FORCE Ransomware

Nagrinėdami galimas kenkėjiškų programų grėsmes, mokslininkai atskleidė FORCE Ransomware. Įsiskverbusi į įrenginį, FORCE inicijuoja įvairių tipų failų šifravimą, apimantį vaizdus, dokumentus, skaičiuokles ir kt. Užpuolikų tikslas yra laikyti užšifruotus duomenis įkaitais ir priversti nukentėjusias aukas mokėti už jų iššifravimą. Siekdama identifikuoti aukas ir užmegzti ryšį, išpirkos reikalaujanti programa prie užšifruotų failų failų pavadinimų prideda unikalius identifikatorius, kibernetinių nusikaltėlių el. pašto adresus ir plėtinį „.FORCE“. Pavyzdžiui, failas, iš pradžių pavadintas „1.png“, būtų paverstas „1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE“.

Užbaigus šifravimo procesą, sistema rodo identiškus išpirkos raštelius dviem formatais: iššokančiame lange („info.hta“) ir tekstiniame faile („info.txt“). Šie pranešimai rodomi darbalaukyje ir visuose kataloguose, kuriuose yra užšifruotų failų. Tolesnė analizė atskleidė, kad FORCE priklauso Phobos Ransomware šeimai.

FORCE Ransomware išvilioja aukas už pinigus

FORCE išleistuose išpirkos raštuose pabrėžiama, kad aukos failai buvo užšifruoti, o jautrūs duomenys buvo pažeisti. Kad tariamai atgautų prieigą prie savo failų, aukai nurodoma sumokėti išpirką naudojant tik Bitcoin kriptovaliutą. Nesilaikant išvardintų reikalavimų, pavogta informacija bus parduota. Prieš atliekant bet kokius mokėjimus, aukai suteikiama galimybė nemokamai išbandyti iššifravimo procesą, nors ir su tam tikrais apribojimais.

Pranešimuose įspėjama nekeisti šifruotų failų arba naudoti trečiųjų šalių atkūrimo įrankius, nes tokie veiksmai gali padaryti duomenis neatkuriami. Be to, auka įspėjama, kad pagalbos kreipimasis į trečiąsias šalis gali padidinti finansinius nuostolius.

FORCE Ransomware imasi priemonių, kad būtų išvengta lengvo užrakintų duomenų atkūrimo

Ši grėsminga programa, priklausanti „Phobos Ransomware“ šeimai, žinoma dėl savo metodiško požiūrio į šifravimą. Skirtingai nuo kai kurių išpirkos reikalaujančių programų variantų, dėl kurių užkrėsti įrenginiai visiškai neveikia, „Phobos“ kenkėjiška programa selektyviai taikosi į šifruojamus failus, vengdama svarbių sistemos failų, kad užtikrintų sistemos veikimą. Jis užšifruoja ir vietoje saugomus, ir per tinklus bendrinamus failus ir nutraukia su atidarytais failais susijusius procesus, kad būtų išvengta išimčių, pagrįstų „naudojamais“ failais, pvz., duomenų bazių programomis arba tekstinių failų skaitytuvais.

Siekdama išvengti dvigubo šifravimo, „Phobos Ransomware“ palaiko populiarių išpirkos reikalaujančių programų sąrašą. Šiame sąraše esantys failai, kuriuos jau užrakino programinė įranga, lieka nepakitę. Be to, „Phobos“ ištrina „Shadow Volume Copies“ – įprastą atkūrimo parinktį, kad toliau trukdytų bandymams atkurti duomenis.

Siekiant užtikrinti išlikimą pažeistuose įrenginiuose, kenkėjiška programa nukopijuoja save į %LOCALAPPDATA% kelią ir užsiregistruoja su tam tikrais paleidimo raktais, užtikrindama, kad ji automatiškai paleidžiama kiekvieną kartą paleidus sistemą iš naujo. Įdomu tai, kad „Phobos“ išpirkos reikalaujančios programos gali susilaikyti nuo atakų įrenginių pagal jų geografinę vietą, ypač ekonomiškai silpnuose regionuose arba geopolitiškai suderintose šalyse.

