APT14CHIR Ransomware
Kyberturvallisuustutkijat luokittelevat APT14CHIR:n kiristysohjelmauhkaksi. Sen ensisijainen tehtävä on salata tiedostoja, jolloin ne eivät ole omistajiensa käytettävissä. Lisäksi APT14CHIR muuttaa myös salaamiensa tiedostojen nimiä korvaamalla niiden alkuperäiset tiedostonimet satunnaisten merkkien sarjalla ja lisäämällä .APT14CHIR-tunnisteen.
Esimerkiksi APT14CHIR Ransomware voi muuttaa tiedoston, kuten '1.png', nimeksi '46bHrwLR0CmRGarY.APT14CHIR', kun taas '2.doc' voidaan nimetä uudelleen muotoon 'qoMCVWgi0Vm27mcu.APT14CHIR'. Lisäksi APT14CHIR luo lunnaussanoman tekstitiedoston muodossa nimeltä 'LUE.txt' ilmoittaakseen uhreille, että heidän tiedostonsa on salattu, ja antaakseen ohjeita lunnaiden maksamiseen salauksen purkuavaimen saamiseksi.
APT14CHIR Ransomware jättää uhreille luettelon vaatimuksista
Hyökkääjien jättämissä lunnaissa sanotaan selkeästi, että uhrin tärkeät tiedostot on täysin salattu AES- ja RSA-salausalgoritmien yhdistelmällä, jolloin laillinen omistaja ei pääse niihin käsiksi. Muistiossa myös varoitetaan uhreja, etteivät he yritä palauttaa tiedostoja kolmannen osapuolen ohjelmistoilla, koska tämä voi johtaa pysyvään tietojen katoamiseen tai salattujen tiedostojen muuttamiseen.
Lisäksi huomautuksessa väitetään, että hyökkääjät ovat ainoita, jotka pystyvät ratkaisemaan ongelman, eikä verkossa ole saatavilla salauksenpurkutyökaluja, jotka auttaisivat prosessia. Tämä asettaa uhrit vaikeaan asemaan, jossa heidän on luotettava hyökkääjien halukkuuteen antaa salauksen purkuavain lunnaita vastaan.
Muistiossa korostetaan myös, että hyökkääjät ovat ladanneet kaikki uhrin erittäin luottamukselliset ja henkilökohtaiset tiedot sekä kopion pääpalvelimistaan yksityiseen tallennuspaikkaan. Hyökkääjät uhkaavat tuhota nämä tiedot vasta saatuaan pyydetyn lunastussumman. Jos uhri kuitenkin päättää olla maksamatta lunnaita, kyberrikolliset uhkaavat julkistaa tiedot, mikä voi olla tuhoisaa uhrin maineelle.
Hyökkääjät väittävät, että he haluavat vain rahaa, eivätkä he aio vahingoittaa uhrin mainetta tai liiketoimintaa. Saadakseen lisätietoja tarvittavista toimenpiteistä tiedostojen salauksen purkamiseen, uhri ohjataan ottamaan yhteyttä tekijöihin sähköpostiosoitteiden 'martin_catch_ithelp@tutanota.com' ja 'martin_catch_ithelp@proton.me' tai qTox Messengerin kautta.
Kuinka käyttäjät voivat lieventää APT14CHIR Ransomwaren kaltaisten uhkien aiheuttamien hyökkäysten aiheuttamia vahinkoja?
Ransomware-hyökkäykset ovat yhä yleisempiä, ja niiden vaikutukset voivat olla tuhoisia. On kuitenkin olemassa useita toimenpiteitä, joihin käyttäjät voivat ryhtyä vähentääkseen näiden hyökkäysten aiheuttamia vahinkoja.
Ensinnäkin, varmista, että tärkeistä tiedoista tehdään säännöllisesti varmuuskopiot ja ne tallennetaan turvalliseen paikkaan, joka ei ole yhteydessä Internetiin. Tämä auttaa varmistamaan, että jos tiedot on salattu, ne voidaan helposti palauttaa varmuuskopiosta ja uhrin ei tarvitse maksaa lunnaita.
