FORCE-ransomware
Tijdens een onderzoek naar mogelijke malwarebedreigingen ontdekten onderzoekers de FORCE Ransomware. Zodra het een apparaat infiltreert, initieert FORCE de codering van verschillende bestandstypen, waaronder afbeeldingen, documenten, spreadsheets en meer. Het doel van de aanvallers is om de gecodeerde gegevens te gijzelen en de getroffen slachtoffers te dwingen te betalen voor de decodering ervan. Om slachtoffers te identificeren en communicatie tot stand te brengen, voegt de ransomware unieke identificatiegegevens, de e-mailadressen van de cybercriminelen en een '.FORCE'-extensie toe aan de bestandsnamen van gecodeerde bestanden. Een bestand dat aanvankelijk '1.png' heette, zou bijvoorbeeld worden omgezet in '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Na voltooiing van het coderingsproces geeft het systeem identieke losgeldbriefjes weer in twee formaten: een pop-upvenster ('info.hta') en een tekstbestand ('info.txt'). Deze berichten verschijnen op het bureaublad en in alle mappen die gecodeerde bestanden bevatten. Uit verdere analyse bleek dat FORCE tot de Phobos Ransomware- familie behoort.
Inhoudsopgave
De FORCE Ransomware perst slachtoffers af voor geld
De door FORCE uitgegeven losgeldbriefjes benadrukken dat de bestanden van het slachtoffer zijn versleuteld en dat gevoelige gegevens zijn gecompromitteerd. Om zogenaamd weer toegang te krijgen tot hun bestanden, krijgt het slachtoffer de opdracht om losgeld te betalen met alleen de Bitcoin-cryptocurrency. Het niet voldoen aan de genoemde eisen zal resulteren in de verkoop van de gestolen informatie. Voordat het slachtoffer enige betaling doet, krijgt het de mogelijkheid om het decoderingsproces gratis te testen, zij het met bepaalde beperkingen.
De berichten waarschuwen tegen het wijzigen van de gecodeerde bestanden of het gebruik van hersteltools van derden, omdat dergelijke acties de gegevens onherstelbaar kunnen maken. Bovendien wordt het slachtoffer gewaarschuwd dat het zoeken naar hulp van derden hun financiële verliezen kan doen escaleren.
De FORCE Ransomware neemt maatregelen om eenvoudig herstel van vergrendelde gegevens te voorkomen
Dit bedreigende programma, onderdeel van de Phobos Ransomware-familie, staat bekend om zijn methodische benadering van encryptie. In tegenstelling tot sommige ransomwarevarianten die geïnfecteerde machines volledig onbruikbaar maken, richt de Phobos-malware zich selectief op bestanden voor versleuteling, waarbij kritieke systeembestanden worden vermeden om ervoor te zorgen dat het systeem functioneel blijft. Het codeert zowel lokaal opgeslagen bestanden als bestanden die via netwerken worden gedeeld en beëindigt processen die verband houden met geopende bestanden om uitzonderingen te voorkomen op basis van bestanden die 'in gebruik' zijn, zoals databaseprogramma's of tekstbestandlezers.
Om dubbele encryptie te voorkomen, houdt de Phobos Ransomware een uitsluitingslijst bij van populaire ransomwareprogramma's. Bestanden die al zijn vergrendeld door software op deze lijst blijven onaangetast. Bovendien verwijdert Phobos de schaduwvolumekopieën, een veelgebruikte hersteloptie, om pogingen tot gegevensherstel verder te dwarsbomen.
Om persistentie op de geschonden apparaten te garanderen, kopieert de malware zichzelf naar het pad %LOCALAPPDATA% en registreert zich met specifieke Run-sleutels, zodat deze automatisch wordt gestart bij elke herstart van het systeem. Interessant is dat de Phobos-ransomware mogelijk afziet van het aanvallen van apparaten op basis van hun geolocatie, vooral die in economisch zwakke regio's of geopolitieke landen.
Het ontsleutelen van door ransomware vergrendelde gegevens zonder tussenkomst van cybercriminelen is doorgaans onmogelijk. Zelfs als de slachtoffers aan de losgeldeisen voldoen, is er geen garantie dat ze de beloofde decoderingssleutels of software zullen ontvangen. Daarom garandeert het betalen van het losgeld niet alleen het gegevensherstel, maar bestendigt het ook illegale activiteiten.
Hoewel het verwijderen van ransomware uit het besturingssysteem verdere versleuteling verhindert, worden aangetaste bestanden niet hersteld. De enige betrouwbare oplossing is het herstellen van bestanden vanaf een back-up, als deze beschikbaar is.
Neem geen risico met de veiligheid van uw apparaten en gegevens
Gebruikers kunnen de verdediging van hun gegevens en apparaten tegen ransomware-bedreigingen verbeteren door een meerlaagse aanpak van cyberbeveiliging te implementeren. Hier zijn enkele effectieve strategieën:
- Houd software bijgewerkt : Update regelmatig besturingssystemen, softwareapplicaties en antivirusprogramma's om beveiligingskwetsbaarheden te patchen en bescherming te bieden tegen bekende exploits. Schakel waar mogelijk automatische updates in.
- Installeer betrouwbare beveiligingssoftware : gebruik gerenommeerde anti-malwaresoftware om ransomware en andere schadelijke bedreigingen te detecteren en te verwijderen. Zorg ervoor dat de antivirussoftware regelmatig wordt bijgewerkt om de nieuwste bedreigingen te herkennen.
- Wees waakzaam met e-mailbijlagen en links : Wees op uw hoede voor verdachte e-mails, vooral als deze van onbekende afzenders komen of onverwachte bijlagen of links bevatten. Probeer geen toegang te krijgen tot links en geen bijlagen te downloaden van ongevraagde e-mails, aangezien deze mogelijk ransomware of andere malware bevatten.
- Regelmatig back-ups van gegevens maken : Stel een robuuste back-upstrategie op door regelmatig een back-up van belangrijke gegevens te maken op een externe harde schijf, cloudopslagservice of NAS-apparaat (Network Attached Storage). Zorg ervoor dat back-ups veilig worden opgeslagen en niet rechtstreeks toegankelijk zijn vanaf het primaire systeem om te voorkomen dat ze worden gecodeerd door ransomware.
- Gebruik sterke, unieke wachtwoorden : Creëer sterke, complexe wachtwoorden voor alle accounts en gebruik niet hetzelfde wachtwoord voor meerdere accounts. Overweeg de mogelijkheid om een gerenommeerde wachtwoordbeheerder te gebruiken om wachtwoorden veilig te genereren en op te slaan.
- Schakel tweefactorauthenticatie (2FA) in : schakel tweefactorauthenticatie in om de veiligheid van uw accounts te maximaliseren. 2FA vereist dat gebruikers een tweede vorm van verificatie toevoegen, zoals hun wachtwoord of een code die naar hun mobiele apparaat wordt verzonden.
Door deze proactieve maatregelen te nemen, kunnen gebruikers de kans verkleinen dat ze het slachtoffer worden van ransomware-aanvallen en hun gegevens en apparaten aanzienlijk beter beschermen.
Het losgeldbriefje dat door FORCE Ransomware is achtergelaten, is:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
