FORCE Ransomware

Tutkiessaan mahdollisia haittaohjelmauhkia tutkijat paljastivat FORCE Ransomwaren. Kun se tunkeutuu laitteeseen, FORCE aloittaa salauksen eri tiedostotyypeille, mukaan lukien kuvat, asiakirjat, laskentataulukot ja paljon muuta. Hyökkääjien tavoitteena on pitää salattu data panttivankina ja pakottaa uhrit maksamaan salauksen purkamisesta. Uhrien tunnistamiseksi ja yhteydenpidon luomiseksi kiristysohjelma liittää salattujen tiedostojen tiedostonimiin yksilölliset tunnisteet, verkkorikollisten sähköpostiosoitteet ja .FORCE-tunnisteen. Esimerkiksi 1.png-niminen tiedosto muutetaan muotoon 1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.

Salausprosessin päätyttyä järjestelmä näyttää identtiset lunnaat kahdessa muodossa: ponnahdusikkunassa ('info.hta') ja tekstitiedostona ('info.txt'). Nämä viestit näkyvät työpöydällä ja kaikissa hakemistoissa, jotka sisältävät salattuja tiedostoja. Lisäanalyysi paljasti, että FORCE kuuluu Phobos Ransomware -perheeseen.

FORCE Ransomware kiristää uhreja rahasta

FORCEn julkaisemat lunnaat korostavat, että uhrin tiedostot on salattu ja arkaluonteiset tiedot on vaarantunut. Saadakseen takaisin pääsyn tiedostoihinsa uhria kehotetaan maksamaan lunnaita käyttämällä vain Bitcoinin kryptovaluuttaa. Jos lueteltuja vaatimuksia ei noudateta, varastetut tiedot myydään. Ennen maksujen suorittamista uhrille annetaan mahdollisuus testata salauksen purkuprosessi ilmaiseksi, vaikkakin tietyin rajoituksin.

Viestit varoittavat salattujen tiedostojen muuttamisesta tai kolmannen osapuolen palautustyökalujen käyttämisestä, koska tällaiset toimet voivat tehdä tiedoista mahdotonta palauttaa. Lisäksi uhria varoitetaan, että avun hakeminen kolmansilta osapuolilta voi lisätä hänen taloudellisia menetyksiään.

FORCE Ransomware ryhtyy toimenpiteisiin estääkseen lukittujen tietojen helpon palauttamisen

Tämä uhkaava ohjelma, joka kuuluu Phobos Ransomware -perheeseen, tunnetaan menetelmällisestä salausmenetelmästään. Toisin kuin jotkin kiristysohjelmaversiot, jotka tekevät tartunnan saaneet koneet täysin käyttökelvottomiksi, Phobos-haittaohjelma kohdistaa valikoivasti salattavia tiedostoja välttäen kriittisiä järjestelmätiedostoja varmistaakseen järjestelmän toimivuuden. Se salaa sekä paikallisesti tallennetut että verkkojen kautta jaetut tiedostot ja lopettaa avoimiin tiedostoihin liittyvät prosessit estääkseen poikkeukset, jotka perustuvat "käytössä" oleviin tiedostoihin, kuten tietokantaohjelmiin tai tekstitiedostojen lukuohjelmiin.

Kaksinkertaisen salauksen estämiseksi Phobos Ransomware ylläpitää poissulkevaa luetteloa suosituista kiristysohjelmista. Tämä luettelo ei vaikuta tiedostoihin, jotka ohjelmisto on jo lukinnut tässä luettelossa. Lisäksi Phobos poistaa yleisen palautusvaihtoehdon Shadow Volume Copies estääkseen tietojen palautusyritykset.

Rikkoutuneiden laitteiden pysyvyyden varmistamiseksi haittaohjelma kopioi itsensä %LOCALAPPDATA% polkuun ja rekisteröityy tiettyihin Run-avaimiin varmistaen, että se käynnistyy automaattisesti jokaisen järjestelmän uudelleenkäynnistyksen yhteydessä. Mielenkiintoista on, että Phobos-lunnasohjelmat saattavat pidättäytyä hyökkäämästä laitteisiin niiden maantieteellisen sijainnin perusteella, erityisesti taloudellisesti heikoilla alueilla tai geopoliittisesti suuntautuneissa maissa.

