APT14CHIR Ransomware

محققان امنیت سایبری APT14CHIR را به عنوان یک تهدید باج افزار طبقه بندی می کنند. وظیفه اصلی آن رمزگذاری فایل‌ها است که باعث می‌شود صاحبان آن‌ها از دسترس خارج شوند. علاوه بر این، APT14CHIR همچنین نام فایل‌هایی را که رمزگذاری می‌کند، با جایگزین کردن نام فایل‌های اصلی آن‌ها با دنباله‌ای از کاراکترهای تصادفی و اضافه کردن پسوند «.APT14CHIR» تغییر می‌دهد.

به عنوان مثال، باج افزار APT14CHIR ممکن است نام فایلی مانند '1.png' را به '46bHrwLR0CmRGarY.APT14CHIR' تغییر دهد، در حالی که '2.doc' را می توان به 'qoMCVWgi0Vm27mcu.APT14CHIR' تغییر نام داد. علاوه بر این، APT14CHIR یک پیام باج در قالب یک فایل متنی به نام "PLEASE READ.txt" ایجاد می کند تا به قربانیان اطلاع دهد که فایل های آنها رمزگذاری شده است و دستورالعمل هایی در مورد نحوه پرداخت باج برای دریافت کلید رمزگشایی ارائه می دهد.

باج افزار APT14CHIR فهرستی از خواسته ها را برای قربانیان به جا می گذارد

یادداشت باج به جا مانده از مهاجمان به وضوح بیان می‌کند که فایل‌های مهم قربانی با ترکیبی از الگوریتم‌های رمزگذاری AES و RSA کاملاً رمزگذاری شده‌اند و مالک واقعی آن‌ها را غیرقابل دسترسی می‌کند. این یادداشت همچنین به قربانیان هشدار می‌دهد که سعی نکنند فایل‌ها را با استفاده از نرم‌افزار شخص ثالث بازیابی کنند، زیرا این امر می‌تواند منجر به از دست رفتن دائمی داده‌ها یا اصلاح بیشتر فایل‌های رمزگذاری شده شود.

علاوه بر این، یادداشت در ادامه ادعا می‌کند که مهاجمان تنها کسانی هستند که می‌توانند مشکل را حل کنند و هیچ ابزار رمزگشایی آنلاین برای کمک به این فرآیند وجود ندارد. این قربانیان را در موقعیت دشواری قرار می دهد، جایی که آنها باید به تمایل مهاجمان برای ارائه کلید رمزگشایی در ازای پرداخت باج تکیه کنند.

این یادداشت همچنین تاکید می‌کند که مهاجمان تمام اطلاعات بسیار محرمانه و شخصی قربانی و همچنین یک کپی از سرورهای اصلی خود را در یک مکان ذخیره‌سازی خصوصی آپلود کرده‌اند. مهاجمان تهدید می کنند که این داده ها را تنها پس از دریافت مبلغ باج درخواستی از بین خواهند برد. با این حال، اگر قربانی تصمیم بگیرد که باج را پرداخت نکند، مجرمان سایبری تهدید می کنند که داده ها را عمومی می کنند، که می تواند برای شهرت قربانی فاجعه بار باشد.

مهاجمان ادعا می کنند که آنها فقط پول می خواهند و قصد آسیب رساندن به شهرت یا تجارت قربانی را ندارند. برای به دست آوردن اطلاعات بیشتر در مورد اقدامات لازم برای رمزگشایی فایل‌ها، از قربانی خواسته می‌شود از طریق آدرس‌های ایمیل «martin_catch_ithelp@tutanota.com» و «martin_catch_ithelp@proton.me» یا از طریق پیام‌رسان qTox با مجرمان تماس بگیرد.

چگونه کاربران می توانند آسیب حملات ناشی از تهدیداتی مانند باج افزار APT14CHIR را کاهش دهند؟

حملات باج افزار به طور فزاینده ای رایج می شوند و تأثیر آنها می تواند ویرانگر باشد. با این حال، اقدامات متعددی وجود دارد که کاربران می توانند برای کاهش آسیب های ناشی از این حملات انجام دهند.