Paprastai neįmanoma iššifruoti išpirkos reikalaujančių programų užrakintų duomenų be kibernetinių nusikaltėlių įsikišimo. Net jei aukos laikosi išpirkos reikalavimų, nėra jokios garantijos, kad jos gaus pažadėtus iššifravimo raktus ar programinę įrangą. Todėl išpirkos sumokėjimas ne tik neužtikrina duomenų atkūrimo, bet ir įamžina neteisėtą veiklą.

Nors pašalinus išpirkos reikalaujančią programinę įrangą iš operacinės sistemos užkertamas kelias tolesniam šifravimui, jis neatkuria pažeistų failų. Vienintelis patikimas sprendimas yra atkurti failus iš atsarginės kopijos, jei ji yra.

Nerizikuokite dėl savo įrenginių ir duomenų saugumo

Įdiegę daugiasluoksnį kibernetinio saugumo metodą, vartotojai gali sustiprinti savo duomenų ir įrenginių apsaugą nuo išpirkos reikalaujančių programų. Štai keletas veiksmingų strategijų:

• Atnaujinkite programinę įrangą : reguliariai atnaujinkite operacines sistemas, programinės įrangos programas ir antivirusines programas, kad pataisytumėte saugos spragas ir apsisaugotumėte nuo žinomų išnaudojimų. Kai tik įmanoma, įjunkite automatinius naujinimus.
• Įdiekite patikimą saugos programinę įrangą : naudokite patikimą apsaugos nuo kenkėjiškų programų programinę įrangą, kad aptiktumėte ir pašalintumėte išpirkos reikalaujančias programas ir kitas kenksmingas grėsmes. Įsitikinkite, kad antivirusinė programinė įranga dažnai atnaujinama, kad atpažintumėte naujausias grėsmes.
• Būkite budrūs naudodami el. pašto priedus ir nuorodas : būkite atsargūs dėl įtartinų el. laiškų, ypač iš nežinomų siuntėjų arba su netikėtais priedais ar nuorodomis. Stenkitės nepasiekti nuorodų ar atsisiųsti priedų iš nepageidaujamų el. laiškų, nes juose gali būti išpirkos reikalaujančių ar kitų kenkėjiškų programų.
• Reguliariai kurkite atsargines duomenų kopijas : nustatykite patikimą atsarginės kopijos kūrimo strategiją, reguliariai kurdami svarbių duomenų atsargines kopijas išoriniame standžiajame diske, saugyklos debesyje paslaugoje arba prie tinklo prijungtame saugojimo įrenginyje. Įsitikinkite, kad atsarginės kopijos yra saugiai saugomos ir nėra tiesiogiai pasiekiamos iš pirminės sistemos, kad jų neužšifruotų išpirkos reikalaujančios programos.
• Naudokite stiprius, unikalius slaptažodžius : sukurkite stiprius, sudėtingus slaptažodžius visoms paskyroms ir nenaudokite to paties slaptažodžio keliose paskyrose. Apsvarstykite galimybę naudoti patikimą slaptažodžių tvarkyklę, kad galėtumėte saugiai generuoti ir saugoti slaptažodžius.
• Įgalinti dviejų veiksnių autentifikavimą (2FA) : įgalinkite dviejų veiksnių autentifikavimą, kad padidintumėte savo paskyrų saugumą. 2FA reikalauja, kad vartotojai įtrauktų antrą patvirtinimo formą, pvz., slaptažodį arba į mobilųjį įrenginį išsiųstą kodą.

Taikydami šias aktyvias priemones vartotojai gali sumažinti galimybę tapti išpirkos reikalaujančių programų atakų aukomis ir žymiai geriau apsaugoti savo duomenis ir įrenginius.

FORCE Ransomware numetė išpirkos raštelį:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'