Całe oprogramowanie ransomware
Badacze odkryli nowe zagrożenie ransomware o nazwie „Whole”. To szkodliwe oprogramowanie służy do szyfrowania danych w zainfekowanych systemach, a następnie żądania okupu od właściciela komputera w zamian za klucz deszyfrujący. Aby przeprowadzić swoje destrukcyjne działanie, Whole Ransomware blokuje różne typy plików i dodaje do nazwy każdego pliku rozszerzenie „.whole”. Na przykład, jeśli plik miał pierwotnie nazwę „1.jpg”, po zaszyfrowaniu jego nazwa została zmieniona na „1.jpg.whole”. Ten proces zmiany nazwy ma wpływ na wszystkie typy plików, takie jak obrazy, dokumenty i inne.
Oprócz szyfrowania plików, Whole Ransomware zmienia także tapetę pulpitu zainfekowanego systemu, dając jasno do zrozumienia, że system został zainfekowany. Ponadto ransomware tworzy notatkę z żądaniem okupu zatytułowaną „README-ID-[identyfikator_ofiary].txt” na zhakowanym urządzeniu. Treść tej notatki służy jako wiadomość dla ofiary, zawierająca instrukcje dotyczące zapłacenia żądanego okupu i uzyskania klucza deszyfrującego.
Żądanie okupu i inne wskazówki sugerują, że to konkretne oprogramowanie ransomware jest skierowane przede wszystkim do firm i organizacji, a nie do indywidualnych użytkowników domowych. Wskazuje to na wyższy poziom wyrafinowania i prawdopodobnie większe żądania okupu. Warto zauważyć, że Whole Ransomware wydaje się mieć podobieństwa z Keylock Ransomware , co sugeruje potencjalne powiązanie lub pochodzenie pomiędzy tymi dwoma zagrożeniami.
Całe oprogramowanie ransomware uniemożliwia ofiarom dostęp do ich własnych danych
Wiadomość wyświetlana na tapecie pulpitu przez Whole Ransomware zawiera instrukcje dla ofiary, nakazujące jej przeczytanie dołączonego pliku tekstowego o nazwie „README-ID-[identyfikator_ofiary].txt”. Ta notatka o okupie stanowi kluczową wiadomość od atakujących, ujawniającą, że pliki ofiary zostały zaszyfrowane i są teraz niedostępne. Stwierdza również, że unikalny klucz deszyfrujący wymagany do odzyskania zaszyfrowanych danych jest bezpiecznie przechowywany na serwerach atakujących.
Ofiary mają możliwość bezpłatnego przetestowania procesu deszyfrowania. Można tego dokonać, wysyłając kilka zaszyfrowanych plików cyberprzestępcom, z zastrzeżeniem określonych specyfikacji. Ważnym zastrzeżeniem jest to, że jeśli ofiara nie nawiąże komunikacji z atakującymi w ciągu 72 godzin, jej wrażliwe dane biznesowe mogą zostać ujawnione w wyniku wycieku lub sprzedaży.
Wiadomość z żądaniem okupu kończy się kilkoma ostrzeżeniami. Ofiara zostaje ostrzeżena, że wszelkie próby zmiany nazwy lub innej modyfikacji plików, których dotyczy problem, a także użycie narzędzi do odzyskiwania danych lub oprogramowania zabezpieczającego innych firm mogą spowodować, że danych nie będzie można odszyfrować. Podkreśla, że odszyfrowanie zazwyczaj wymaga bezpośredniego zaangażowania cyberprzestępców, z nielicznymi wyjątkami w przypadku oprogramowania ransomware o poważnych wadach.
Należy zauważyć, że ofiary często nie otrzymują obiecanych kluczy lub narzędzi do odszyfrowania, nawet po spełnieniu żądania okupu i dokonaniu płatności. W rezultacie zdecydowanie odradza się uleganie żądaniom przestępców, ponieważ odzyskanie danych pozostaje niepewne, a zapłata okupu służy utrwaleniu tej nielegalnej działalności.