در مرحله اول، اطمینان حاصل کنید که پشتیبان‌گیری منظم از داده‌های ضروری تهیه و در مکانی امن که به اینترنت متصل نیست ذخیره می‌شود. این کمک می کند تا اطمینان حاصل شود که در صورت رمزگذاری داده ها، می توان آنها را به راحتی از نسخه پشتیبان بازیابی کرد و قربانی نیازی به پرداخت باج ندارد.

ثانیاً، کاربران باید هنگام باز کردن ایمیل‌ها یا کلیک کردن روی پیوندهایی از منابع ناشناس یا مشکوک محتاط باشند. باج‌افزار اغلب از طریق ایمیل‌های فیشینگ توزیع می‌شود، و کلیک کردن روی یک پیوند ناامن یا باز کردن یک پیوست آسیب‌دیده می‌تواند منجر به آلوده کردن باج‌افزار رایانه شما شود.

به روز نگه داشتن نرم افزار و سیستم عامل بسیار مهم است، زیرا باج افزار اغلب از آسیب پذیری های نسخه های قدیمی نرم افزار سوء استفاده می کند. به روز رسانی منظم نرم افزار و پیاده سازی وصله های امنیتی به کاهش این خطر کمک می کند.

کاربران همچنین باید به شدت استفاده از نرم‌افزارهای ضد بدافزار و فایروال‌ها را در نظر بگیرند که می‌تواند به شناسایی و جلوگیری از حملات باج‌افزار کمک کند. این ابزارها می توانند فعالیت های مشکوک را شناسایی و مسدود کنند و از دسترسی بدافزار به رایانه شما جلوگیری کنند.

در نهایت، در صورت حمله باج افزار، کاربران باید از پرداخت باج خودداری کنند. این فقط مجرمان سایبری را تشویق می کند و منابع لازم برای ادامه فعالیت های غیرقانونی خود را در اختیار آنها قرار می دهد. در عوض، کاربران باید از کارشناسان امنیت سایبری کمک بگیرند که ممکن است بتوانند به بازیابی داده های رمزگذاری شده یا حذف بدافزار از سیستم آلوده کمک کنند.

متن کامل یادداشت باج خواهی APT14CHIR به شرح زیر است:

'سلام، شبکه شرکت شما نفوذ کرده است
تمام فایل های مهم شما رمزگذاری شده اند!

فایل های شما آسیب نمی بینند! فقط به طور کامل اصلاح شده است. (RSA+AES)
آنها با یک الگوریتم رمزگذاری منحصر به فرد aes رمزگذاری شده اند.

هر گونه تلاش برای بازیابی فایل های خود با نرم افزار شخص ثالث
برای همیشه آن را خراب می کند.
فایل های رمزگذاری شده را تغییر ندهید.
فایل های رمزگذاری شده را تغییر نام ندهید.

هیچ نرم افزار موجود در اینترنت نمی تواند به شما کمک کند. ما تنها کسانی هستیم که می توانیم
مشکل شما را حل کنید

ما همه داده‌های بسیار محرمانه/شخصی را آپلود کردیم و سرورهای اصلی را کپی کردیم.
این داده ها در حال حاضر در یک حافظه خصوصی ذخیره می شوند.
این سرور بلافاصله پس از پرداخت شما از بین می رود.
اگر تصمیم به پرداخت نکردن دارید، ما اطلاعات شما را در اختیار عموم یا فروشندگان مجدد، رقبا، نماینده دولت محلی، قوه قضاییه، باج خواهی و حمله واسطه قرار می دهیم.
بنابراین می توانید انتظار داشته باشید که داده های شما در آینده نزدیک در دسترس عموم قرار گیرد.

ما فقط به دنبال پول هستیم و هدف ما صدمه زدن به اعتبار شما یا جلوگیری از آن نیست
کسب و کار شما از بین می رود

برای اطلاعات بیشتر و کلیدهای رمزگشایی، لطفاً با ما تماس بگیرید:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.me

تمام اطلاعات مربوط به اقدامات لازم برای رمزگشایی کامل فایل های خود در اختیار شما قرار خواهد گرفت.

همچنین می توانید با استفاده از پیام رسان qTox با ما تماس بگیرید، بسیار سریعتر خواهد بود، پشتیبانی 24/7 در دسترس است.
می توانید از لینک دانلود کنید یا خودتان برنامه را پیدا کنید:

تماس با qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7C

شناسه شخصی شما:

APT14CHIR'