Koko Ransomware

Tutkijat ovat löytäneet uuden kiristysohjelmauhan nimeltä "Whole". Tämä vahingollinen ohjelmisto on suunniteltu salaamaan tartunnan saaneiden järjestelmien tiedot ja vaatimaan sitten lunnaita tietokoneen omistajalta salauksenpurkuavaimen vastineeksi. Suorittaakseen tuhoisan toimintansa Whole Ransomware lukitsee erityyppiset tiedostot ja lisää jokaisen tiedoston nimet .whole-tunnisteella. Jos tiedoston nimeksi annettiin esimerkiksi alun perin "1.jpg", salauksen jälkeen se nimetään uudelleen muotoon 1.jpg.whole. Tämä uudelleennimeämisprosessi vaikuttaa kaikentyyppisiin tiedostoihin, kuten kuviin, asiakirjoihin ja muihin.

Tiedostojen salaamisen lisäksi Whole Ransomware muuttaa myös tartunnan saaneen järjestelmän työpöydän taustakuvaa, mikä tekee selväksi, että järjestelmä on vaarantunut. Lisäksi lunnasohjelma luo rikotun laitteen päälle lunnaitalokuvan, jonka otsikko on "README-ID-[uhrin_ID].txt". Tämän muistiinpanon sisältö toimii viestinä uhrille ja antaa ohjeita vaaditun lunnaan maksamiseen ja salauksen purkuavaimen hankkimiseen.

Lunnasilmoitus ja muut vihjeet viittaavat siihen, että tämä nimenomainen lunnasohjelma on ensisijaisesti suunnattu yrityksille ja organisaatioille, ei yksittäisille kotikäyttäjille. Tämä osoittaa korkeampaa kehittyneisyyttä ja mahdollisesti suurempia lunnaita koskevia vaatimuksia. On syytä huomata, että Whole Ransomware -ohjelmalla näyttää olevan yhtäläisyyksiä Keylock Ransomwaren kanssa, mikä viittaa mahdolliseen yhteyteen tai sukulinjaan näiden kahden uhan välillä.

Koko Ransomware estää uhrien pääsyn omiin tietoihinsa

Whole Ransomwaren työpöydän taustakuvalla näyttämä viesti antaa uhrille ohjeet ja ohjaa hänet lukemaan mukana tulevan tekstitiedoston, jonka otsikko on "README-ID-[victim's_ID].txt". Tämä lunnaita koskeva viesti on tärkeä viestintä hyökkääjiltä, ja se paljastaa, että uhrin tiedostot on salattu, eivätkä ne ole nyt käytettävissä. Siinä todetaan myös, että salattujen tietojen palauttamiseen tarvittava ainutlaatuinen salauksenpurkuavain on tallennettu turvallisesti hyökkääjien palvelimille.

Uhreille tarjotaan mahdollisuus testata salauksen purkuprosessia ilmaiseksi. Tämä voidaan tehdä lähettämällä muutamia salattuja tiedostoja kyberrikollisille tietyin edellytyksin. Tärkeä varoitus on, että jos uhri ei pysty aloittamaan kommunikointia hyökkääjien kanssa 72 tunnin sisällä, hänen liiketoimintaan liittyvät arkaluontoiset tiedot uhkaavat paljastaa vuodon tai myynnin.

Lunnaita vaativa viesti päättyy useisiin varoituksiin. Uhrille varoitetaan, että kaikki yritykset nimetä uudelleen tai muutoin muokata kyseisiä tiedostoja sekä kolmannen osapuolen tietojen palautustyökalujen tai tietoturvaohjelmistojen käyttö voivat tehdä tiedoista salauksen purkamattomia. Se korostaa, että salauksen purkaminen vaatii yleensä kyberrikollisten suoraa osallistumista, lukuun ottamatta vain harvoja poikkeuksia vakavasti viallisten kiristysohjelmien tapauksessa.

On syytä huomata, että uhrit eivät usein saa luvattuja salauksen purkuavaimia tai työkaluja edes lunnaita koskevien vaatimusten täyttämisen ja maksujen suorittamisen jälkeen. Tästä syystä on erittäin suositeltavaa olla antautumatta rikollisten vaatimuksiin, koska tietojen palautus on edelleen epävarmaa ja lunnaiden maksaminen jatkaa tämän laittoman toiminnan jatkumista.