Toiseksi käyttäjien tulee olla varovaisia avattaessa sähköposteja tai napsauttaessaan tuntemattomista tai epäilyttävistä lähteistä peräisin olevia linkkejä. Kiristyshaittaohjelmia levitetään usein tietojenkalasteluviestien kautta, ja vaarallisen linkin napsauttaminen tai vaarantuneen liitteen avaaminen voi johtaa kiristysohjelmien saastuttamiseen tietokoneellesi.
On erittäin tärkeää pitää ohjelmistot ja käyttöjärjestelmät ajan tasalla, sillä kiristysohjelmat käyttävät usein hyväkseen vanhemmissa ohjelmistoversioissa olevia haavoittuvuuksia. Ohjelmiston säännöllinen päivittäminen ja tietoturvakorjausten käyttöönotto auttavat vähentämään tätä riskiä.
Käyttäjien tulee myös harkita voimakkaasti haittaohjelmien torjuntaohjelmistojen ja palomuurien käyttöä, jotka voivat auttaa havaitsemaan ja estämään kiristysohjelmahyökkäyksiä. Nämä työkalut voivat tunnistaa ja estää epäilyttävän toiminnan ja estää haittaohjelmia pääsemästä tietokoneellesi.
Lopuksi, ransomware-hyökkäyksen sattuessa käyttäjien tulee välttää lunnaiden maksamista. Tämä vain rohkaisee kyberrikollisia ja tarjoaa heille resurssit jatkaa laitonta toimintaansa. Sen sijaan käyttäjien tulee pyytää apua kyberturvallisuusasiantuntijoilta, jotka voivat auttaa salattujen tietojen palauttamisessa tai haittaohjelmien poistamisessa tartunnan saaneesta järjestelmästä.
APT14CHIR:n lunnaita koskevan huomautuksen koko teksti on:
'HEI, YRITYKSISI VERKKOON ON PUTKETTU
Kaikki tärkeät tiedostosi on salattu!Tiedostosi EIVÄT VAHINGO! Vain täysin muokattu. (RSA+AES)
Ne on salattu vahvalla ainutlaatuisella aes-salausalgoritmilla.YRITYS PALAUTTAA TIEDOSTOSI KOLMANNEN OSAPUOLEN OHJELMISTOLLA
TULEE SITÄ PYSYVÄSTI.
ÄLÄ MUOKKAA SALATUJA TIEDOSTOJA.
ÄLÄ NIMEÄ UUDELLEEN SALATUJA TIEDOSTOJA.Mikään Internetistä saatavilla oleva ohjelmisto ei voi auttaa sinua. Olemme ainoita, jotka pystyvät siihen
ratkaise ongelmasi.Latasimme kaikki erittäin luottamukselliset/henkilökohtaiset tiedot ja kopioimme pääpalvelimet.
Nämä tiedot on tällä hetkellä tallennettu yksityiseen tallennustilaan.
Tämä palvelin tuhoutuu välittömästi maksusi jälkeen.
Jos päätät olla maksamatta, luovutamme tietosi yleisölle tai jälleenmyyjälle, kilpailijoille, paikallishallinnon edustajalle, oikeuslaitokselle, kiristykselle ja hyökkäysvälittäjälle
Joten voit odottaa tietosi olevan julkisesti saatavilla lähitulevaisuudessa.Haemme vain rahaa, eikä tavoitteemme ole vahingoittaa mainettasi tai estää
yrityksesi tuhoutumasta.Lisätietoja ja salauksenpurkuavaimia varten ota meihin yhteyttä:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.meSaat kaikki tiedot tarvittavista toimista tiedostojesi salauksen täydelliseen purkamiseen.
Voit myös ottaa meihin yhteyttä käyttämällä qTox Messengeriä, se on paljon nopeampi, tuki on saatavilla 24/7.
Voit ladata sovelluksen linkistä tai etsiä itse:Ota yhteyttä qToxiin 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7CHenkilökohtainen tunnuksesi:
APT14CHIR'
