Oprogramowanie ransomware FORCE
Podczas badania potencjalnych zagrożeń złośliwym oprogramowaniem badacze odkryli oprogramowanie ransomware FORCE. Po infiltracji urządzenia FORCE inicjuje szyfrowanie różnych typów plików, w tym obrazów, dokumentów, arkuszy kalkulacyjnych i innych. Celem atakujących jest zatrzymanie zaszyfrowanych danych jako zakładników i zmuszenie ofiar do zapłacenia za ich odszyfrowanie. Aby zidentyfikować ofiary i nawiązać komunikację, ransomware dołącza unikalne identyfikatory, adresy e-mail cyberprzestępców oraz rozszerzenie „.FORCE” do nazw zaszyfrowanych plików. Na przykład plik o początkowej nazwie „1.png” zostanie przekształcony w „1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE”.
Po zakończeniu procesu szyfrowania system wyświetla identyczne żądanie okupu w dwóch formatach: wyskakującego okna („info.hta”) i pliku tekstowego („info.txt”). Komunikaty te pojawiają się na pulpicie oraz we wszystkich katalogach zawierających zaszyfrowane pliki. Dalsza analiza wykazała, że FORCE należy do rodziny Phobos Ransomware .
Spis treści
Oprogramowanie ransomware FORCE wyłudza od ofiar pieniądze
W żądaniach okupu wydanych przez FORCE podkreśla się, że pliki ofiary zostały zaszyfrowane, a wrażliwe dane zostały naruszone. Aby rzekomo odzyskać dostęp do swoich plików, ofiara otrzymuje polecenie zapłaty okupu przy użyciu wyłącznie kryptowaluty Bitcoin. Niezastosowanie się do wymienionych żądań będzie skutkować sprzedażą skradzionych informacji. Przed dokonaniem jakichkolwiek płatności ofiara ma możliwość bezpłatnego przetestowania procesu odszyfrowywania, aczkolwiek z pewnymi ograniczeniami.
Komunikaty ostrzegają przed modyfikowaniem zaszyfrowanych plików lub korzystaniem z narzędzi do odzyskiwania innych firm, ponieważ takie działania mogą uniemożliwić odzyskanie danych. Dodatkowo ofiarę ostrzega się, że zwrócenie się o pomoc do osób trzecich może zwiększyć jej straty finansowe.
Oprogramowanie ransomware FORCE podejmuje działania zapobiegające łatwemu odzyskiwaniu zablokowanych danych
Ten groźny program, będący częścią rodziny Phobos Ransomware, znany jest z metodycznego podejścia do szyfrowania. W przeciwieństwie do niektórych wariantów oprogramowania ransomware, które całkowicie uniemożliwiają zainfekowane maszyny, szkodliwe oprogramowanie Phobos selektywnie atakuje pliki w celu ich zaszyfrowania, unikając krytycznych plików systemowych, aby zapewnić prawidłowe działanie systemu. Szyfruje zarówno pliki przechowywane lokalnie, jak i te udostępniane w sieci oraz kończy procesy związane z otwartymi plikami, aby zapobiec wyjątkom opartym na „używaniu” plików, takich jak programy baz danych lub czytniki plików tekstowych.
Aby zapobiec podwójnemu szyfrowaniu, Phobos Ransomware utrzymuje listę wykluczeń popularnych programów ransomware. Pliki już zablokowane przez oprogramowanie na tej liście pozostają nienaruszone. Dodatkowo Phobos usuwa kopie woluminów w tle, popularną opcję odzyskiwania, aby jeszcze bardziej udaremnić próby odzyskania danych.
Aby zapewnić trwałość na uszkodzonych urządzeniach, złośliwe oprogramowanie kopiuje się do ścieżki %LOCALAPPDATA% i rejestruje się przy użyciu określonych kluczy Uruchom, zapewniając automatyczne uruchamianie przy każdym ponownym uruchomieniu systemu. Co ciekawe, oprogramowanie ransomware Phobos może powstrzymywać się od ataków na urządzenia w oparciu o ich geolokalizację, szczególnie te w regionach słabych gospodarczo lub w krajach o sojuszu geopolitycznym.
Odszyfrowanie danych zablokowanych przez oprogramowanie ransomware bez interwencji cyberprzestępców jest zazwyczaj niemożliwe. Nawet jeśli ofiary spełnią żądanie okupu, nie ma gwarancji, że otrzymają obiecane klucze odszyfrowujące lub oprogramowanie. Dlatego zapłacenie okupu nie tylko nie gwarantuje odzyskania danych, ale także utrwala nielegalne działania.
Usunięcie ransomware z systemu operacyjnego zapobiega dalszemu szyfrowaniu, ale nie przywraca zainfekowanych plików. Jedynym niezawodnym rozwiązaniem jest odzyskanie plików z kopii zapasowej, jeśli taka jest dostępna.
Nie ryzykuj, jeśli chodzi o bezpieczeństwo swoich urządzeń i danych
Użytkownicy mogą zwiększyć ochronę swoich danych i urządzeń przed zagrożeniami typu ransomware, wdrażając wielowarstwowe podejście do cyberbezpieczeństwa. Oto kilka skutecznych strategii:
- Aktualizuj oprogramowanie : regularnie aktualizuj systemy operacyjne, aplikacje i programy antywirusowe, aby łatać luki w zabezpieczeniach i chronić przed znanymi exploitami. Włącz automatyczne aktualizacje, jeśli to możliwe.
- Zainstaluj godne zaufania oprogramowanie zabezpieczające : użyj renomowanego oprogramowania chroniącego przed złośliwym oprogramowaniem, aby wykryć i usunąć oprogramowanie ransomware i inne szkodliwe zagrożenia. Upewnij się, że oprogramowanie antywirusowe jest często aktualizowane, aby rozpoznawać najnowsze zagrożenia.
- Zachowaj czujność w przypadku załączników i łączy do wiadomości e-mail : Uważaj na podejrzane wiadomości e-mail, zwłaszcza te od nieznanych nadawców lub zawierające nieoczekiwane załączniki lub łącza. Staraj się nie otwierać łączy ani nie pobierać załączników z niechcianych wiadomości e-mail, ponieważ mogą one zawierać oprogramowanie ransomware lub inne złośliwe oprogramowanie.
- Regularnie twórz kopie zapasowe danych : skonfiguruj solidną strategię tworzenia kopii zapasowych, regularnie tworząc kopie zapasowe ważnych danych na zewnętrznym dysku twardym, w chmurze lub urządzeniu pamięci masowej podłączonej do sieci (NAS). Upewnij się, że kopie zapasowe są bezpiecznie przechowywane i nie są bezpośrednio dostępne z systemu głównego, aby zapobiec ich zaszyfrowaniu przez oprogramowanie ransomware.
- Używaj silnych, unikalnych haseł : twórz silne, złożone hasła do wszystkich kont i nie używaj tego samego hasła na wielu kontach. Rozważ możliwość wykorzystania renomowanego menedżera haseł do bezpiecznego generowania i przechowywania haseł.
- Włącz uwierzytelnianie dwuskładnikowe (2FA) : Włącz uwierzytelnianie dwuskładnikowe, aby zmaksymalizować bezpieczeństwo swoich kont. 2FA wymaga od użytkowników podania drugiej formy weryfikacji, takiej jak hasło lub kod wysłany na urządzenie mobilne.
Przyjmując te proaktywne środki, użytkownicy mogą zmniejszyć ryzyko padnięcia ofiarą ataków oprogramowania ransomware i znacznie lepiej chronić swoje dane i urządzenia.
Notatka o okupie upuszczona przez FORCE Ransomware to:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