Tärkeitä turvatoimenpiteitä, jotka on otettava käyttöön laitteissasi

Laitteidesi suojaaminen haittaohjelmien tunkeutumiselta on olennainen osa kyberturvallisuuden ylläpitämistä. Tässä on viisi tärkeää turvatoimea, joista yksi on säännöllisten varmuuskopioiden luominen tiedoistasi:

Säännöllisten varmuuskopioiden luominen tiedoista :

Säännöllinen tietojen varmuuskopiointi on välttämätöntä. Haittaohjelmahyökkäyksen sattuessa päivitetyt varmuuskopiot varmistavat, että voit palauttaa tietosi maksamatta lunnaita tai kärsimättä pysyvää tietojen menetystä. Varmuuskopioi tiedot säännöllisesti ulkoisiin laitteisiin, pilvitallennustilaan tai verkkoon liitettyyn tallennustilaan (NAS). Automatisoi tämä prosessi, jos mahdollista, ja varmista varmuuskopioidesi eheys.

Suojausohjelmiston asentaminen ja päivittäminen :

Asenna luotettava haittaohjelmien torjuntaohjelmisto ja pidä se ajan tasalla. Suojausohjelmat voivat havaita ja poistaa tunnetut haittaohjelmat, mikä tarjoaa ratkaisevan suojakerroksen uhkia vastaan. Varmista, että virustorjuntaohjelmistosi päivittää virustunnistuksensa automaattisesti suojatakseen uusia haittaohjelmaversioita.

Säännölliset ohjelmistopäivitykset ja korjaustiedostojen hallinta :

Pidä laitteesi käyttöjärjestelmä, ohjelmistosovellukset ja laiteohjelmisto ajan tasalla. Haittaohjelmat käyttävät usein hyväkseen vanhentuneiden ohjelmistojen haavoittuvuuksia. Asenna säännöllisesti suojauskorjauksia ja päivityksiä sulkeaksesi nämä haavoittuvuudet, mikä vähentää haittaohjelmien tunkeutumisen riskiä.

Palomuurisuojaus :

Ota palomuuri käyttöön ja määritä se laitteessasi. Palomuurit toimivat esteenä laitteesi ja Internetin välillä ja auttavat estämään luvattoman käytön ja mahdollisesti haitalliset tiedot. Käytä sekä verkko- että isäntäpohjaisia palomuuria parantaaksesi turvallisuuttasi ja harkitse tunkeutumisen havainnointi- ja estojärjestelmien käyttöä edistyneen suojauksen aikaansaamiseksi.

Turvalliset Internet- ja sähköpostikäytännöt :

Ole varovainen, kun selaat Internetiä ja käsittelet sähköposteja. Vältä käyttämästä epäilyttäviä linkkejä tai lataamasta sähköpostin liitteitä tuntemattomista tai vahvistamattomista lähteistä. Ole tietoinen tietojenkalasteluyrityksistä ja pidättäydy antamasta henkilökohtaisia tietoja tai napsauttamalla epäilyttäviä ponnahdusikkunoita. Käytä sähköpostin suodatustyökaluja tunnistaaksesi ja estääksesi mahdollisesti haitalliset viestit.

Näiden suojaustoimenpiteiden sisällyttäminen laitteen käyttöön vähentää merkittävästi haittaohjelmien tunkeutumisen riskiä. Säännöllinen tietojen varmuuskopiointi on erityisen tärkeää, koska ne tarjoavat turvaverkon siltä varalta, että haittaohjelmat rikkovat suojautumisesi. Säilyttämällä ennakoivan ja monitasoisen suojaustavan voit paremmin suojata laitteitasi ja tietojasi haitallisilta uhilta.

Whole Ransomwaren luoman lunnasilmoituksen koko teksti on:

'YOUR FILES ARE ENCRYPTED

-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:

pmmx@techmail.info

wholekey@mailfence.com -
IMPORTANT!

We recommend you contact us directly to avoid overpaying agents.

We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.

Our message may be recognized as spam, so be sure to check the spam folder.

If we do not respond to you within 24 hours, write to us from another email address.

Älä tuhlaa aikaa, se aiheuttaa vain lisävahinkoa yrityksellesi.

Älä nimeä uudelleen ja yritä purkaa tiedostoja itse. Emme voi auttaa sinua, jos tiedostoja muutetaan.

Jos yrität käyttää kolmannen osapuolen ohjelmistoja tietojesi palauttamiseen tai virustorjuntaratkaisuihin, tee varmuuskopio kaikista salatuista tiedostoista.

Jos poistat salattuja tiedostoja nykyisestä tietokoneesta, et ehkä voi purkaa niiden salausta.

Whole Ransomwaren työpöydän taustakuva sisältää seuraavan viestin:

Kaikki tiedostosi varastetaan ja salataan!
Etsi README-ID-.txt ja seuraa ohjeita.'