APT14CHIR-ransomware
Onderzoekers op het gebied van cyberbeveiliging classificeren APT14CHIR als een ransomwarebedreiging. De primaire functie is het versleutelen van bestanden, waardoor ze ontoegankelijk worden voor hun eigenaars. Bovendien verandert APT14CHIR ook de namen van de bestanden die het versleutelt door hun oorspronkelijke bestandsnamen te vervangen door een reeks willekeurige tekens en de extensie '.APT14CHIR' toe te voegen.
De APT14CHIR Ransomware kan bijvoorbeeld de naam van een bestand zoals '1.png' wijzigen in '46bHrwLR0CmRGarY.APT14CHIR', terwijl '2.doc' kan worden hernoemd naar 'qoMCVWgi0Vm27mcu.APT14CHIR.' Bovendien creëert APT14CHIR een losgeldbericht in de vorm van een tekstbestand met de naam 'PLEASE READ.txt' om slachtoffers te informeren dat hun bestanden zijn versleuteld en om instructies te geven over hoe losgeld te betalen om de decoderingssleutel te verkrijgen.
De APT14CHIR Ransomware laat slachtoffers achter met een lijst met eisen
In het losgeldbriefje dat de aanvallers hebben achtergelaten, staat duidelijk dat de cruciale bestanden van het slachtoffer volledig zijn versleuteld met een combinatie van AES- en RSA-versleutelingsalgoritmen, waardoor ze ontoegankelijk zijn voor de rechtmatige eigenaar. De notitie waarschuwt de slachtoffers ook om niet te proberen de bestanden te herstellen met behulp van software van derden, aangezien dit kan leiden tot permanent gegevensverlies of verdere wijziging van de versleutelde bestanden.
Verder beweert de notitie dat de aanvallers de enigen zijn die het probleem kunnen oplossen en dat er geen decoderingstools online beschikbaar zijn om te helpen bij het proces. Dit plaatst de slachtoffers in een moeilijke positie, waar ze moeten vertrouwen op de bereidheid van de aanvallers om de decoderingssleutel te verstrekken in ruil voor losgeld.
De notitie benadrukt ook dat de aanvallers alle zeer vertrouwelijke en persoonlijke gegevens van het slachtoffer, evenals een kopie van hun hoofdservers, naar een privéopslaglocatie hebben geüpload. De aanvallers dreigen deze gegevens pas te vernietigen nadat ze het gevraagde losgeld hebben ontvangen. Als het slachtoffer er echter voor kiest het losgeld niet te betalen, dreigen de cybercriminelen de gegevens openbaar te maken, wat rampzalig kan zijn voor de reputatie van het slachtoffer.
De aanvallers beweren dat ze alleen geld willen en niet van plan zijn de reputatie of het bedrijf van het slachtoffer te schaden. Om meer informatie te krijgen over de noodzakelijke acties om de bestanden te decoderen, wordt het slachtoffer doorverwezen om contact op te nemen met de daders via de e-mailadressen 'martin_catch_ithelp@tutanota.com' en 'martin_catch_ithelp@proton.me' of via de qTox-messenger.
Hoe kunnen gebruikers de schade van aanvallen door bedreigingen zoals de APT14CHIR-ransomware beperken?
Ransomware-aanvallen komen steeds vaker voor en hun impact kan verwoestend zijn. Er zijn echter verschillende maatregelen die gebruikers kunnen nemen om de schade van deze aanvallen te beperken.
Zorg er ten eerste voor dat er regelmatig back-ups van essentiële gegevens worden gemaakt en deze worden opgeslagen op een veilige locatie die niet is verbonden met internet. Dit helpt ervoor te zorgen dat als gegevens zijn versleuteld, deze gemakkelijk kunnen worden hersteld vanaf de back-up en dat het slachtoffer geen losgeld hoeft te betalen.
Ten tweede moeten gebruikers voorzichtig zijn bij het openen van e-mails of het klikken op links van onbekende of verdachte bronnen. Ransomware wordt vaak verspreid via phishing-e-mails en het klikken op een onveilige link of het openen van een gecompromitteerde bijlage kan ertoe leiden dat de ransomware uw computer infecteert.
Het is cruciaal om software en besturingssystemen up-to-date te houden, aangezien ransomware vaak misbruik maakt van kwetsbaarheden in oudere versies van software. Door regelmatig software bij te werken en beveiligingspatches te implementeren, kunt u dit risico verkleinen.
Gebruikers moeten ook sterk overwegen om antimalwaresoftware en firewalls te gebruiken, die kunnen helpen bij het detecteren en voorkomen van ransomware-aanvallen. Deze tools kunnen verdachte activiteiten identificeren en blokkeren, waardoor wordt voorkomen dat de malware toegang krijgt tot uw computer.
Ten slotte moeten gebruikers in het geval van een ransomware-aanval voorkomen dat ze het losgeld betalen. Dit moedigt cybercriminelen alleen maar aan en biedt hen de middelen om hun illegale activiteiten voort te zetten. In plaats daarvan moeten gebruikers de hulp inroepen van cyberbeveiligingsexperts die mogelijk kunnen helpen de versleutelde gegevens te herstellen of de malware van het geïnfecteerde systeem te verwijderen.
De volledige tekst van de losgeldbrief van APT14CHIR is:
'HALLO, UW BEDRIJFSNETWERK IS GEPOTEN
Al uw belangrijke bestanden zijn versleuteld!Uw bestanden BESCHADIGEN NIET! Alleen volledig aangepast. (RSA+AES)
Ze zijn versleuteld met een sterk uniek aes-versleutelingsalgoritme.ELKE POGING OM UW BESTANDEN TE HERSTELLEN MET SOFTWARE VAN DERDEN
ZAL HET PERMANENT CORRUPTEN.
WIJZIG GEEN VERSLEUTELDE BESTANDEN.
HERNOEM GEEN VERSLEUTELDE BESTANDEN.Geen enkele software beschikbaar op internet kan u helpen. Wij zijn de enigen die dat kunnen
los je probleem op.We hebben alle zeer vertrouwelijke/persoonlijke gegevens geüpload en de hoofdservers gekopieerd.
Deze gegevens worden momenteel opgeslagen op een privéopslag.
Deze server wordt na uw betaling direct vernietigd.
Als u besluit niet te betalen, geven we uw gegevens vrij aan het publiek of wederverkoper, concurrenten, lokale overheidsvertegenwoordigers, rechterlijke macht, chantage en aanvalstussenpersoon
U kunt dus verwachten dat uw gegevens in de nabije toekomst openbaar beschikbaar zullen zijn.We zoeken alleen geld en ons doel is niet om uw reputatie te schaden of te voorkomen
uw bedrijf van vernietigen.Neem voor meer informatie en decoderingssleutels contact met ons op:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.meU krijgt alle informatie over de nodige acties om uw bestanden volledig te decoderen.
U kunt ook contact met ons opnemen via de qTox-messenger, dit gaat veel sneller, ondersteuning is 24/7 beschikbaar.
Je kunt downloaden via de link, of de applicatie zelf vinden:24/7 contact opnemen met qTox:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7CUw persoonlijke id:
APT14CHIR'
