FORCE Ransomware
În timpul unei examinări a potențialelor amenințări malware, cercetătorii au descoperit ransomware-ul FORCE. Odată ce se infiltrează într-un dispozitiv, FORCE inițiază criptarea diferitelor tipuri de fișiere, cuprinzând imagini, documente, foi de calcul și multe altele. Obiectivul atacatorilor este de a ține ostatice datele criptate și de a constrânge victimele afectate să plătească pentru decriptarea acestora. Pentru a identifica victimele și a stabili comunicarea, ransomware-ul adaugă identificatori unici, adresele de e-mail ale infractorilor cibernetici și o extensie „.FORCE” la numele fișierelor criptate. De exemplu, un fișier denumit inițial „1.png” va fi transformat în „1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE”.
După finalizarea procesului de criptare, sistemul afișează note de răscumpărare identice în două formate: o fereastră pop-up („info.hta”) și un fișier text („info.txt”). Aceste mesaje apar pe desktop și în toate directoarele care conțin fișiere criptate. O analiză ulterioară a arătat că FORCE aparține familiei Phobos Ransomware .
Cuprins
Ransomware-ul FORCE stoarce victimele pentru bani
Notele de răscumpărare emise de FORCE subliniază faptul că fișierele victimei au fost criptate și că datele sensibile au fost compromise. Pentru a recâștiga accesul la fișierele lor, victima este instruită să plătească o răscumpărare folosind doar criptomoneda Bitcoin. Nerespectarea cerințelor enumerate va duce la vânzarea informațiilor furate. Înainte de a efectua plăți, victimei i se oferă opțiunea de a testa gratuit procesul de decriptare, deși cu anumite limitări.
Mesajele avertizează împotriva modificării fișierelor criptate sau folosirea instrumentelor de recuperare de la terți, deoarece astfel de acțiuni pot face datele irecuperabile. În plus, victima este avertizată că solicitarea de asistență de la terți le-ar putea escalada pierderile financiare.
Ransomware-ul FORCE ia măsuri pentru a preveni recuperarea ușoară a datelor blocate
Acest program amenințător, parte a familiei Phobos Ransomware, este cunoscut pentru abordarea sa metodică a criptării. Spre deosebire de unele variante de ransomware care fac mașinile infectate complet inoperabile, malware-ul Phobos vizează în mod selectiv fișierele pentru criptare, evitând fișierele de sistem critice pentru a se asigura că sistemul rămâne funcțional. Acesta criptează atât fișierele stocate local, cât și pe cele partajate prin rețele și încheie procesele asociate fișierelor deschise pentru a preveni scutiri bazate pe fișierele „în uz”, cum ar fi programele de baze de date sau cititoarele de fișiere text.
Pentru a preveni dubla criptare, Phobos Ransomware menține o listă de excludere a programelor populare de ransomware. Fișierele deja blocate de software din această listă rămân neafectate. În plus, Phobos șterge Copiile Shadow Volume, o opțiune comună de recuperare, pentru a împiedica și mai mult încercările de restaurare a datelor.
Pentru a asigura persistența pe dispozitivele încălcate, malware-ul se copiază pe calea %LOCALAPPDATA% și se înregistrează cu anumite chei Run, asigurându-se că pornește automat la fiecare repornire a sistemului. Interesant, ransomware-ul Phobos s-ar putea abține de la atacarea dispozitivelor pe baza geolocalizării lor, în special a celor din regiunile slabe din punct de vedere economic sau țările aliniate geopolitic.
Decriptarea datelor blocate de ransomware fără intervenția criminalilor cibernetici este de obicei imposibilă. Chiar dacă victimele respectă cererile de răscumpărare, nu există nicio garanție că vor primi cheile de decriptare sau software-ul promis. Prin urmare, plata răscumpărării nu numai că nu garantează recuperarea datelor, ci și perpetuează activitățile ilegale.
Deși eliminarea ransomware-ului din sistemul de operare împiedică criptarea ulterioară, nu restaurează fișierele compromise. Singura soluție de încredere este recuperarea fișierelor dintr-o copie de rezervă, dacă este disponibilă una.
Nu riscați cu siguranța dispozitivelor și a datelor dvs
Utilizatorii pot îmbunătăți apărarea datelor și dispozitivelor lor împotriva amenințărilor ransomware prin implementarea unei abordări pe mai multe straturi a securității cibernetice. Iată câteva strategii eficiente:
- Păstrați software-ul actualizat : actualizați în mod regulat sistemele de operare, aplicațiile software și programele antivirus pentru a corecta vulnerabilitățile de securitate și pentru a vă proteja împotriva exploatărilor cunoscute. Activați actualizările automate ori de câte ori este posibil.
- Instalați un software de securitate de încredere : utilizați un software anti-malware de renume pentru a detecta și elimina ransomware și alte amenințări dăunătoare. Asigurați-vă că software-ul antivirus este actualizat frecvent pentru a recunoaște cele mai recente amenințări.
- Exercitați vigilență cu atașamentele și linkurile de e-mail : aveți grijă de e-mailurile suspecte, în special de cele de la expeditori necunoscuți sau care conțin atașamente sau link-uri neașteptate. Încercați să nu accesați link-uri sau să descărcați atașamente din e-mailurile nesolicitate, deoarece acestea pot conține ransomware sau alte programe malware.
- Copierea de rezervă a datelor în mod regulat : Configurați o strategie robustă de backup făcând în mod regulat copii de rezervă ale datelor importante pe un hard disk extern, serviciu de stocare în cloud sau dispozitiv de stocare atașat la rețea (NAS). Asigurați-vă că copiile de rezervă sunt stocate în siguranță și nu sunt accesibile direct din sistemul principal pentru a preveni criptarea lor de către ransomware.
- Utilizați parole puternice și unice : creați parole puternice și complexe pentru toate conturile și nu utilizați aceeași parolă în mai multe conturi. Luați în considerare posibilitatea de a utiliza un manager de parole reputat pentru a genera și stoca parolele în siguranță.
- Activați autentificarea în doi factori (2FA) : activați autentificarea în doi factori pentru a maximiza securitatea conturilor dvs. 2FA cere utilizatorilor să includă o a doua formă de verificare, cum ar fi parola sau un cod trimis pe dispozitivul lor mobil.
Prin adoptarea acestor măsuri proactive, utilizatorii pot reduce oportunitățile de a deveni victime ale atacurilor ransomware și își pot proteja mai bine datele și dispozitivele în mod semnificativ.
Nota de răscumpărare trimisă de FORCE Ransomware este:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
