε τους υπαλλήλους σε αποτελεσματικές πρακτικές για την ασφάλεια στον κυβερνοχώρο, συμπεριλαμβανομένου του πώς να αναγνωρίζουν εκ νέου τα μηνύματα ηλεκτρονικού ψαρέματος και τους ύποπτους ιστότοπους.
  • Περιορίστε τα δικαιώματα χρήστη : Περιορίστε τα δικαιώματα χρήστη μόνο σε ό,τι είναι απαραίτητο για τη λειτουργία της εργασίας τους. Ο περιορισμός των αδειών των χρηστών μπορεί να βοηθήσει στην αποτροπή της πλευρικής εξάπλωσης του ransomware στα δίκτυα και της πρόσβασης σε ευαίσθητα δεδομένα.

    • Υιοθετώντας αυτά τα προληπτικά μέτρα, οι χρήστες μπορούν να μειώσουν τις ευκαιρίες να πέσουν θύματα επιθέσεων ransomware και να προστατεύσουν καλύτερα τα δεδομένα και τις συσκευές τους σημαντικά.

    Το σημείωμα λύτρων που κυκλοφόρησε από το FORCE Ransomware είναι:

    'Your files are encrypted.

    AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
    Write to e-mail: data199@mailum.com
    Write this ID in the title of your message -
    Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
    You can download TOX messenger here hxxps://tox.chat/
    Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

    Free decryption as guarantee
    Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
    I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

    How to obtain Bitcoins
    Contact me and I will give you instructions on how to purchase bitcoins.

    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
    The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'

    σχετικές αναρτήσεις

    Τάσεις

    Περισσότερες εμφανίσεις

    Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

    Phishing, Spam
    37,199
    Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
    Φόρτωση...