SHTORM Ransomware
A SHTORM egyfajta zsarolóprogram, amely titkosítja a fertőzött számítógépeken lévő fájlokat, és fizetést követel egy visszafejtési kulcsért cserébe. A SHTORM első előfordulását 2019-ben észlelték, és azóta számos támadásért felelős világszerte. A SHORM Ransomware a Phobos Ransomware fenyegetések családjába tartozik.
Tartalomjegyzék
Hogyan lép be a SHTORM Ransomware a számítógépbe
A SHTORM Ransomware rendszerint torrentwebhelyeken, feltört e-maileken, nem biztonságos hirdetéseken vagy az áldozat számítógépén található szoftverek biztonsági résein keresztül érkezik. A telepítés után átvizsgálja a számítógépet, hogy keressen bizonyos titkosítandó fájltípusokat, például dokumentumokat, képeket és archívumokat. A titkosított fájlokat egyedi kiterjesztéssel, '.SHTORM'-re nevezik át, és két váltságdíj-jegyzet, info.hta és info.txt marad minden titkosított fájlokat tartalmazó mappában.
A Ransom Note, amelyet a SHTORM Ransomware szállított
A váltságdíj-jegyzet általában utasításokat tartalmaz a váltságdíj kifizetésére vonatkozóan, amelyet általában Bitcoinban vagy más kriptovalutában követelnek. Ezenkívül lehetőséget biztosít a támadókkal való kapcsolatfelvételre a váltságdíj megtárgyalása érdekében, jelen esetben az mjk20@tutanota.com (e-mail), @Stop_24 (Telegram), Tox messenger címen.
A zsarolóprogramok más típusaihoz hasonlóan a SHTORM is jelentős fennakadásokat és pénzügyi veszteségeket okozhat a vállalkozások és magánszemélyek számára. Ezért elengedhetetlen a fertőzések megelőzésére szolgáló intézkedések megtétele, például a szoftverek naprakészen tartása, erős jelszavak használata, valamint az ismeretlen feladótól származó e-mailek és mellékletek megnyitása során. Ezenkívül ajánlott rendszeresen biztonsági másolatot készíteni a kulcsfontosságú fájlokról, és biztonságos helyen tárolni őket zsarolóvírus-támadások esetére.
Hogyan kell reagálni a SHTORM Ransomware fertőzés esetén
Ha a számítógépe megfertőződik a SHTORM Ransomware-vel, az első lépés az, hogy azonnal leválasztja az internetről. Ez megakadályozza a fertőzés további terjedését, és megakadályozza a további adatok titkosítását. Futtasson egy kártevőirtó-ellenőrzést is a rendszerén, hogy észlelje a támadáshoz felhasználható rosszindulatú fájlokat.
Miután megbizonyosodott arról, hogy a rendszer már nem csatlakozik az internethez, próbálja meg azonosítani, mely fájlokat titkosította a SHTORM. Ha lehetséges, készítsen biztonsági másolatot ezekről a titkosított fájlokról egy külső tárolóeszközre vagy felhőalapú tárolási szolgáltatásra, hogy ne veszítse el őket teljesen, ha úgy dönt, hogy nem fizeti a váltságdíjat.
Soha ne próbáljon meg váltságdíjat fizetni, mivel nincs garancia arra, hogy fizetés után megkapja a visszafejtő kulcsot, vagy akár feloldja az összes titkosított fájl zárolását. Ehelyett vegye fel a kapcsolatot egy biztonsági szakértővel, aki segíthet felmérni a helyzetet, és tanácsot ad a legjobban eljárni. Előfordulhat, hogy a váltságdíj megfizetése nélkül visszaállíthatják fájljait.
A következő az info.txt váltságdíj feljegyzés, amelyet a SHORM Ransomware mutatott be áldozatainak:
'Minden fájlja titkosítva van!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk az mjk20@tutanota.com e-mail címre
Írja be ezt az azonosítót az üzenet címébe: 9ECFA84E-3351
Ha nem kap választ 24 órán belül, kérjük, vegye fel velünk a kapcsolatot a Telegram.org fiókon keresztül: @Stop_24
Vagy írjon nekünk a TOX Messengernek: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
A TOX messenger programot innen töltheti le: hxxps://tox.chat/
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik felek segítségével történő visszafejtése magasabb árat eredményezhet (ők hozzáteszik a díjukat a miénkhez), vagy átverés áldozatává válhat.'
Az info.hta váltságdíjas üzenete így szól:
'!!!Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: mjk20@tutanota.com.
Ha 24 órán belül nem válaszolunk, küldjön üzenetet a táviratra: @Stop_24
Vagy írjon nekünk a TOX Messengernek: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
