FORCE Ransomware
Semasa pemeriksaan potensi ancaman perisian hasad, penyelidik menemui FORCE Ransomware. Sebaik sahaja ia menyusup ke dalam peranti, FORCE memulakan penyulitan merentas pelbagai jenis fail, merangkumi imej, dokumen, hamparan dan banyak lagi. Objektif penyerang adalah untuk menahan tebusan data yang disulitkan dan memaksa mangsa yang terjejas membayar untuk penyahsulitannya. Untuk mengenal pasti mangsa dan mewujudkan komunikasi, perisian tebusan menambahkan pengecam unik, alamat e-mel penjenayah siber dan sambungan '.FORCE' kepada nama fail fail yang disulitkan. Sebagai contoh, fail pada mulanya bernama '1.png' akan diubah menjadi '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Setelah selesai proses penyulitan, sistem memaparkan nota tebusan yang sama dalam dua format: tetingkap timbul ('info.hta') dan fail teks ('info.txt'). Mesej ini muncul pada desktop dan dalam semua direktori yang mengandungi fail yang disulitkan. Analisis lanjut mendedahkan bahawa FORCE tergolong dalam keluarga Phobos Ransomware .
Isi kandungan
FORCE Ransomware Memeras Mangsa untuk Wang
Nota tebusan yang dikeluarkan oleh FORCE menekankan bahawa fail mangsa telah disulitkan dan data sensitif telah dikompromi. Untuk mendapatkan semula akses kepada fail mereka, mangsa diarahkan untuk membayar wang tebusan hanya menggunakan mata wang kripto Bitcoin. Kegagalan untuk mematuhi tuntutan yang disenaraikan akan mengakibatkan penjualan maklumat yang dicuri. Sebelum membuat sebarang pembayaran, mangsa diberi pilihan untuk menguji proses penyahsulitan secara percuma, walaupun dengan batasan tertentu.
Mesej tersebut berhati-hati daripada mengubah fail yang disulitkan atau menggunakan alat pemulihan pihak ketiga, kerana tindakan sedemikian boleh menyebabkan data tidak dapat diperoleh semula. Selain itu, mangsa diberi amaran bahawa mendapatkan bantuan daripada pihak ketiga boleh meningkatkan kerugian kewangan mereka.
FORCE Ransomware Mengambil Langkah-Langkah untuk Mencegah Pemulihan Mudah Data Terkunci
Program mengancam ini, sebahagian daripada keluarga Phobos Ransomware, terkenal dengan pendekatan kaedah penyulitannya. Tidak seperti beberapa varian perisian tebusan yang menyebabkan mesin yang dijangkiti tidak boleh beroperasi sepenuhnya, perisian hasad Phobos secara selektif menyasarkan fail untuk penyulitan, mengelakkan fail sistem kritikal untuk memastikan sistem kekal berfungsi. Ia menyulitkan kedua-dua fail yang disimpan secara tempatan dan yang dikongsi melalui rangkaian dan menamatkan proses yang dikaitkan dengan fail terbuka untuk mengelakkan pengecualian berdasarkan fail yang 'sedang digunakan' seperti program pangkalan data atau pembaca fail teks.
Untuk mengelakkan penyulitan berganda, Phobos Ransomware mengekalkan senarai pengecualian program ransomware yang popular. Fail yang telah dikunci oleh perisian dalam senarai ini kekal tidak terjejas. Selain itu, Phobos memadamkan Salinan Volume Bayangan, pilihan pemulihan biasa, untuk menggagalkan lagi percubaan pada pemulihan data.
Untuk memastikan kegigihan pada peranti yang dilanggar, perisian hasad menyalin dirinya ke laluan %LOCALAPPDATA% dan mendaftar dengan kekunci Jalankan tertentu, memastikan ia bermula secara automatik dengan setiap but semula sistem. Menariknya, perisian tebusan Phobos mungkin mengelak daripada menyerang peranti berdasarkan geolokasi mereka, terutamanya yang berada di kawasan ekonomi yang lemah atau negara yang sejajar dengan geopolitik.
Menyahsulit data yang dikunci oleh perisian tebusan tanpa campur tangan penjenayah siber biasanya mustahil. Walaupun mangsa mematuhi tuntutan wang tebusan, tiada jaminan mereka akan menerima kunci atau perisian penyahsulitan yang dijanjikan. Oleh itu, membayar wang tebusan bukan sahaja gagal menjamin pemulihan data tetapi juga mengekalkan aktiviti haram.
Walaupun mengalih keluar perisian tebusan daripada sistem pengendalian menghalang penyulitan lanjut, ia tidak memulihkan fail yang terjejas. Satu-satunya penyelesaian yang boleh dipercayai ialah memulihkan fail daripada sandaran jika ada.
Jangan Ambil Peluang dengan Keselamatan Peranti dan Data Anda
Pengguna boleh meningkatkan pertahanan data dan peranti mereka daripada ancaman perisian tebusan dengan melaksanakan pendekatan berbilang lapisan untuk keselamatan siber. Berikut adalah beberapa strategi yang berkesan:
- Pastikan Perisian Kemas Kini : Kemas kini sistem pengendalian, aplikasi perisian dan program antivirus secara kerap untuk menambal kelemahan keselamatan dan melindungi daripada eksploitasi yang diketahui. Dayakan kemas kini automatik apabila boleh.
- Pasang Perisian Keselamatan yang Boleh Dipercayai : Gunakan perisian anti-malware yang bereputasi untuk mengesan dan mengalih keluar perisian tebusan dan ancaman berbahaya yang lain. Pastikan perisian antivirus dikemas kini dengan kerap untuk mengenali ancaman terkini.
- Berwaspada dengan Lampiran dan Pautan E-mel : Berwaspada terhadap e-mel yang mencurigakan, terutamanya daripada pengirim yang tidak dikenali atau mengandungi lampiran atau pautan yang tidak dijangka. Cuba untuk tidak mengakses pautan atau memuat turun lampiran daripada e-mel yang tidak diminta, kerana ia mungkin mengandungi perisian tebusan atau perisian hasad lain.
- Sandaran Data Secara Tetap : Sediakan strategi sandaran yang mantap dengan kerap menyandarkan data penting ke pemacu keras luaran, perkhidmatan storan awan atau peranti storan terpasang rangkaian (NAS). Pastikan sandaran disimpan dengan selamat dan tidak boleh diakses secara langsung daripada sistem utama untuk mengelakkannya daripada disulitkan oleh perisian tebusan.
- Gunakan Kata Laluan yang Kuat dan Unik : Cipta kata laluan yang kukuh dan kompleks untuk semua akaun dan jangan gunakan kata laluan yang sama merentas berbilang akaun. Pertimbangkan kemungkinan menggunakan pengurus kata laluan yang bereputasi untuk menjana dan menyimpan kata laluan dengan selamat.
- Dayakan Pengesahan Dua Faktor (2FA) : Dayakan pengesahan dua faktor untuk memaksimumkan keselamatan akaun anda. 2FA memerlukan pengguna untuk memasukkan bentuk pengesahan kedua, seperti kata laluan mereka atau kod yang dihantar ke peranti mudah alih mereka.
Dengan menggunakan langkah proaktif ini, pengguna boleh mengurangkan peluang menjadi mangsa serangan perisian tebusan dan melindungi data dan peranti mereka dengan lebih baik.
Nota tebusan yang digugurkan oleh FORCE Ransomware ialah:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
