APT14CHIR Ransomware
Analitycy cyberbezpieczeństwa klasyfikują APT14CHIR jako zagrożenie ransomware. Jego podstawową funkcją jest szyfrowanie plików, co czyni je niedostępnymi dla ich właścicieli. Ponadto APT14CHIR zmienia również nazwy plików, które szyfruje, zastępując oryginalne nazwy plików sekwencją losowych znaków i dodając rozszerzenie „.APT14CHIR”.
Na przykład APT14CHIR Ransomware może zmienić nazwę pliku, np. „1.png” na „46bHrwLR0CmRGarY.APT14CHIR”, podczas gdy „2.doc” można zmienić na „qoMCVWgi0Vm27mcu.APT14CHIR”. Ponadto APT14CHIR tworzy wiadomość z żądaniem okupu w postaci pliku tekstowego o nazwie "PROSZĘ PRZECZYTAĆ.txt", aby poinformować ofiary, że ich pliki zostały zaszyfrowane i dostarczyć instrukcje, jak zapłacić okup, aby uzyskać klucz odszyfrowywania.
APT14CHIR Ransomware pozostawia ofiary z listą żądań
Żądanie okupu pozostawione przez atakujących wyraźnie stwierdza, że kluczowe pliki ofiary zostały całkowicie zaszyfrowane za pomocą kombinacji algorytmów szyfrowania AES i RSA, co czyni je niedostępnymi dla prawowitego właściciela. Notatka ostrzega również ofiary, aby nie próbowały przywracać plików przy użyciu oprogramowania innych firm, ponieważ może to doprowadzić do trwałej utraty danych lub dalszej modyfikacji zaszyfrowanych plików.
Ponadto w notatce stwierdza się, że osoby atakujące są jedynymi osobami, które są w stanie rozwiązać problem i że nie ma dostępnych online narzędzi deszyfrujących, które mogłyby pomóc w tym procesie. Stawia to ofiary w trudnej sytuacji, w której muszą polegać na gotowości atakujących do dostarczenia klucza deszyfrującego w zamian za zapłatę okupu.
W notatce podkreślono również, że napastnicy przesłali wszystkie wysoce poufne i osobiste dane ofiary, a także kopię swoich głównych serwerów do prywatnego magazynu. Atakujący grożą zniszczeniem tych danych dopiero po otrzymaniu żądanej kwoty okupu. Jeśli jednak ofiara zdecyduje się nie płacić okupu, cyberprzestępcy grożą upublicznieniem danych, co może mieć katastrofalne skutki dla reputacji ofiary.
Napastnicy twierdzą, że chcą tylko pieniędzy i nie zamierzają szkodzić reputacji ani biznesowi ofiary. Aby uzyskać więcej informacji na temat działań niezbędnych do odszyfrowania plików, ofiara jest kierowana do skontaktowania się ze sprawcami za pośrednictwem adresów e-mail „martin_catch_ithelp@tutanota.com” i „martin_catch_ithelp@proton.me” lub za pośrednictwem komunikatora qTox.
W jaki sposób użytkownicy mogą ograniczyć szkody spowodowane atakami takimi zagrożeniami jak APT14CHIR Ransomware?
Ataki ransomware stają się coraz bardziej powszechne, a ich wpływ może być druzgocący. Istnieje jednak kilka środków, które użytkownicy mogą podjąć, aby złagodzić szkody spowodowane przez te ataki.
Po pierwsze, upewnij się, że regularnie wykonujesz kopie zapasowe ważnych danych i przechowujesz je w bezpiecznym miejscu, które nie jest połączone z Internetem. Pomoże to zapewnić, że jeśli dane są zaszyfrowane, można je łatwo przywrócić z kopii zapasowej, a ofiara nie musi płacić okupu.
Po drugie, użytkownicy powinni zachować ostrożność podczas otwierania wiadomości e-mail lub klikania linków z nieznanych lub podejrzanych źródeł. Oprogramowanie ransomware jest często rozpowszechniane za pośrednictwem wiadomości e-mail służących do wyłudzania informacji, a kliknięcie niebezpiecznego łącza lub otwarcie zainfekowanego załącznika może spowodować zainfekowanie komputera przez oprogramowanie ransomware.
Aktualizowanie oprogramowania i systemów operacyjnych ma kluczowe znaczenie, ponieważ oprogramowanie ransomware często wykorzystuje luki w zabezpieczeniach starszych wersji oprogramowania. Regularne aktualizowanie oprogramowania i wdrażanie poprawek bezpieczeństwa pomoże ograniczyć to ryzyko.
Użytkownicy powinni również zdecydowanie rozważyć użycie oprogramowania chroniącego przed złośliwym oprogramowaniem i zapór ogniowych, które mogą pomóc w wykrywaniu ataków ransomware i zapobieganiu im. Narzędzia te mogą identyfikować i blokować podejrzane działania, uniemożliwiając złośliwemu oprogramowaniu uzyskanie dostępu do komputera.
Wreszcie, w przypadku ataku ransomware, użytkownicy powinni unikać płacenia okupu. To tylko zachęca cyberprzestępców i zapewnia im zasoby do kontynuowania nielegalnej działalności. Zamiast tego użytkownicy powinni zwrócić się o pomoc do ekspertów ds. cyberbezpieczeństwa, którzy mogą pomóc w odzyskaniu zaszyfrowanych danych lub usunięciu złośliwego oprogramowania z zainfekowanego systemu.
Pełny tekst żądania okupu od APT14CHIR to:
„WITAJ, SIEĆ TWOJEJ FIRMY ZOSTAŁA Spenetrowana
Wszystkie ważne pliki zostały zaszyfrowane!Twoje pliki NIE USZKODZONE! Tylko w pełni zmodyfikowany. (RSA+AES)
Są one szyfrowane za pomocą silnego, unikalnego algorytmu szyfrowania aes.WSZELKIE PRÓBY PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA OSÓB TRZECICH
BĘDZIE TO TRWAŁE USZKODZIĆ.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.Żadne oprogramowanie dostępne w Internecie nie może ci pomóc. Jesteśmy jedynymi, którzy mogą
rozwiązać swój problem.Przesłaliśmy wszystkie wysoce poufne/osobowe dane i skopiowaliśmy główne serwery.
Dane te są obecnie przechowywane w pamięci prywatnej.
Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane publicznie lub odsprzedawcy, konkurencji, przedstawicielowi samorządu terytorialnego, wymiarowi sprawiedliwości, pośrednikowi szantażującemu i atakującemu
Możesz więc spodziewać się, że Twoje dane będą publicznie dostępne w najbliższej przyszłości.Szukamy tylko pieniędzy, a naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
swoją firmę przed zniszczeniem.Aby uzyskać więcej informacji i kluczy deszyfrujących, skontaktuj się z nami:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.meOtrzymasz wszystkie informacje o działaniach niezbędnych do pełnego odszyfrowania plików.
Możesz również skontaktować się z nami za pomocą komunikatora qTox, będzie znacznie szybciej, wsparcie jest dostępne 24/7.
Możesz pobrać z linku lub samodzielnie znaleźć aplikację:Kontakt z qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7CTwój osobisty identyfikator:
APT14CHIR'
