Целые программы-вымогатели

Исследователи обнаружили новую угрозу-вымогателя под названием Whole. Это вредоносное программное обеспечение предназначено для шифрования данных на зараженных системах и последующего требования выкупа от владельца ПК в обмен на ключ дешифрования. Для выполнения своей разрушительной операции Whole Ransomware блокирует различные типы файлов и добавляет к имени каждого файла расширение «.whole». Например, если файл изначально назывался «1.jpg», после шифрования он будет переименован в «1.jpg.whole». Этот процесс переименования затрагивает все типы файлов, такие как изображения, документы и т. д.

Помимо шифрования файлов, Whole Ransomware также меняет обои рабочего стола зараженной системы, давая понять, что система взломана. Кроме того, программа-вымогатель создает на взломанном устройстве записку о выкупе с заголовком «README-ID-[victim's_ID].txt». Содержимое этой записки служит сообщением для жертвы, содержащим инструкции о том, как заплатить требуемый выкуп и получить ключ дешифрования.

Записка о выкупе и другие подсказки позволяют предположить, что эта конкретная программа-вымогатель в первую очередь нацелена на компании и организации, а не на отдельных домашних пользователей. Это указывает на более высокий уровень сложности и, возможно, более существенные требования выкупа. Стоит отметить, что Whole Ransomware, похоже, имеет сходство с Keylock Ransomware , что предполагает потенциальную связь или родство между двумя угрозами.

Вся программа-вымогатель блокирует доступ жертв к собственным данным

Сообщение, отображаемое Whole Ransomware на обоях рабочего стола, содержит инструкции для жертвы, предписывающие ей прочитать сопровождающий текстовый файл с надписью «README-ID-[victim's_ID].txt». Эта записка с требованием выкупа служит важным сообщением злоумышленников, показывающим, что файлы жертвы были зашифрованы и теперь недоступны. В нем также говорится, что уникальный ключ дешифрования, необходимый для восстановления зашифрованных данных, надежно хранится на серверах злоумышленников.

Жертвам предоставляется возможность бесплатно протестировать процесс расшифровки. Это можно сделать, отправив киберпреступникам несколько зашифрованных файлов с соблюдением определенных требований. Важным предостережением является то, что если жертве не удастся инициировать связь с злоумышленниками в течение 72 часов, ее конфиденциальные деловые данные могут оказаться под угрозой раскрытия в результате утечки или продажи.

Сообщение с требованием выкупа завершается несколькими предупреждениями. Жертва предупреждается о том, что любые попытки переименовать или иным образом изменить затронутые файлы, а также использование сторонних инструментов восстановления данных или программного обеспечения безопасности могут сделать данные нерасшифрованными. В нем подчеркивается, что расшифровка обычно требует прямого участия киберпреступников, за редкими исключениями в случае серьезно поврежденных программ-вымогателей.

Следует отметить, что жертвы часто не получают обещанные ключи или инструменты дешифрования даже после выполнения требований о выкупе и внесения платежей. В результате настоятельно не рекомендуется подчиняться требованиям преступников, поскольку восстановление данных остается неопределенным, а выплата выкупа способствует продолжению этой незаконной деятельности.

Важные меры безопасности, которые следует реализовать на ваших устройствах

Защита ваших устройств от вторжений вредоносных программ является важнейшим аспектом обеспечения кибербезопасности. Вот пять важных мер безопасности, одна из которых — регулярное создание резервных копий ваших данных:

Создание регулярных резервных копий данных :

Регулярное резервное копирование данных имеет важное значение. В случае атаки вредоносного ПО наличие обновленных резервных копий гарантирует, что вы сможете восстановить свою информацию без уплаты выкупа или безвозвратной потери данных. Регулярно создавайте резервные копии данных на внешних устройствах, в облачном хранилище или сетевом хранилище (NAS). Если возможно, автоматизируйте этот процесс и проверьте целостность резервных копий.

Установка и обновление программного обеспечения безопасности :

Установите надежное антивирусное программное обеспечение и регулярно обновляйте его. Программы безопасности могут обнаруживать и удалять известные вредоносные программы, обеспечивая важнейший уровень защиты от угроз. Убедитесь, что ваше антивирусное программное обеспечение автоматически обновляет определения вирусов для защиты от новых вариантов вредоносного ПО.

Регулярные обновления программного обеспечения и управление исправлениями :

Постоянно обновляйте операционную систему, программные приложения и встроенное ПО вашего устройства. Вредоносное ПО часто использует уязвимости в устаревшем программном обеспечении. Регулярно применяйте исправления и обновления безопасности, чтобы закрыть эти уязвимости, снижая риск проникновения вредоносного ПО.

Защита брандмауэром :

Включите и настройте брандмауэр на вашем устройстве. Брандмауэры действуют как барьер между вашим устройством и Интернетом, помогая блокировать несанкционированный доступ и потенциально вредоносные данные. Для повышения безопасности используйте как сетевые, так и локальные брандмауэры, а также рассмотрите возможность использования систем обнаружения и предотвращения вторжений для расширенной защиты.

Безопасные методы работы в Интернете и электронной почте :

Соблюдайте осторожность при работе в Интернете и работе с электронной почтой. Избегайте взаимодействия с подозрительными ссылками и загрузки вложений электронной почты из неизвестных или непроверенных источников. Будьте осторожны с попытками фишинга и воздержитесь от предоставления личной информации или нажатия на подозрительные всплывающие окна. Используйте инструменты фильтрации электронной почты, чтобы выявлять и блокировать потенциально опасные сообщения.

Включение этих мер безопасности в использование вашего устройства значительно снизит риск вторжений вредоносных программ. Регулярное резервное копирование данных особенно важно, поскольку оно обеспечивает защиту на случай, если вредоносное ПО нарушит вашу защиту. Поддерживая упреждающий и многоуровневый подход к безопасности, вы сможете лучше защитить свои устройства и данные от вредоносных угроз.

Полный текст записки о выкупе, созданной Whole Ransomware:

'YOUR FILES ARE ENCRYPTED

-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:

pmmx@techmail.info

wholekey@mailfence.com -
IMPORTANT!

We recommend you contact us directly to avoid overpaying agents.

We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.

Our message may be recognized as spam, so be sure to check the spam folder.

If we do not respond to you within 24 hours, write to us from another email address.

Пожалуйста, не теряйте время, это принесет только дополнительный ущерб вашей компании.

Пожалуйста, не переименовывайте и не пытайтесь расшифровать файлы самостоятельно. Мы не сможем вам помочь, если файлы будут изменены.

Если вы попытаетесь использовать стороннее программное обеспечение для восстановления ваших данных или антивирусные решения, сделайте резервную копию всех зашифрованных файлов.

Если вы удалите зашифрованные файлы с текущего компьютера, возможно, вы не сможете их расшифровать.

Фоновое изображение Whole Ransomware на рабочем столе содержит следующее сообщение:

Все ваши файлы украдены и зашифрованы!
Найдите README-ID-.txt и следуйте инструкциям.'