SRC Ransomware
Tutkiessaan haittaohjelmauhkia kyberturvallisuustutkijat tunnistivat tietyn SRC:nä tunnetun kiristysohjelman. Kun SRC Ransomware tunkeutuu uhrin laitteeseen, se alkaa salata eri tiedostotyyppejä. Sitten se muuttaa alkuperäisiä tiedostonimiä lisäämällä yksilöllisen uhrin tunnuksen, sähköpostiosoitteen "restoreBackup@cock.li" ja. "SRC" laajennus.
Tiedostosalauksen lisäksi SRC Ransomware vaihtaa työpöydän taustakuvaa ja pudottaa lunnasilmoituksen laitteelle. Lunnaita vaativa viesti on tallennettu tekstitiedostoon, jonka nimi on '+README-WARNING+.txt'. Esimerkiksi SRC Ransomware muuttaa tiedostonimen "1.doc" muotoon "1.doc.[2AF25FA3].[RestoreBackup@cock.li].SRC" ja "2.pdf" muotoon "2.pdf.[2AF25FA3]." RestoreBackup@cock.li].SRC.'
Asiantuntijat ovat vahvistaneet, että tämä lunnasohjelma on osa Makop- haittaohjelmaperhettä.
SRC Ransomware saattaa estää uhreista pääsyn omiin tietoihinsa
SRC Ransomwaren jättämä lunnausviesti ilmoittaa uhreilleen, että heidän tiedostonsa on salattu, mutta varmistetaan, että tiedostorakenne pysyy ehjänä tietojen vahingoittumisen välttämiseksi. Siinä todetaan, että tiedostojen salauksen purkamiseen vaaditaan maksu ja tarjotaan kahden näytetiedoston salauksen purkamista niiden kyvyn osoittamiseksi. Muistiinpano sisältää sähköpostiosoitteen (restoreBackup@cock.li) ja TOX-tunnuksen, jolla hyökkääjiin voi ottaa yhteyttä.
Lisäksi lunnaat neuvovat uhreja olemaan yrittämättä muuttaa salattuja tiedostoja tai käyttämästä kolmannen osapuolen salauksenpurkutyökaluja, koska nämä toimet voivat johtaa pysyvään tietojen menettämiseen.
Kun kiristysohjelma salaa tietokoneella olevat tiedostot, tiedostot eivät ole käytettävissä, kunnes salauksen purkutyökalua käytetään. Yleensä vain hyökkääjillä on tarvittava salauksenpurkutyökalu. Lunnaiden maksaminen on kuitenkin riskialtista, koska hyökkääjät eivät välttämättä tarjoa salauksen purkutyökalua. Lisäksi yhteydenotto kyberrikollisiin voi altistaa käyttäjät erilaisille tietosuoja- ja turvallisuusriskeille.
On erittäin tärkeää poistaa kiristysohjelmat haavoittuvista järjestelmistä, jotta se ei leviäisi muihin verkkoon kytkettyihin tietokoneisiin tai salaa samassa järjestelmässä olevia tiedostoja edelleen. Kiristysohjelman poistaminen ei kuitenkaan palauta jo salattuja tiedostoja.
Ota käyttöön tehokkaita turvatoimenpiteitä laitteidesi suojaamiseksi haittaohjelmilta ja kiristysohjelmilta
Suojatakseen laitteitaan haittaohjelmilta ja kiristysohjelmilta, käyttäjiä kehotetaan ottamaan käyttöön seuraavat turvatoimenpiteet:
Säännölliset varmuuskopiot :
Säännölliset varmuuskopiot: Varmuuskopioi säännöllisesti tärkeät tiedot ulkoisille asemille tai pilvitallennustilaan. Varmista, että varmuuskopiot pysyvät offline-tilassa tai ovat ilmarakoisia, jotta lunnasohjelmat eivät salaa niitä.
Varmuuskopioiden testaus: Testaa varmuuskopioita säännöllisesti varmistaaksesi, että tiedot voidaan palauttaa onnistuneesti.
Haittaohjelmien torjuntaohjelmisto :
Kattava suojaus: Asenna hyvämaineinen haittaohjelmien torjuntaohjelmisto, joka tarjoaa reaaliaikaisen suojan ja säännölliset päivitykset.
Säännölliset tarkistukset: Suorita järjestelmän täydet tarkistukset usein havaitaksesi ja poistaaksesi mahdolliset uhat.
Ohjelmistopäivitykset :
Ajankohtaiset päivitykset: Pidä käyttöjärjestelmäohjelmisto ajan tasalla uusimmilla tietoturvakorjauksilla.
Automaattiset päivitykset: Ota automaattiset päivitykset käyttöön mahdollisuuksien mukaan varmistaaksesi haavoittuvuuksien oikea-aikainen korjaus.
Sähköpostin suojaus :
Roskapostisuodattimet: Käytä tehokkaita roskapostisuodattimia tietojenkalasteluviestien ja haitallisten liitteiden estämiseen. Varoitus liitteiden kanssa: Vältä käyttämästä sähköpostin liitteitä ja linkkejä tuntemattomista tai epäilyttävistä lähteistä.
Verkkoturvallisuus :
Palomuurit: Ota palomuurit käyttöön ja määritä ne valvomaan ja hallitsemaan tulevaa ja lähtevää verkkoliikennettä.
Suojatut yhteydet: Käytä VPN-verkkoja Internet-yhteyksien suojaamiseen, varsinkin kun käytät julkista Wi-Fi-yhteyttä.
Kulunvalvonta :
Käyttäjän oikeudet: Rajoita käyttäjien oikeudet minimiin, jotka ovat tarpeen heidän tehtäviensä suorittamiseksi, mikä vähentää mahdollisten infektioiden vaikutusta.
Vahvat salasanat: Käytä tehokkaita, ainutlaatuisia salasanoja kaikille tileille ja vaihda niitä säännöllisesti. Käytä monivaiheista todennusta (MFA) lisätäksesi suojaustasoa.
Turvallisuustietoisuuskoulutus :
Työntekijöiden koulutus: Kouluta työntekijöitä ja käyttäjiä haittaohjelmien ja kiristysohjelmien riskeistä, turvallisista Internet-käytännöistä ja tietojenkalasteluyritysten tunnistamisesta.
Jatkuva koulutus: Järjestä jatkuvaa tietoturvakoulutusta, jotta käyttäjät saavat tietoa uusimmista uhista ja ehkäisytekniikoista.
Sovelluksen hallinta :
Sallittujen luetteloiden lisääminen: Ota sovelluksen sallittujen luettelo käyttöön varmistaaksesi, että vain hyväksytyt ohjelmistot voivat toimia verkossa.
Valvonta: Tarkkaile asennettuja sovelluksia säännöllisesti ja poista tarpeettomat tai epäilyttävät.
Ottamalla nämä kattavat turvatoimenpiteet käyttöön käyttäjät voivat välttää haitta- ja kiristysohjelmatartunnat ja suojata tietojaan ja laitteitaan mahdollisilta uhilta.
SRC Ransomwaren luoman lunnasilmoituksen teksti on:
'::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailbox: RestoreBackup@cock.li
Or you can contact us via TOX: -
You don't know about TOX? Go to hxxps://tox.chat.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files..6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'
