SWIFT Ransomware

Forskere har oppdaget en ny ransomware-trussel kalt SWIFT Ransomware, som utgjør en betydelig risiko for sikkerheten til ofrenes data. Denne truende programvaren bruker en robust krypteringsalgoritme, som gjør et bredt utvalg av filer fullstendig utilgjengelig. Spesielt går SWIFT Ransomware utover bare kryptering, ettersom den aktivt endrer filnavnene til berørte filer, endrer skrivebordsbakgrunnen på det kompromitterte systemet og genererer en løsepengenotat med tittelen '#SWIFT-Help.txt.'

Filen endret navn innebærer å legge til e-postadressen 'swift_1@tutamail.com' og en. 'SWIFT'-utvidelse til de originale filnavnene. For eksempel vil en fil opprinnelig kalt '1.png' bli transformert til '1.png.[swift_1@tutamail.com].SWIFT,' og på samme måte vil '2.pdf' bli '2.pdf.[swift_1@ tutamail.com].SWIFT,' og så videre. Denne strategien tjener til å identifisere filene som har blitt ofre for løsepengevareangrepet.

Ytterligere undersøkelser av forskere har bekreftet at SWIFT Ransomware er en variant assosiert med Proton malware-familien.

SWIFT Ransomware presser sine ofre for penger

Løseseddelen produsert av SWIFT Ransomware starter med å presentere den alvorlige situasjonen, og forklarer at gjerningsmennene har brukt avanserte krypteringsalgoritmer, spesielt AES og ECC, for å kryptere og stjele alle offerets filer. Bruken av disse algoritmene fremheves som gjør filgjenoppretting uten dekrypteringstjenesten som tilbys av angriperne praktisk talt umulig.

Etter dette skisserer notatet trinnene som er nødvendige for utvinning, og understreker angripernes økonomiske motiver. Nettkriminelle foreslår en transaksjon der offeret kan skaffe dekrypteringsprogramvare og sikre dataødeleggelse ved å foreta en betaling. For å etablere troverdighet foreslår gruppen å sende en liten, uviktig fil (mindre enn 1 MB) for dekryptering som en demonstrasjon av deres evne til å oppfylle løftene sine.

Kontaktdetaljer for kommunikasjon er oppgitt, inkludert en e-postadresse (swift_1@tutamail.com) og Telegram-ID (@swift_support). En alternativ e-postadresse (swift@onionmail.com) tilbys i tilfelle manglende svar innen 24 timer. Offeret blir bedt om å inkludere sin ID i e-postemnet for identifikasjonsformål.

Notatet avsluttes med strenge advarsler mot å søke bistand fra datagjenopprettingsselskaper, og advarer mot at slike enheter kan utnytte situasjonen for økonomisk vinning. Videre frarådes offeret på det sterkeste å utsette betalingen og advares mot å slette eller endre krypterte filer for å unngå potensielle komplikasjoner under dekrypteringsprosessen.

Det understrekes at det på det sterkeste frarådes å betale løsepenger, siden det ikke bare opprettholder kriminell atferd, men heller ikke garanterer vellykket gjenoppretting av data. Ofre oppfordres til å utforske alternative metoder for å håndtere løsepengevareangrep som ikke innebærer å gi etter for angripernes krav.

Hvordan beskytte dataene og enhetene dine mot ransomware-trusler?

For å holde dataene og enhetene deres trygge mot løsepengevaretrusler, bør brukere ta i bruk en omfattende tilnærming til cybersikkerhet. Her er fem viktige sikkerhetstiltak som bør implementeres på alle enheter:

Vanlige sikkerhetskopier : Sørg for at det utføres regelmessige sikkerhetskopier av kritiske data. Sikkerhetskopier bør lagres i et isolert miljø, for eksempel en ekstern harddisk eller en sikker skytjeneste.

Automatiser sikkerhetskopieringsprosessen når det er mulig for å redusere sannsynligheten for å glemme å sikkerhetskopiere viktig informasjon.

Oppdatert programvare og sikkerhetsoppdateringer :

1. Hold operativsystemets programvare oppdatert med de nyeste sikkerhetsoppdateringene.
2. Installer regelmessig oppdateringer for å løse sårbarheter som nettkriminelle kan utnytte.
3. Aktiver automatiske oppdateringer for å sikre at sikkerhetsoppdateringer tas i bruk umiddelbart.

Bruk robuste anti-malware-løsninger :

1. Installer anerkjent anti-malware-programvare på alle enheter.
2. Sørg for at sikkerhetsprogramvaren oppdateres jevnlig for å oppdage og forsvare seg mot nye løsepengevaretrusler.
3. Utfør regelmessige skanninger for å identifisere og eliminere potensiell skadelig programvare på enheten.

Vær forsiktig med bruk av e-post og Internett : Vær forsiktig med phishing-e-poster og ukjente vedlegg. Unngå å klikke på tvilsomme lenker eller laste ned filer fra ubekreftede kilder.

Bruk e-postfiltreringsverktøy for å oppdage og filtrere ut potensielt skadelige e-poster. Hold deg selv og teamet ditt informert om tegn på phishing-forsøk.

Implementer brukeropplæring og bevissthet : Lær brukere om risikoene forbundet med løsepengevare og viktigheten av cybersikkerhetshygiene. Fremme sterke passordpraksis, inkludert bruk av unike passord og tofaktorautentisering (2FA) der det er mulig.

Oppmuntre til en skepsiskultur, der brukere sjekker legitimiteten til forespørsler om sensitiv informasjon eller uventede filnedlastinger.

Ved å inkorporere disse sikkerhetstiltakene i deres rutinepraksis, kan brukere forbedre forsvaret sitt mot løsepengevare-trusler betydelig. En flerlags tilnærming som kombinerer regelmessige sikkerhetskopier, programvareoppdateringer, robuste sikkerhetsløsninger, forsiktig nettadferd og brukerutdanning kan samlet skape et sterkt forsvar mot det utviklende landskapet av cybertrusler.

Løsepengenotaen som ble sluppet av SWIFT Ransomware lyder:

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

Meldingen levert av SWIFT Ransomware som et skrivebordsbakgrunnsbilde er:

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'