Kiristysohjelmien lukitsemien tietojen salauksen purkaminen ilman verkkorikollisten väliintuloa on yleensä mahdotonta. Vaikka uhrit noudattaisivat lunnaita koskevia vaatimuksia, ei ole takeita siitä, että he saavat luvatut salauksenpurkuavaimet tai ohjelmistot. Siksi lunnaiden maksaminen ei vain takaa tietojen palauttamista, vaan myös jatkaa laitonta toimintaa.

Vaikka kiristysohjelmien poistaminen käyttöjärjestelmästä estää lisäsalauksen, se ei palauta vaarantuneita tiedostoja. Ainoa luotettava ratkaisu on palauttaa tiedostot varmuuskopiosta, jos sellainen on saatavilla.

Älä ota riskejä laitteidesi ja tietojesi turvallisuuden suhteen

Käyttäjät voivat parantaa tietojensa ja laitteidensa suojaa lunnasohjelmauhkia vastaan ottamalla käyttöön monikerroksisen lähestymistavan kyberturvallisuuteen. Tässä on joitain tehokkaita strategioita:

• Pidä ohjelmisto päivitettynä : Päivitä säännöllisesti käyttöjärjestelmiä, ohjelmistosovelluksia ja virustorjuntaohjelmia suojataksesi tietoturva-aukkoja ja suojataksesi tunnetuilta hyväksikäytöiltä. Ota automaattiset päivitykset käyttöön aina kun mahdollista.
• Asenna Trustworthy Security Software : Käytä hyvämaineisia haittaohjelmien torjuntaohjelmistoja lunnasohjelmien ja muiden haitallisten uhkien havaitsemiseen ja poistamiseen. Varmista, että virustorjuntaohjelmisto päivitetään usein uusimpien uhkien tunnistamiseksi.
• Ole valppaana sähköpostin liitteiden ja linkkien kanssa : Varo epäilyttäviä sähköposteja, erityisesti sellaisia, jotka ovat tulleet tuntemattomilta lähettäjiltä tai sisältävät odottamattomia liitteitä tai linkkejä. Älä käytä linkkejä tai lataa liitteitä ei-toivotuista sähköposteista, koska ne voivat sisältää kiristysohjelmia tai muita haittaohjelmia.
• Varmuuskopioi tiedot säännöllisesti : Luo vankka varmuuskopiointistrategia varmuuskopioimalla säännöllisesti tärkeät tiedot ulkoiselle kiintolevylle, pilvitallennuspalveluun tai verkkoon liitettyyn tallennuslaitteeseen (NAS). Varmista, että varmuuskopiot on tallennettu turvallisesti ja että ne eivät ole suoraan käytettävissä ensisijaisesta järjestelmästä, jotta lunnasohjelmat eivät salaa niitä.
• Käytä vahvoja, ainutlaatuisia salasanoja : Luo vahvoja, monimutkaisia salasanoja kaikille tileille äläkä käytä samaa salasanaa useissa tileissä. Harkitse mahdollisuutta käyttää hyvämaineista salasananhallintaohjelmaa salasanojen luomiseen ja tallentamiseen turvallisesti.
• Ota käyttöön kaksivaiheinen todennus (2FA) : Ota kaksivaiheinen todennus käyttöön, jotta voit maksimoida tiliesi turvallisuuden. 2FA edellyttää, että käyttäjät sisällyttävät toisen vahvistustavan, kuten salasanan tai mobiililaitteeseen lähetetyn koodin.

Ottamalla käyttöön näitä ennakoivia toimenpiteitä käyttäjät voivat vähentää mahdollisuuksia joutua kiristysohjelmahyökkäysten uhriksi ja suojata tietojaan ja laitteitaan huomattavasti paremmin.

FORCE Ransomwaren pudottama lunnaita on:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'