FORCE Ransomware
A potenciális rosszindulatú programok vizsgálata során a kutatók felfedezték a FORCE Ransomware-t. Amint behatol egy eszközbe, a FORCE titkosítást kezdeményez különféle fájltípusok között, beleértve a képeket, dokumentumokat, táblázatokat és egyebeket. A támadók célja, hogy a titkosított adatokat túszul ejtsék, és az érintett áldozatokat a visszafejtés fizetésére kényszerítsék. Az áldozatok azonosítása és a kommunikáció kialakítása érdekében a zsarolóprogram egyedi azonosítókat, a kiberbűnözők e-mail címét és egy „.FORCE” kiterjesztést ad a titkosított fájlok fájlnevéhez. Például egy eredetileg '1.png' nevű fájl a következőre alakul át: '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
A titkosítási folyamat befejeztével a rendszer két formátumban jeleníti meg az azonos váltságdíjat: egy felugró ablakban ('info.hta') és egy szöveges fájlban ('info.txt'). Ezek az üzenetek megjelennek az asztalon és az összes titkosított fájlokat tartalmazó könyvtárban. A további elemzés feltárta, hogy a FORCE a Phobos Ransomware családhoz tartozik.
Tartalomjegyzék
A FORCE Ransomware pénzért zsarolja ki az áldozatokat
A FORCE által kiadott váltságdíj-jegyzetek hangsúlyozzák, hogy az áldozat fájljait titkosították, és az érzékeny adatokat feltörték. Ahhoz, hogy állítólag visszaszerezze a hozzáférést fájljaihoz, az áldozatot arra utasítják, hogy fizessen váltságdíjat kizárólag a Bitcoin kriptovalutájával. A felsorolt követelések be nem tartása az ellopott információ értékesítését vonja maga után. Mielőtt bármilyen fizetést teljesítene, az áldozat lehetőséget kap a visszafejtési folyamat ingyenes tesztelésére, bár bizonyos korlátozásokkal.
Az üzenetek figyelmeztetnek a titkosított fájlok megváltoztatására vagy harmadik féltől származó helyreállítási eszközök használatára, mivel az ilyen műveletek visszaállíthatatlanná tehetik az adatokat. Ezenkívül figyelmeztetik az áldozatot, hogy harmadik felek segítségének kérése növelheti anyagi veszteségeit.
A FORCE Ransomware intézkedéseket tesz a zárolt adatok könnyű helyreállításának megakadályozására
Ez a fenyegető program, amely a Phobos Ransomware család része, a titkosítás módszeres megközelítéséről ismert. Ellentétben néhány zsarolóprogram-változattal, amelyek teljesen működésképtelenné teszik a fertőzött gépeket, a Phobos kártevő szelektíven megcélozza a fájlokat titkosítás céljából, elkerülve a kritikus rendszerfájlokat, hogy biztosítsa a rendszer működőképességét. Titkosítja mind a helyileg tárolt, mind a hálózaton megosztott fájlokat, és leállítja a nyitott fájlokhoz kapcsolódó folyamatokat, hogy megakadályozza a „használatban” lévő fájlok (például adatbázis-programok vagy szöveges fájl-olvasók) alapján történő felmentéseket.
A kettős titkosítás elkerülése érdekében a Phobos Ransomware fenntartja a népszerű ransomware programok kizárási listáját. A listán szereplő szoftver által már zárolt fájlok változatlanok maradnak. Ezenkívül a Phobos törli a Shadow Volume Copies-t, amely egy gyakori helyreállítási lehetőség, hogy tovább akadályozza az adat-visszaállítási kísérleteket.
A megsértett eszközökön való fennmaradás érdekében a rosszindulatú program a %LOCALAPPDATA% elérési útra másolja magát, és meghatározott Futtatási kulcsokkal regisztrálja magát, biztosítva, hogy minden rendszer újraindításkor automatikusan elinduljon. Érdekes módon a Phobos ransomware tartózkodhat attól, hogy földrajzi elhelyezkedésük alapján támadja meg az eszközöket, különösen azokat, amelyek a gazdaságilag gyenge régiókban vagy geopolitikailag igazodó országokban találhatók.
A ransomware által zárolt adatok visszafejtése számítógépes bűnözők beavatkozása nélkül jellemzően lehetetlen. Még ha az áldozatok teljesítik is a váltságdíjat, nincs garancia arra, hogy megkapják a megígért visszafejtő kulcsokat vagy szoftvereket. Ezért a váltságdíj kifizetése nemcsak az adatok helyreállítását nem garantálja, hanem az illegális tevékenységeket is fenntartja.
Míg a ransomware eltávolítása az operációs rendszerből megakadályozza a további titkosítást, nem állítja vissza a feltört fájlokat. Az egyetlen megbízható megoldás a fájlok helyreállítása biztonsági másolatból, ha van ilyen.
Ne kockáztasson eszközei és adatai biztonságával
A felhasználók a kiberbiztonság többrétegű megközelítésével fokozhatják adataik és eszközeik védelmét a ransomware fenyegetések ellen. Íme néhány hatékony stratégia:
- A szoftver frissítése : Rendszeresen frissítse az operációs rendszereket, szoftveralkalmazásokat és víruskereső programokat a biztonsági rések bejavítása és az ismert kihasználások elleni védelem érdekében. Amikor csak lehetséges, engedélyezze az automatikus frissítéseket.
- Telepítse a Megbízható biztonsági szoftvert : Használjon jó hírű kártevőirtó szoftvert a zsarolóvírusok és egyéb káros fenyegetések észlelésére és eltávolítására. Győződjön meg arról, hogy a víruskereső szoftvert gyakran frissíti, hogy felismerje a legújabb fenyegetéseket.
- Gyakoroljon éberséget az e-mail mellékletekkel és linkekkel : Legyen óvatos a gyanús e-mailekkel, különösen az ismeretlen feladóktól származó vagy váratlan mellékleteket vagy hivatkozásokat tartalmazó e-mailekkel. Ne férjen hozzá a linkekhez, és ne töltse le a kéretlen e-mailek mellékleteit, mivel ezek zsarolóprogramokat vagy más rosszindulatú programokat tartalmazhatnak.
- Rendszeresen készítsen biztonsági mentést az adatokról : Állítson be robusztus biztonsági mentési stratégiát a fontos adatok rendszeres biztonsági mentésével egy külső merevlemezre, felhőalapú tárolási szolgáltatásra vagy hálózathoz csatlakoztatott tárolóeszközre (NAS). Győződjön meg arról, hogy a biztonsági másolatok biztonságosan vannak tárolva, és nem érhetők el közvetlenül az elsődleges rendszerből, nehogy ransomware titkosítsa őket.
- Használjon erős, egyedi jelszavakat : Hozzon létre erős, összetett jelszavakat minden fiókhoz, és ne használja ugyanazt a jelszót több fiókban. Fontolja meg annak lehetőségét, hogy jó hírű jelszókezelőt használjon a jelszavak biztonságos generálására és tárolására.
- Kéttényezős hitelesítés engedélyezése (2FA) : Engedélyezze a kéttényezős hitelesítést a fiókok biztonságának maximalizálása érdekében. A 2FA megköveteli a felhasználóktól, hogy csatoljanak egy második ellenőrzési módot, például jelszavukat vagy a mobileszközükre küldött kódot.
Ezekkel a proaktív intézkedésekkel a felhasználók csökkenthetik annak lehetőségét, hogy ransomware támadások áldozatává váljanak, és jelentősen megvédjék adataikat és eszközeiket.
A FORCE Ransomware által eldobott váltságdíj a következő:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
