APT14CHIR Ransomware
محققان امنیت سایبری APT14CHIR را به عنوان یک تهدید باج افزار طبقه بندی می کنند. وظیفه اصلی آن رمزگذاری فایلها است که باعث میشود صاحبان آنها از دسترس خارج شوند. علاوه بر این، APT14CHIR همچنین نام فایلهایی را که رمزگذاری میکند، با جایگزین کردن نام فایلهای اصلی آنها با دنبالهای از کاراکترهای تصادفی و اضافه کردن پسوند «.APT14CHIR» تغییر میدهد.
به عنوان مثال، باج افزار APT14CHIR ممکن است نام فایلی مانند '1.png' را به '46bHrwLR0CmRGarY.APT14CHIR' تغییر دهد، در حالی که '2.doc' را می توان به 'qoMCVWgi0Vm27mcu.APT14CHIR' تغییر نام داد. علاوه بر این، APT14CHIR یک پیام باج در قالب یک فایل متنی به نام "PLEASE READ.txt" ایجاد می کند تا به قربانیان اطلاع دهد که فایل های آنها رمزگذاری شده است و دستورالعمل هایی در مورد نحوه پرداخت باج برای دریافت کلید رمزگشایی ارائه می دهد.
باج افزار APT14CHIR فهرستی از خواسته ها را برای قربانیان به جا می گذارد
یادداشت باج به جا مانده از مهاجمان به وضوح بیان میکند که فایلهای مهم قربانی با ترکیبی از الگوریتمهای رمزگذاری AES و RSA کاملاً رمزگذاری شدهاند و مالک واقعی آنها را غیرقابل دسترسی میکند. این یادداشت همچنین به قربانیان هشدار میدهد که سعی نکنند فایلها را با استفاده از نرمافزار شخص ثالث بازیابی کنند، زیرا این امر میتواند منجر به از دست رفتن دائمی دادهها یا اصلاح بیشتر فایلهای رمزگذاری شده شود.
علاوه بر این، یادداشت در ادامه ادعا میکند که مهاجمان تنها کسانی هستند که میتوانند مشکل را حل کنند و هیچ ابزار رمزگشایی آنلاین برای کمک به این فرآیند وجود ندارد. این قربانیان را در موقعیت دشواری قرار می دهد، جایی که آنها باید به تمایل مهاجمان برای ارائه کلید رمزگشایی در ازای پرداخت باج تکیه کنند.
این یادداشت همچنین تاکید میکند که مهاجمان تمام اطلاعات بسیار محرمانه و شخصی قربانی و همچنین یک کپی از سرورهای اصلی خود را در یک مکان ذخیرهسازی خصوصی آپلود کردهاند. مهاجمان تهدید می کنند که این داده ها را تنها پس از دریافت مبلغ باج درخواستی از بین خواهند برد. با این حال، اگر قربانی تصمیم بگیرد که باج را پرداخت نکند، مجرمان سایبری تهدید می کنند که داده ها را عمومی می کنند، که می تواند برای شهرت قربانی فاجعه بار باشد.
مهاجمان ادعا می کنند که آنها فقط پول می خواهند و قصد آسیب رساندن به شهرت یا تجارت قربانی را ندارند. برای به دست آوردن اطلاعات بیشتر در مورد اقدامات لازم برای رمزگشایی فایلها، از قربانی خواسته میشود از طریق آدرسهای ایمیل «martin_catch_ithelp@tutanota.com» و «martin_catch_ithelp@proton.me» یا از طریق پیامرسان qTox با مجرمان تماس بگیرد.
چگونه کاربران می توانند آسیب حملات ناشی از تهدیداتی مانند باج افزار APT14CHIR را کاهش دهند؟
حملات باج افزار به طور فزاینده ای رایج می شوند و تأثیر آنها می تواند ویرانگر باشد. با این حال، اقدامات متعددی وجود دارد که کاربران می توانند برای کاهش آسیب های ناشی از این حملات انجام دهند.
