APT14CHIR Ransomware

Исследователи кибербезопасности классифицируют APT14CHIR как угрозу-вымогатель. Его основная функция заключается в шифровании файлов, что делает их недоступными для их владельцев. Кроме того, APT14CHIR также изменяет имена зашифрованных файлов, заменяя их исходные имена последовательностью случайных символов и добавляя расширение «.APT14CHIR».

Например, программа-вымогатель APT14CHIR может изменить имя файла, например «1.png», на «46bHrwLR0CmRGarY.APT14CHIR», а «2.doc» — на «qoMCVWgi0Vm27mcu.APT14CHIR». Кроме того, APT14CHIR создает сообщение с требованием выкупа в виде текстового файла с именем «ПОЖАЛУЙСТА, ПРОЧТИТЕ.txt», чтобы информировать жертв о том, что их файлы были зашифрованы, и предоставить инструкции о том, как заплатить выкуп для получения ключа дешифрования.

Программа-вымогатель APT14CHIR оставляет жертвам список требований

В записке с требованием выкупа, оставленной злоумышленниками, четко указано, что важные файлы жертвы были полностью зашифрованы с помощью комбинации алгоритмов шифрования AES и RSA, что делает их недоступными для законного владельца. В примечании также содержится предупреждение жертвам не пытаться восстановить файлы с помощью стороннего программного обеспечения, так как это может привести к безвозвратной потере данных или дальнейшему изменению зашифрованных файлов.

Кроме того, в примечании утверждается, что злоумышленники — единственные, кто может решить проблему, и в Интернете нет доступных инструментов дешифрования, которые могли бы помочь в этом процессе. Это ставит жертв в затруднительное положение, когда им приходится полагаться на готовность злоумышленников предоставить ключ дешифрования в обмен на выкуп.

В записке также подчеркивается, что злоумышленники загрузили все строго конфиденциальные и личные данные жертвы, а также копию своих основных серверов в частное хранилище. Злоумышленники угрожают уничтожить эти данные только после получения запрошенной суммы выкупа. Однако, если жертва решит не платить выкуп, киберпреступники угрожают обнародовать данные, что может иметь катастрофические последствия для репутации жертвы.

Злоумышленники утверждают, что хотят только денег и не намерены наносить ущерб репутации или бизнесу жертвы. Для получения дополнительной информации о необходимых действиях по расшифровке файлов жертве предлагается связаться с злоумышленниками по адресам электронной почты martin_catch_ithelp@tutanota.com и martin_catch_ithelp@proton.me или через мессенджер qTox.

Как пользователи могут снизить ущерб от атак таких угроз, как программа-вымогатель APT14CHIR?

Атаки программ-вымогателей становятся все более распространенными, и их последствия могут быть разрушительными. Однако есть несколько мер, которые пользователи могут предпринять, чтобы уменьшить ущерб, причиняемый этими атаками.

Во-первых, обеспечьте регулярное резервное копирование важных данных и их хранение в безопасном месте, не подключенном к Интернету. Это поможет гарантировать, что если данные зашифрованы, их можно будет легко восстановить из резервной копии, и жертве не нужно будет платить выкуп.

Во-вторых, пользователи должны быть осторожны при открытии электронных писем или переходе по ссылкам из неизвестных или подозрительных источников. Программа-вымогатель часто распространяется через фишинговые электронные письма, и нажатие на небезопасную ссылку или открытие скомпрометированного вложения может привести к заражению вашего компьютера программой-вымогателем.

Крайне важно постоянно обновлять программное обеспечение и операционные системы, поскольку программы-вымогатели часто используют уязвимости в старых версиях программного обеспечения. Регулярное обновление программного обеспечения и установка исправлений безопасности помогут снизить этот риск.

Пользователям также следует серьезно подумать об использовании программного обеспечения для защиты от вредоносных программ и брандмауэров, которые могут помочь обнаружить и предотвратить атаки программ-вымогателей. Эти инструменты могут выявлять и блокировать подозрительную активность, предотвращая доступ вредоносных программ к вашему компьютеру.

Наконец, в случае атаки программ-вымогателей пользователи должны избегать уплаты выкупа. Это только поощряет киберпреступников и дает им ресурсы для продолжения своей незаконной деятельности. Вместо этого пользователям следует обратиться за помощью к экспертам по кибербезопасности, которые могут помочь восстановить зашифрованные данные или удалить вредоносное ПО из зараженной системы.

Полный текст записки APT14CHIR о выкупе:

«ЗДРАВСТВУЙТЕ, В СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛО ПРОНИКНОВЕНО
Все ваши важные файлы были зашифрованы!

Ваши файлы НЕ ПОВРЕЖДЕНЫ! Только полностью модифицированный. (РСА+АЕС)
Они зашифрованы с помощью надежного уникального алгоритма шифрования aes.

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.

Мы загрузили все строго конфиденциальные/личные данные и скопировали основные серверы.
Эти данные в настоящее время хранятся в частном хранилище.
Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы предоставим ваши данные общественности или перепродавцу, конкурентам, представителям местных органов власти, судебным органам, шантажу и атакующим посредникам.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от уничтожения.

Для получения дополнительной информации и ключей дешифрования, пожалуйста, свяжитесь с нами:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.me

Вам будет предоставлена вся информация о необходимых действиях для полной расшифровки ваших файлов.

Вы также можете связаться с нами с помощью мессенджера qTox, это будет намного быстрее, поддержка доступна 24/7.
Скачать можно по ссылке, или найти приложение самостоятельно:

Связаться с qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7C

Ваш личный идентификатор:

АПТ14ЧИР'