Empire Ransomware
בתהליך הבדיקה של איומי תוכנות זדוניות פוטנציאליות, אנליסטים של אבטחת סייבר זיהו גרסה של תוכנת כופר בשם Empire. זן מסוים זה של תוכנות כופר משתמש בשיטה של הפיכת קבצי הקורבנות לבלתי נגישים על ידי הצפנתם, ובכך מגביל את הגישה שלהם. יש לציין כי Empire משנה את שמות הקבצים על ידי הוספת הסיומת '.emp' לכל קובץ מושפע. לדוגמה, קובץ בשם '1.png' הופך ל-'1.png.emp' ו-'2.doc' הופך ל-'2.doc.emp' וכן הלאה.
יתרה מכך, אימפריה משאירה סימן מובהק על ידי יצירת קובץ בשם 'HOW-TO-DECRYPT.txt'. קובץ טקסט זה משמש כתעודת כופר, ומספק הנחיות לקורבן כיצד להמשיך בתהליך הפענוח.
תוכנת הכופר של Empire סוחטת את קורבנותיה על ידי לקיחת הנתונים שלהם כבני ערובה
התוקפים טוענים שהצפנו בצורה מאובטחת את כל הקבצים במחשב של הקורבן. הם טוענים כי שחזור הקבצים הללו מותנה בתשלום כופר עבור מפענח שרק התוקפים מחזיקים בו. כדי להפעיל את תהליך השחזור, הקורבנות מקבלים הוראה לרכוש את המפענח על ידי יצירת קשר עם בוט טלגרם, הנגיש באמצעות קישור מסופק.
במקרה שהבוט של Telegram אינו נגיש, שיטת תקשורת חלופית מתוארת באמצעות דואר אלקטרוני (howtodecryptreserve@proton.me). הודעת הכופר מפרסמת אזהרה מפני ניסיון שחזור קבצים עצמאי, תוך שימת דגש על הפוטנציאל לנזק בלתי הפיך. הקורבנות מוזהרים עוד לא לכבות את המחשבים שלהם עד שתהליך הפענוח יושלם, דבר המעיד על רגישות הליך השחזור.
לאלה שנפגעו מתוכנת כופר מומלץ מאוד שלא להיכנע לדרישות של גורמי איומים על ידי ביצוע תשלומים, שכן אין ערובה לקבלת כלי פענוח בתמורה. למרבה הצער, פענוח קבצים ללא מעורבות של פושעי סייבר אפשרי רק לעתים רחוקות, אלא אם קיימות פגיעויות או פגמים מובנים בתוכנת הכופר או אם לקורבנות יש גישה לגיבויים לא מושפעים של נתונים.
באופן מכריע, מודגשת הסרה מהירה של תוכנות כופר ממערכת ההפעלה. בעוד שמחשב נשאר נגוע, תוכנת כופר מהווה סיכון של גרימת הצפנות נוספות ויש לה פוטנציאל להתפשט ברשת מקומית, מה שמחריף את השפעת המתקפה. לכן, תגובה מהירה ויסודית לביטול תוכנת הכופר היא הכרחית כדי לצמצם נזקים נוספים.
אבטח את כל המכשירים מפני פריצות פוטנציאליות של תוכנות זדוניות
אבטחת מכשירים מפני חדירות פוטנציאליות של תוכנות זדוניות הינה בסיסית לשמירה על מידע רגיש מוגן ושמירה על שלמות המערכות. להלן מדריך מקיף כיצד משתמשים יכולים לחזק את האבטחה של המכשירים שלהם:
- התקן תוכנה אמינה נגד תוכנות זדוניות : בחר תוכנה אנטי-זדונית מוכרת מספקים מהימנים. שמור את תוכנת האבטחה מעודכנת כדי להבטיח שהיא תוכל לזהות ולנטרל את האיומים האחרונים.
- עדכן באופן קבוע מערכות הפעלה ותוכנה : אפשר עדכונים אוטומטיים עבור מערכות הפעלה, יישומים ותוכנות. עדכונים רגילים מתקנים פגיעויות שתוכנות זדוניות מנצלות לעתים קרובות.
- השתמש בחומת אש : הפעל והגדר חומות אש בנתבי רשת ובהתקנים בודדים. חומות אש פועלות כמחסום, חוסמות גישה לא מורשית ותוכנות זדוניות פוטנציאליות.
- היזהר עם הודעות דוא"ל : הימנע מגישה לקבצים מצורפים לדוא"ל או קישורים ממקורות לא ידועים או חשודים. השתמש בכלי סינון דוא"ל כדי לזהות ולהסגר הודעות דוא"ל שעלולות להיות זדוניות.
- יישם נהלי גלישה בטוחה באינטרנט : השתמש בדפדפני אינטרנט מאובטחים ומעודכנים. התקן הרחבות או תוספים לדפדפן שחוסמים סקריפטים ופרסומות לא בטוחים.
- למד את עצמך והשתמש בהתנהגות מקוונת בטוחה : הישאר מעודכן לגבי איומים מקוונים נפוצים וטקטיקות דיוג. היזהר בעת ביקור באתרים לא מוכרים, והימנע מהורדת קבצים ממקורות לא מהימנים.
- גיבוי נתונים באופן קבוע : גבה באופן קבוע נתונים חשובים למכשיר עצמאי או לשירות ענן מאובטח. ודא שגיבויים אינם נגישים ישירות מהרשת כדי למנוע מתוכנות זדוניות לסכן אותם.
על ידי שילוב נוהלי אבטחה אלה בשגרה שלהם, משתמשים יכולים ליצור הגנה חזקה מפני חדירות פוטנציאליות של תוכנות זדוניות, ולהפחית את הסיכון לפגיעה במכשירים ובנתונים שלהם. ערנות קבועה, חינוך ואמצעים יזומים הם מרכיבי מפתח באסטרטגיית אבטחה מקיפה.
בפתק הכופר שנפלה על ידי Empire Ransomware נכתב:
'Empire welcomes you!
All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this linkhxxps://t.me/how_to_decrypt_bot
If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me
There you will receive an up-to-date contact for personal communication.
אל תנסו לשחזר קבצים בעצמכם, הם עלולים להישבר ולא נוכל להחזיר אותם, נסו גם לא לכבות את המחשב עד לפענוח.
תעודת הזהות שלך היא [-]'
