Oprogramowanie ransomware Datah

Eksperci ds. bezpieczeństwa informacji odkryli niedawno niepokojące nowe zagrożenie oprogramowaniem ransomware, znane jako Datah Ransomware. To szkodliwe oprogramowanie szyfruje szerokie spektrum typów plików w zaatakowanym systemie, czyniąc je niedostępnymi dla ofiary. Oprócz szyfrowania plików Datah pozostawia notatkę z żądaniem okupu zatytułowaną „+README-WARNING+.txt”, która zawiera dane kontaktowe i dalsze instrukcje dla ofiary.

Co więcej, Datah idzie o krok dalej, zmieniając nazwy zaszyfrowanych plików. Osiąga to poprzez dołączenie do nazw plików określonych identyfikatorów, w tym unikalnego identyfikatora ofiary, adresu e-mail „datahelper@onionmail.org” i rozszerzenia „.datah”. Na przykład plik pierwotnie nazwany „1.doc” zostanie przekształcony na „1.doc.[2AF30FA3].[datahelper@onionmail.org].datah”, podczas gdy „2.pdf” zmieni się na „2.pdf.[ 2AF30FA3].[datahelper@onionmail.org].datah” i tak dalej. Warto zaznaczyć, że Datah jest klasyfikowany jako wariant należący do rodziny Makop Ransomware .

Dane ofiar ransomware Datah zostają wzięte jako zakładnicy

Notatka z żądaniem okupu dołączona do oprogramowania Datah Ransomware dostarcza ofiarom jasny komunikat: ich pliki zostały zaszyfrowane, ale podstawowa struktura plików pozostaje nienaruszona. W notatce podkreślono, że jedyną drogą do odzyskania danych jest zapłata cyberprzestępcom odpowiedzialnym za szyfrowanie. Aby wzbudzić poczucie zaufania, przestępcy oferują testowe odszyfrowanie dwóch prostych plików o ograniczonym rozmiarze, pokazując ich zdolność do odszyfrowania plików po otrzymaniu płatności.

Dane kontaktowe podawane są za pośrednictwem adresu e-mail (datahelper@onionmail.org) i identyfikatora TOX, co umożliwia ofiarom nawiązanie kontaktu ze sprawcami. Jednak notatka kończy się surowym ostrzeżeniem przed samodzielnymi próbami modyfikowania zaszyfrowanych plików. Takie działania mogą skutkować utratą danych i klucza prywatnego niezbędnego do odszyfrowania, co może prowadzić do nieodwracalnych konsekwencji dla ofiary.

Dla ofiar niezwykle ważne jest, aby nie uległy żądaniom okupu, ponieważ nie ma gwarancji, że cyberprzestępcy spełnią obietnicę dostarczenia narzędzi do odszyfrowania po otrzymaniu płatności. Ponadto istotne jest szybkie usunięcie oprogramowania ransomware z zainfekowanych komputerów. Takie postępowanie nie tylko zmniejsza ryzyko dalszego szyfrowania, ale także pomaga zapobiegać potencjalnemu rozprzestrzenianiu się oprogramowania ransomware na inne komputery w tej samej sieci, łagodząc ogólny wpływ ataku.

Kluczowe środki obronne do wdrożenia na wszystkich urządzeniach

Wdrożenie kluczowych środków ochronnych na wszystkich urządzeniach jest niezbędne, aby chronić dane przed zagrożeniami typu ransomware. Oto najważniejsze kroki, które użytkownicy powinni podjąć:

• Regularne aktualizacje oprogramowania : upewnij się, że systemy operacyjne, aplikacje i oprogramowanie zabezpieczające są regularnie aktualizowane. Aktualizacje często zawierają poprawki naprawiające luki wykorzystywane przez oprogramowanie ransomware.

• Zainstaluj oprogramowanie chroniące przed złośliwym oprogramowaniem : używaj renomowanego oprogramowania zabezpieczającego z ochroną w czasie rzeczywistym przed oprogramowaniem ransomware i innymi zagrożeniami. Włącz automatyczne aktualizacje i regularne skanowanie.

• Silne hasła i uwierzytelnianie wieloskładnikowe (MFA) : używaj złożonych haseł i włączaj usługę MFA tam, gdzie to możliwe, aby dodać dodatkową warstwę zabezpieczeń. Unikaj używania tego samego hasła do wielu kont.

• Regularnie twórz kopie zapasowe danych : twórz regularne kopie zapasowe niezbędnych plików i przechowuj je bezpiecznie w trybie offline lub w chmurze. Zautomatyzowane, szyfrowane kopie zapasowe zapewniają integralność danych i ułatwiają ich przywrócenie w przypadku ataku ransomware.

• Edukuj użytkowników : przeszkol użytkowników w zakresie rozpoznawania wiadomości e-mail typu phishing, podejrzanych łączy i fałszywych załączników. Zachęcaj do sceptycyzmu wobec nieoczekiwanych e-maili lub próśb o udostępnienie poufnych informacji.

• Ogranicz uprawnienia użytkowników : Przyjmij zasadę najmniejszych uprawnień, ograniczając dostęp użytkownika tylko do tego, co jest niezbędne do jego roli zawodowej. Ogranicza to wpływ oprogramowania ransomware, zmniejszając jego zdolność do rozprzestrzeniania się w sieci.

• Włącz ochronę zapory sieciowej : Aktywuj i regularnie aktualizuj zapory ogniowe na urządzeniach i sieciach, aby filtrować ruch przychodzący i wychodzący, blokując potencjalnie szkodliwe połączenia.

Dzięki sumiennemu wdrażaniu tych środków ochronnych użytkownicy mogą zmniejszyć ryzyko stania się ofiarami ataków oprogramowania ransomware i chronić swoje cenne dane.

Pełny tekst żądania okupu dołączonego do oprogramowania Datah Ransomware brzmi:

'::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'