در مرحله اول، اطمینان حاصل کنید که پشتیبانگیری منظم از دادههای ضروری تهیه و در مکانی امن که به اینترنت متصل نیست ذخیره میشود. این کمک می کند تا اطمینان حاصل شود که در صورت رمزگذاری داده ها، می توان آنها را به راحتی از نسخه پشتیبان بازیابی کرد و قربانی نیازی به پرداخت باج ندارد.
ثانیاً، کاربران باید هنگام باز کردن ایمیلها یا کلیک کردن روی پیوندهایی از منابع ناشناس یا مشکوک محتاط باشند. باجافزار اغلب از طریق ایمیلهای فیشینگ توزیع میشود، و کلیک کردن روی یک پیوند ناامن یا باز کردن یک پیوست آسیبدیده میتواند منجر به آلوده کردن باجافزار رایانه شما شود.
به روز نگه داشتن نرم افزار و سیستم عامل بسیار مهم است، زیرا باج افزار اغلب از آسیب پذیری های نسخه های قدیمی نرم افزار سوء استفاده می کند. به روز رسانی منظم نرم افزار و پیاده سازی وصله های امنیتی به کاهش این خطر کمک می کند.
کاربران همچنین باید به شدت استفاده از نرمافزارهای ضد بدافزار و فایروالها را در نظر بگیرند که میتواند به شناسایی و جلوگیری از حملات باجافزار کمک کند. این ابزارها می توانند فعالیت های مشکوک را شناسایی و مسدود کنند و از دسترسی بدافزار به رایانه شما جلوگیری کنند.
در نهایت، در صورت حمله باج افزار، کاربران باید از پرداخت باج خودداری کنند. این فقط مجرمان سایبری را تشویق می کند و منابع لازم برای ادامه فعالیت های غیرقانونی خود را در اختیار آنها قرار می دهد. در عوض، کاربران باید از کارشناسان امنیت سایبری کمک بگیرند که ممکن است بتوانند به بازیابی داده های رمزگذاری شده یا حذف بدافزار از سیستم آلوده کمک کنند.
متن کامل یادداشت باج خواهی APT14CHIR به شرح زیر است:
'سلام، شبکه شرکت شما نفوذ کرده است
تمام فایل های مهم شما رمزگذاری شده اند!
فایل های شما آسیب نمی بینند! فقط به طور کامل اصلاح شده است. (RSA+AES)
آنها با یک الگوریتم رمزگذاری منحصر به فرد aes رمزگذاری شده اند.
هر گونه تلاش برای بازیابی فایل های خود با نرم افزار شخص ثالث
برای همیشه آن را خراب می کند.
فایل های رمزگذاری شده را تغییر ندهید.
فایل های رمزگذاری شده را تغییر نام ندهید.
هیچ نرم افزار موجود در اینترنت نمی تواند به شما کمک کند. ما تنها کسانی هستیم که می توانیم
مشکل شما را حل کنید
ما همه دادههای بسیار محرمانه/شخصی را آپلود کردیم و سرورهای اصلی را کپی کردیم.
این داده ها در حال حاضر در یک حافظه خصوصی ذخیره می شوند.
این سرور بلافاصله پس از پرداخت شما از بین می رود.
اگر تصمیم به پرداخت نکردن دارید، ما اطلاعات شما را در اختیار عموم یا فروشندگان مجدد، رقبا، نماینده دولت محلی، قوه قضاییه، باج خواهی و حمله واسطه قرار می دهیم.
بنابراین می توانید انتظار داشته باشید که داده های شما در آینده نزدیک در دسترس عموم قرار گیرد.
ما فقط به دنبال پول هستیم و هدف ما صدمه زدن به اعتبار شما یا جلوگیری از آن نیست
کسب و کار شما از بین می رود
برای اطلاعات بیشتر و کلیدهای رمزگشایی، لطفاً با ما تماس بگیرید:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.me
تمام اطلاعات مربوط به اقدامات لازم برای رمزگشایی کامل فایل های خود در اختیار شما قرار خواهد گرفت.
همچنین می توانید با استفاده از پیام رسان qTox با ما تماس بگیرید، بسیار سریعتر خواهد بود، پشتیبانی 24/7 در دسترس است.
می توانید از لینک دانلود کنید یا خودتان برنامه را پیدا کنید:
تماس با qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7C
شناسه شخصی شما:
APT14CHIR'