Datah Ransomware

کارشناسان امنیت اطلاعات اخیراً یک تهدید جدید نگران کننده باج افزار معروف به باج افزار Datah را کشف کرده اند. این نرم‌افزار مضر طیف گسترده‌ای از انواع فایل‌ها را در سیستم آسیب‌دیده رمزگذاری می‌کند و آنها را برای قربانی غیرقابل دسترسی می‌کند. دیتا علاوه بر رمزگذاری فایل‌ها، یادداشت باج‌گیری با عنوان «+README-WARNING+.txt» به جای می‌گذارد که شامل اطلاعات تماس و دستورالعمل‌های بیشتر برای قربانی است.

علاوه بر این، Datah با تغییر نام فایل های رمزگذاری شده یک قدم فراتر می رود. با افزودن شناسه‌های خاص به نام فایل‌ها، از جمله شناسه منحصربه‌فرد قربانی، آدرس ایمیل 'datahelper@onionmail.org' و پسوند 'datah' به این امر دست می‌یابد. برای مثال، فایلی با نام اصلی "1.doc" به "1.doc.[2AF30FA3].[datahelper@onionmail.org].datah" تبدیل می شود، در حالی که "2.pdf" به "2.pdf" تبدیل می شود. 2AF30FA3].[datahelper@onionmail.org].datah' و غیره. شایان ذکر است که Datah به عنوان یک نوع متعلق به خانواده باج افزار Makop طبقه بندی می شود.

قربانیان باج افزار Datah داده های خود را گروگان گرفته اند

یادداشت باج به همراه باج افزار Datah یک پیام واضح به قربانیان ارائه می دهد: فایل های آنها رمزگذاری شده است، اما ساختار فایل زیربنایی دست نخورده باقی مانده است. در یادداشت تاکید شده است که تنها راه بازیابی از طریق پرداخت به مجرمان سایبری مسئول رمزگذاری است. برای القای حس اعتماد، عوامل تهدید یک رمزگشایی آزمایشی از دو فایل ساده با اندازه محدود ارائه می‌کنند که توانایی آنها را در رمزگشایی فایل‌ها پس از دریافت پرداخت نشان می‌دهد.

جزئیات تماس از طریق یک آدرس ایمیل (datahelper@onionmail.org) و یک شناسه TOX ارائه می‌شود که به قربانیان اجازه می‌دهد با مجرمان ارتباط برقرار کنند. با این حال، یادداشت با یک هشدار جدی در مورد تلاش برای تغییر مستقل فایل های رمزگذاری شده به پایان می رسد. چنین اقداماتی می تواند منجر به از دست رفتن داده ها و کلید خصوصی لازم برای رمزگشایی شود و به طور بالقوه منجر به عواقب جبران ناپذیری برای قربانی شود.

برای قربانیان بسیار مهم است که تسلیم درخواست باج نشوند، زیرا هیچ تضمینی وجود ندارد که مجرمان سایبری به وعده خود مبنی بر ارائه ابزارهای رمزگشایی پس از دریافت پرداخت عمل کنند. علاوه بر این، حذف سریع باج افزار از رایانه های آلوده ضروری است. انجام این کار نه تنها خطر رمزگذاری بیشتر را کاهش می دهد، بلکه به جلوگیری از گسترش احتمالی باج افزار به رایانه های دیگر در همان شبکه کمک می کند و تأثیر کلی حمله را کاهش می دهد.

اقدامات دفاعی حیاتی برای اجرا در همه دستگاه ها

اجرای اقدامات دفاعی حیاتی در همه دستگاه ها برای محافظت از داده ها در برابر تهدیدات باج افزار ضروری است. در اینجا مراحل کلیدی وجود دارد که کاربران باید انجام دهند:

• به روز رسانی منظم نرم افزار : اطمینان حاصل کنید که سیستم عامل ها، برنامه ها و نرم افزارهای امنیتی به طور منظم به روز می شوند. به روز رسانی ها اغلب شامل وصله هایی هستند که آسیب پذیری های مورد سوء استفاده باج افزار را برطرف می کنند.

• نصب نرم افزار ضد بدافزار : از نرم افزارهای امنیتی معتبر با محافظت در زمان واقعی در برابر باج افزارها و سایر تهدیدها استفاده کنید. به روز رسانی خودکار و اسکن های منظم را فعال کنید.

• رمزهای عبور قوی و احراز هویت چند عاملی (MFA) : از رمزهای عبور پیچیده استفاده کنید و MFA را تا حد امکان فعال کنید تا یک لایه امنیتی اضافی اضافه کنید. از استفاده از رمز عبور یکسان برای چندین حساب خودداری کنید.

• پشتیبان گیری منظم از داده ها : از فایل های ضروری نسخه پشتیبان تهیه کنید و آنها را به صورت آفلاین یا در فضای ابری ذخیره کنید. پشتیبان گیری خودکار و رمزگذاری شده یکپارچگی داده ها را تضمین می کند و در صورت حمله باج افزار، بازیابی را تسهیل می کند.

• آموزش کاربران : به کاربران آموزش دهید تا ایمیل های فیشینگ، لینک های مشکوک و پیوست های جعلی را تشخیص دهند. شک و تردید را نسبت به ایمیل‌های غیرمنتظره یا درخواست‌های اطلاعات حساس تشویق کنید.

• محدود کردن امتیازات کاربر : اصل حداقل امتیاز را بپذیرید و دسترسی کاربر را فقط به آنچه برای نقش شغلی آنها ضروری است محدود کنید. این امر تأثیر باج‌افزار را با کاهش توانایی پخش آن در سراسر شبکه محدود می‌کند.

• فعال کردن محافظت از دیوار آتش : فایروال‌ها را در دستگاه‌ها و شبکه‌ها فعال کرده و مرتباً به‌روزرسانی کنید تا ترافیک ورودی و خروجی را فیلتر کنید و اتصالات بالقوه مضر را مسدود کنید.

با اجرای دقیق این اقدامات دفاعی، کاربران می توانند احتمال قربانی شدن حملات باج افزار را کاهش دهند و از داده های ارزشمند خود محافظت کنند.

متن کامل یادداشت باج به همراه باج افزار Datah به شرح زیر است:

'::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'