FORCE תוכנת כופר

במהלך בדיקה של איומי תוכנות זדוניות פוטנציאליות, חוקרים חשפו את תוכנת הכופר FORCE. ברגע שהוא חודר למכשיר, FORCE יוזם הצפנה על פני סוגי קבצים שונים, ומקיף תמונות, מסמכים, גיליונות אלקטרוניים ועוד. מטרת התוקפים היא להחזיק את הנתונים המוצפנים כבני ערובה ולאלץ את הקורבנות המושפעים לשלם עבור פענוחם. כדי לזהות קורבנות וליצור תקשורת, תוכנת הכופר מוסיפה מזהים ייחודיים, כתובות האימייל של פושעי הסייבר וסיומת '.FORCE' לשמות הקבצים של קבצים מוצפנים. לדוגמה, קובץ שנקרא בתחילה '1.png' יהפוך ל-'1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'

עם השלמת תהליך ההצפנה, המערכת מציגה הערות כופר זהות בשני פורמטים: חלון מוקפץ ('info.hta') וקובץ טקסט ('info.txt'). הודעות אלו מופיעות על שולחן העבודה ובתוך כל הספריות המכילות קבצים מוצפנים. ניתוח נוסף העלה כי FORCE שייכת למשפחת Phobos Ransomware .

FORCE Ransomware סוחט קורבנות תמורת כסף

כתבי הכופר שהוציאה FORCE מדגישים כי תיקי הקורבן הוצפנו וכי נתונים רגישים נפגעו. כדי כביכול להחזיר גישה לקבצים שלהם, הקורבן מקבל הוראה לשלם כופר באמצעות המטבע הקריפטוגרפי של ביטקוין בלבד. אי עמידה בדרישות המפורטות תגרום למכירת המידע הגנוב. לפני ביצוע תשלומים כלשהם, ניתנת לקורבן האפשרות לבדוק את תהליך הפענוח בחינם, אם כי עם מגבלות מסוימות.

ההודעות מזהירות מפני שינוי הקבצים המוצפנים או שימוש בכלי שחזור של צד שלישי, שכן פעולות כאלה עלולות להפוך את הנתונים לבלתי ניתנים לשליפה. בנוסף, הקורבן מוזהר כי פנייה לסיוע מצדדים שלישיים עלולה להסלים את ההפסדים הכספיים שלהם.

תוכנת הכופר של FORCE נוקטת באמצעים כדי למנוע שחזור קל של נתונים נעולים

תוכנית מאיימת זו, חלק ממשפחת Phobos Ransomware, ידועה בגישה השיטתית שלה להצפנה. בניגוד לכמה גרסאות של תוכנות כופר שהופכות מכונות נגועות לבלתי ניתנות להפעלה לחלוטין, התוכנה הזדונית של Phobos ממקדת באופן סלקטיבי לקבצים להצפנה, ונמנעת מקבצי מערכת קריטיים כדי להבטיח שהמערכת תישאר פונקציונלית. הוא מצפין הן קבצים המאוחסנים מקומית והן אלה המשותפים ברשתות ומפסיק תהליכים הקשורים לקבצים פתוחים כדי למנוע פטורים על סמך קבצים שנמצאים בשימוש, כגון תוכניות מסד נתונים או קוראי קבצי טקסט.

כדי למנוע הצפנה כפולה, תוכנת הכופר של Phobos שומרת על רשימת אי הכללה של תוכנות כופר פופולריות. קבצים שכבר ננעלו על ידי תוכנה ברשימה זו לא מושפעים. בנוסף, Phobos מוחק את עותקי ה-Shadow Volume, אפשרות שחזור נפוצה, כדי לסכל עוד יותר ניסיונות לשחזור נתונים.