Ważne środki bezpieczeństwa, które należy wdrożyć na swoich urządzeniach
Ochrona urządzeń przed włamaniami złośliwego oprogramowania jest kluczowym aspektem utrzymania cyberbezpieczeństwa. Oto pięć ważnych środków bezpieczeństwa, a jednym z nich jest regularne tworzenie kopii zapasowych danych:
Tworzenie regularnych kopii zapasowych danych :
Regularne tworzenie kopii zapasowych danych jest niezbędne. W przypadku ataku złośliwego oprogramowania posiadanie zaktualizowanych kopii zapasowych gwarantuje odzyskanie informacji bez płacenia okupu lub trwałej utraty danych. Regularnie twórz kopie zapasowe danych na urządzeniach zewnętrznych, w chmurze lub na dysku sieciowym (NAS). Jeśli to możliwe, zautomatyzuj ten proces i sprawdź integralność swoich kopii zapasowych.
Instalowanie i aktualizacja oprogramowania zabezpieczającego :
Zainstaluj godne zaufania oprogramowanie chroniące przed złośliwym oprogramowaniem i aktualizuj je. Programy zabezpieczające mogą wykrywać i usuwać znane złośliwe oprogramowanie, zapewniając kluczową warstwę obrony przed zagrożeniami. Upewnij się, że oprogramowanie antywirusowe automatycznie aktualizuje swoje definicje wirusów, aby chronić przed nowymi wariantami złośliwego oprogramowania.
Regularne aktualizacje oprogramowania i zarządzanie poprawkami :
Aktualizuj system operacyjny, aplikacje i oprogramowanie sprzętowe urządzenia. Złośliwe oprogramowanie często wykorzystuje luki w nieaktualnym oprogramowaniu. Regularnie stosuj poprawki i aktualizacje zabezpieczeń, aby zamknąć te luki, zmniejszając ryzyko infiltracji złośliwego oprogramowania.
Ochrona zapory sieciowej :
Włącz i skonfiguruj zaporę sieciową na swoim urządzeniu. Zapory ogniowe działają jak bariera między Twoim urządzeniem a Internetem, pomagając blokować nieautoryzowany dostęp i potencjalnie złośliwe dane. Aby zwiększyć bezpieczeństwo, korzystaj z zapór sieciowych i hostów, a także rozważ zastosowanie systemów wykrywania włamań i zapobiegania im w celu uzyskania zaawansowanej ochrony.
Praktyki dotyczące bezpiecznego Internetu i poczty elektronicznej :
Zachowaj ostrożność podczas przeglądania Internetu i obsługi poczty elektronicznej. Unikaj interakcji z podejrzanymi linkami lub pobierania załączników do wiadomości e-mail z nieznanych lub niezweryfikowanych źródeł. Uważaj na próby phishingu i powstrzymuj się od podawania danych osobowych lub klikania podejrzanych wyskakujących reklam. Korzystaj z narzędzi do filtrowania poczty e-mail, aby identyfikować i blokować potencjalnie szkodliwe wiadomości.
Włączenie tych środków bezpieczeństwa do korzystania z urządzenia znacznie zmniejszy ryzyko włamań złośliwego oprogramowania. Regularne kopie zapasowe danych są szczególnie ważne, ponieważ zapewniają siatkę bezpieczeństwa na wypadek, gdyby złośliwe oprogramowanie naruszyło Twoje zabezpieczenia. Stosując proaktywne i wielowarstwowe podejście do bezpieczeństwa, możesz lepiej chronić swoje urządzenia i dane przed złośliwymi zagrożeniami.
Pełny tekst żądania okupu utworzonego przez Whole Ransomware to:
'YOUR FILES ARE ENCRYPTED
-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:pmmx@techmail.info
wholekey@mailfence.com -
IMPORTANT!We recommend you contact us directly to avoid overpaying agents.
We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.
Our message may be recognized as spam, so be sure to check the spam folder.
If we do not respond to you within 24 hours, write to us from another email address.
Proszę nie marnować czasu, spowoduje to tylko dodatkowe szkody dla Twojej firmy.
Proszę nie zmieniać nazwy i próbować samodzielnie odszyfrować pliki. Jeśli pliki zostaną zmodyfikowane, nie będziemy w stanie Ci pomóc.
Jeśli będziesz próbował użyć oprogramowania innej firmy do przywrócenia danych lub rozwiązań antywirusowych, wykonaj kopię zapasową wszystkich zaszyfrowanych plików.
Jeśli usuniesz jakiekolwiek zaszyfrowane pliki z bieżącego komputera, ich odszyfrowanie może nie być możliwe.
Obraz tła pulpitu Whole Ransomware zawiera następujący komunikat:
Wszystkie Twoje pliki zostaną skradzione i zaszyfrowane!
Znajdź plik README-ID-.txt i postępuj zgodnie z instrukcjami.'
