SWIFT Ransomware

Tutkijat ovat löytäneet uuden SWIFT Ransomware -nimisen kiristysohjelmauhan, joka aiheuttaa merkittävän riskin uhrien tietojen turvallisuudelle. Tämä uhkaava ohjelmisto käyttää vankkaa salausalgoritmia, mikä tekee suuren joukon tiedostoja täysin käyttökelvottomia. Erityisesti SWIFT Ransomware menee pelkkää salausta pidemmälle, sillä se muuttaa aktiivisesti vaikutusalaan kuuluvien tiedostojen nimiä, muuttaa vaarantuneen järjestelmän työpöydän taustakuvaa ja luo lunnasilmoituksen, jonka otsikko on "#SWIFT-Help.txt".

Tiedoston uudelleennimeämisprosessi sisältää sähköpostiosoitteen 'swift_1@tutamail.com' ja a. SWIFT-tunniste alkuperäisiin tiedostonimiin. Esimerkiksi alun perin 1.png-niminen tiedosto muutetaan muotoon 1.png.[swift_1@tutamail.com].SWIFT, ja vastaavasti tiedostosta 2.pdf tulisi 2.pdf.[swift_1@ tutamail.com].SWIFT ja niin edelleen. Tämä strategia auttaa tunnistamaan ransomware-hyökkäyksen uhreiksi joutuneet tiedostot.

Tutkijoiden lisätutkimukset ovat vahvistaneet, että SWIFT Ransomware on Proton- haittaohjelmaperheeseen liittyvä variantti.

SWIFT Ransomware kiristää uhrejaan rahasta

SWIFT Ransomwaren tuottama lunnasilmoitus alkaa esittelemällä kamala tilanne ja selittämällä, että tekijät ovat käyttäneet edistyneitä salausalgoritmeja, erityisesti AES:tä ja ECC:tä, salatakseen ja varastaakseen kaikki uhrin tiedostot. Näiden algoritmien käyttöä korostetaan tehden tiedostojen palauttamisesta käytännössä mahdottomaksi ilman hyökkääjien tarjoamaa salauksenpurkupalvelua.

Tämän jälkeen muistiinpanossa hahmotellaan toipumisen edellyttämät vaiheet ja korostetaan hyökkääjien taloudellisia motiiveja. Kyberrikolliset ehdottavat kauppaa, jossa uhri voi hankkia salauksenpurkuohjelmiston ja varmistaa tietojen tuhoutumisen suorittamalla maksun. Luotettavuuden varmistamiseksi ryhmä ehdottaa pienen, merkityksettömän tiedoston (alle 1 Mt) lähettämistä salauksen purkamista varten osoituksena heidän kyvystään täyttää lupauksensa.

Viestinnän yhteystiedot annetaan, mukaan lukien sähköpostiosoite (swift_1@tutamail.com) ja Telegram ID (@swift_support). Vaihtoehtoinen sähköpostiosoite (swift@onionmail.com) tarjotaan, jos vastausta ei saada 24 tunnin kuluessa. Uhria kehotetaan lisäämään henkilöllisyystodistuksensa sähköpostin aiheeseen tunnistamista varten.

Muistio päättyy ankariin varoituksiin, joissa varoitetaan hakemasta apua tietojen palautusyrityksiltä, ja varoitetaan, että tällaiset tahot voivat hyödyntää tilannetta taloudellisen hyödyn saamiseksi. Lisäksi uhria kehotetaan voimakkaasti olemaan viivyttelemättä maksua ja varoittamaan salattujen tiedostojen poistamista tai muokkaamista mahdollisten komplikaatioiden välttämiseksi salauksen purkuprosessin aikana.

Korostetaan, että lunnaiden maksamista ei suositella, koska se ei ainoastaan pidentää rikollista käyttäytymistä, vaan ei myöskään takaa onnistunutta tietojen palauttamista. Uhreja kehotetaan etsimään vaihtoehtoisia menetelmiä lunnasohjelmahyökkäyksiä vastaan, jotka eivät vaadi hyökkääjien vaatimuksiin antamista.

Kuinka suojata tietosi ja laitteesi kiristysohjelmien uhilta?

Käyttäjien on omaksuttava kattava lähestymistapa kyberturvallisuuteen pitääkseen tietonsa ja laitteensa turvassa kiristysohjelmauhilta. Tässä on viisi olennaista turvatoimenpidettä, jotka tulisi ottaa käyttöön kaikissa laitteissa:

Säännölliset varmuuskopiot : Varmista, että tärkeät tiedot varmuuskopioidaan säännöllisesti. Varmuuskopiot tulee säilyttää eristettyyn ympäristöön, kuten ulkoiselle kovalevylle tai suojattuun pilvipalveluun.

Automatisoi varmuuskopiointi aina kun mahdollista vähentääksesi todennäköisyyttä unohtaa kriittisten tietojen varmuuskopiointi.

Ajantasaiset ohjelmistot ja tietoturvakorjaukset :

1. Pidä käyttöjärjestelmäohjelmistot ajan tasalla uusimmilla tietoturvakorjauksilla.
2. Asenna säännöllisesti päivityksiä korjataksesi haavoittuvuuksia, joita verkkorikolliset voivat hyödyntää.
3. Ota automaattiset päivitykset käyttöön varmistaaksesi, että tietoturvakorjaukset asennetaan nopeasti.

Käytä tehokkaita haittaohjelmien torjuntaratkaisuja :

1. Asenna hyvämaineinen haittaohjelmien torjuntaohjelmisto kaikkiin laitteisiin.
2. Varmista, että tietoturvaohjelmisto päivitetään säännöllisesti, jotta se havaitsee kehittyvät kiristysohjelmauhat ja suojaa niitä vastaan.
3. Suorita säännöllisiä tarkistuksia tunnistaaksesi ja poistaaksesi laitteen mahdolliset haittaohjelmat.

Ole varovainen sähköpostin ja Internetin käytössä : Varo tietojenkalasteluviestejä ja tuntemattomia liitteitä. Vältä epäilyttäviä linkkejä napsauttamalla tai tiedostojen lataamista vahvistamattomista lähteistä.

Käytä sähköpostin suodatustyökaluja mahdollisten haitallisten sähköpostien havaitsemiseen ja suodattamiseen. Pidä itsesi ja tiimisi koulutettuina tietojenkalasteluyritysten merkeistä.

Ota käyttöön käyttäjien koulutus ja tietoisuus : Kouluta käyttäjiä kiristysohjelmiin liittyvistä riskeistä ja kyberturvallisuushygienian tärkeydestä. Edistä vahvoja salasanakäytäntöjä, mukaan lukien yksilöllisten salasanojen käyttö ja kaksivaiheinen todennus (2FA), jos mahdollista.

Kannustaa skeptisyyden kulttuuria, jossa käyttäjät tarkistavat arkaluontoisten tietojen tai odottamattomien tiedostojen latausten oikeutuksen.

Sisällyttämällä nämä turvatoimenpiteet rutiinikäytäntöihinsä käyttäjät voivat parantaa merkittävästi suojautumistaan kiristysohjelmien uhkia vastaan. Monikerroksinen lähestymistapa, jossa yhdistyvät säännölliset varmuuskopiot, ohjelmistopäivitykset, vahvat tietoturvaratkaisut, varovainen verkkokäyttäytyminen ja käyttäjien koulutus, voi yhdessä luoda vahvan suojan kehittyvää kyberuhkia vastaan.

SWIFT Ransomwaren pudottama lunnaita lukee:

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

SWIFT Ransomwaren työpöydän taustakuvana toimittama viesti on:

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'