כדי להבטיח התמדה במכשירים שנפרצו, התוכנה הזדונית מעתיקה את עצמה לנתיב %LOCALAPPDATA% ונרשמת עם מפתחות הפעלה ספציפיים, ומבטיחה שהיא מתחילה אוטומטית עם כל אתחול מחדש של המערכת. מעניין לציין כי תוכנת הכופר של Phobos עשויה להימנע מלתקוף מכשירים על סמך המיקום הגיאוגרפי שלהם, במיוחד אלו באזורים חלשים כלכלית או מדינות בעלות התאמה גיאופוליטית.

פענוח נתונים נעולים על ידי תוכנת כופר ללא התערבות של פושעי סייבר הוא בדרך כלל בלתי אפשרי. גם אם הקורבנות ייענו לדרישות כופר, אין ערובה שהם יקבלו את מפתחות הפענוח או התוכנה שהובטחו. לכן, תשלום הכופר לא רק מבטיח שחזור נתונים אלא גם מנציח פעילויות לא חוקיות.

בעוד שהסרת תוכנות כופר ממערכת ההפעלה מונעת הצפנה נוספת, היא לא משחזרת קבצים שנפגעו. הפתרון האמין היחיד הוא לשחזר קבצים מגיבוי אם קיים כזה.

אל תיקח סיכונים עם בטיחות המכשירים והנתונים שלך

משתמשים יכולים לשפר את ההגנה על הנתונים והמכשירים שלהם מפני איומי תוכנות כופר על ידי יישום גישה רב-שכבתית לאבטחת סייבר. הנה כמה אסטרטגיות יעילות:

• שמור על עדכון תוכנה : עדכן באופן קבוע מערכות הפעלה, יישומי תוכנה ותוכניות אנטי-וירוס כדי לתקן פרצות אבטחה ולהגן מפני ניצול ידוע. אפשר עדכונים אוטומטיים במידת האפשר.
• התקן תוכנת אבטחה מהימנה : השתמש בתוכנת אנטי-זדונית מוכרת כדי לזהות ולהסיר תוכנות כופר ואיומים מזיקים אחרים. ודא שתוכנת האנטי וירוס מתעדכנת לעתים קרובות כדי לזהות את האיומים האחרונים.
• הפעל ערנות עם קבצים מצורפים וקישורים לדוא"ל : היזהר מהודעות דוא"ל חשודות, במיוחד כאלה של שולחים לא ידועים או המכילים קבצים מצורפים או קישורים בלתי צפויים. נסה לא לגשת לקישורים או להוריד קבצים מצורפים מהודעות דוא"ל לא רצויות, מכיוון שהם עלולים להכיל תוכנות כופר או תוכנות זדוניות אחרות.
• גיבוי נתונים באופן קבוע : הגדר אסטרטגיית גיבוי חזקה על ידי גיבוי קבוע של נתונים חשובים לכונן קשיח חיצוני, שירות אחסון בענן או התקן אחסון מחובר לרשת (NAS). ודא שהגיבויים מאוחסנים בצורה מאובטחת ואינם נגישים ישירות מהמערכת הראשית כדי למנוע מהם להיות מוצפנים על ידי תוכנת כופר.
• השתמש בסיסמאות חזקות וייחודיות : צור סיסמאות חזקות ומורכבות לכל החשבונות ואל תשתמש באותה סיסמה במספר חשבונות. שקול את האפשרות להשתמש במנהל סיסמאות מכובד כדי ליצור ולאחסן סיסמאות בצורה מאובטחת.
• אפשר אימות דו-גורמי (2FA) : אפשר אימות דו-גורמי כדי למקסם את האבטחה של החשבונות שלך. 2FA דורש מהמשתמשים לכלול צורה שנייה של אימות, כגון הסיסמה שלהם או קוד שנשלח למכשיר הנייד שלהם.

על ידי אימוץ אמצעים יזומים אלה, משתמשים יכולים לצמצם את ההזדמנויות ליפול קורבן להתקפות כופר ולהגן בצורה משמעותית על הנתונים והמכשירים שלהם.

פתק הכופר שנשלח על ידי FORCE Ransomware הוא:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'