Datah Ransomware

Эксперты по информационной безопасности недавно обнаружили тревожную новую угрозу программы-вымогателя, известную как Datah Ransomware. Это вредоносное программное обеспечение шифрует широкий спектр типов файлов в скомпрометированной системе, делая их недоступными для жертвы. Помимо шифрования файлов, Datah оставляет записку о выкупе под названием «+README-WARNING+.txt», которая включает контактную информацию и дальнейшие инструкции для жертвы.

Более того, Datah идет еще дальше, переименовывая зашифрованные файлы. Это достигается путем добавления к именам файлов определенных идентификаторов, включая уникальный идентификатор жертвы, адрес электронной почты datahelper@onionmail.org и расширение .datah. Например, файл с первоначальным названием «1.doc» будет преобразован в «1.doc.[2AF30FA3].[datahelper@onionmail.org].datah», а файл «2.pdf» станет «2.pdf.[ 2AF30FA3].[datahelper@onionmail.org].datah» и так далее. Стоит отметить, что Datah классифицируется как вариант, принадлежащий семейству программ-вымогателей Makop .

Данные жертв программы-вымогателя Datah были взяты в заложники

Записка о выкупе, сопровождающая Datah Ransomware, дает жертвам четкое сообщение: их файлы зашифрованы, но основная файловая структура остается нетронутой. В записке подчеркивается, что единственный путь к восстановлению — оплата киберпреступникам, ответственным за шифрование. Чтобы вызвать чувство доверия, злоумышленники предлагают тестовую расшифровку двух простых файлов ограниченного размера, демонстрируя свою способность расшифровывать файлы после получения оплаты.

Контактная информация предоставляется через адрес электронной почты (datahelper@onionmail.org) и идентификатор TOX, что позволяет жертвам инициировать общение с преступниками. Однако заметка завершается резким предупреждением против попыток самостоятельного изменения зашифрованных файлов. Подобные действия могут привести к потере данных и закрытого ключа, необходимого для расшифровки, что потенциально может привести к необратимым последствиям для жертвы.

Крайне важно, чтобы жертвы не поддавались требованиям выкупа, поскольку нет никакой гарантии, что киберпреступники выполнят свое обещание предоставить инструменты расшифровки после получения оплаты. Кроме того, крайне важно быстро удалить программу-вымогатель с зараженных компьютеров. Это не только снижает риск дальнейшего шифрования, но и помогает предотвратить потенциальное распространение программы-вымогателя на другие компьютеры в той же сети, смягчая общее воздействие атаки.

Важные защитные меры, которые необходимо реализовать на всех устройствах

Реализация важнейших защитных мер на всех устройствах необходима для защиты данных от угроз программ-вымогателей. Вот ключевые шаги, которые должны предпринять пользователи:

• Регулярные обновления программного обеспечения . Обеспечьте регулярное обновление операционных систем, приложений и программного обеспечения безопасности. Обновления часто включают исправления, исправляющие уязвимости, используемые программами-вымогателями.

• Установите антивирусное программное обеспечение : используйте надежное программное обеспечение безопасности с защитой в реальном времени от программ-вымогателей и других угроз. Включите автоматические обновления и регулярное сканирование.

• Надежные пароли и многофакторная аутентификация (MFA) : используйте сложные пароли и включите MFA, где это возможно, чтобы добавить дополнительный уровень безопасности. Избегайте использования одного и того же пароля для нескольких учетных записей.

• Регулярное резервное копирование данных : настройте регулярное резервное копирование важных файлов и надежно храните их в автономном режиме или в облаке. Автоматизированные зашифрованные резервные копии обеспечивают целостность данных и облегчают восстановление в случае атаки программ-вымогателей.

• Обучайте пользователей : обучайте пользователей распознавать фишинговые электронные письма, подозрительные ссылки и мошеннические вложения. Поощряйте скептицизм по отношению к неожиданным электронным письмам или запросам конфиденциальной информации.

• Ограничьте привилегии пользователей . Примите принцип минимальных привилегий, ограничивая доступ пользователей только к тому, что необходимо для их должностной роли. Это ограничивает воздействие программ-вымогателей, уменьшая их способность распространяться по сети.

• Включить защиту брандмауэра : активируйте и регулярно обновляйте брандмауэры на устройствах и сетях для фильтрации входящего и исходящего трафика, блокируя потенциально опасные соединения.

Тщательно реализуя эти защитные меры, пользователи могут снизить вероятность стать жертвой атак программ-вымогателей и защитить свои ценные данные.

Полный текст записки о выкупе, сопровождающей Datah Ransomware, гласит:

'::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'