DKQ-вымогатели

Угрозы программ-вымогателей становятся все более изощренными и представляют значительный риск для безопасности данных. Одной из таких угроз, обнаруженных исследователями кибербезопасности, является угрожающая программа под названием Dkq.

В ходе недавнего расследования новых угроз, связанных с вредоносным ПО, исследователи кибербезопасности выявили программу-вымогатель Dkq. Эта программа проникает в системы и шифрует файлы, изменяя при этом их имена. К исходным именам файлов добавляются уникальный идентификатор, адрес электронной почты злоумышленников и расширение «.dkq». Например, файл с именем «1.doc» будет преобразован в «1.doc.id-9ECFA74E.[dkqcnr@cock.li].dkq». После шифрования заметки о выкупе генерируются как в виде всплывающего окна, так и в виде текстового файла с именем «info.txt». Dkq классифицируется как вариант семейства Dharma Ransomware , известного своими разрушительными возможностями и сложными методами шифрования.

Программа-вымогатель Dkq лишает жертв доступа к своим данным и файлам

Dkq Ransomware генерирует записку о выкупе в виде текстового файла, чтобы информировать жертв о том, что их данные заблокированы, и предоставляет инструкции, как связаться с злоумышленниками для восстановления данных. Кроме того, появляется всплывающее окно с более подробной информацией о заражении программой-вымогателем и явным указанием на то, что файлы были зашифрованы и теперь недоступны.

В сообщении говорится, что для расшифровки файлов потребуется заплатить выкуп в биткойнах. Чтобы завоевать доверие, злоумышленники предлагают жертвам возможность бесплатно расшифровать три выбранных файла (при условии, что они соответствуют определенным критериям) перед совершением какого-либо платежа.

В записке о выкупе также содержатся строгие предупреждения против попыток изменить зашифрованные файлы или использования сторонних инструментов расшифровки, предупреждая, что такие действия могут привести к безвозвратной потере данных.

Киберпреступники продолжают использовать новые варианты программ-вымогателей Dharma

Dkq Ransomware является частью пресловутого семейства Dharma Ransomware, известного своей способностью шифровать как локальные, так и сетевые файлы. Эти программы-вымогатели завершают запущенные процессы, связанные с открытыми файлами, такие как программы баз данных и программы чтения файлов, чтобы гарантировать, что ни один файл не будет освобожден от шифрования из-за использования.

Программа-вымогатель Dharma позволяет избежать полного вывода зараженных устройств из строя, не шифруя критически важные системные файлы. Он также предотвращает двойное шифрование, исключая файлы, уже измененные другими программами-вымогателями; однако этот процесс не является надежным и основан на списке исключений, который может не включать все существующие программы-вымогатели.

Чтобы обеспечить устойчивость, программа-вымогатель Dharma использует несколько тактик. Он копирует себя в каталог %LOCALAPPDATA%, регистрируется с помощью определенных ключей запуска и настраивается на автоматический запуск при каждой перезагрузке системы.

Кроме того, программа-вымогатель Dharma собирает данные геолокации, которые помогают определить, следует ли продолжать шифрование на основе геополитических мотивов или исключить экономически неблагополучные регионы. Чтобы еще больше затруднить восстановление, программы Dharma Ransomware удаляют теневые копии томов, лишая жертву потенциального варианта восстановления.

Как действовать после атаки программы-вымогателя?

Как правило, восстановление данных, зашифрованных программами-вымогателями, такими как Dkq, невозможно без инструментов расшифровки злоумышленников. Исключение составляют лишь случаи, когда сама программа-вымогатель имеет критические недостатки, которыми можно воспользоваться.

Однако уплата выкупа не гарантирует, что вы восстановите доступ к своим файлам. Киберпреступники часто не могут предоставить необходимые ключи или программное обеспечение для дешифрования даже после получения оплаты. Следовательно, эксперты по кибербезопасности настоятельно не рекомендуют платить выкуп. Финансовая поддержка этих преступников лишь увековечивает их незаконную деятельность.

Чтобы предотвратить дальнейшее шифрование с помощью Dkq Ransomware, крайне важно удалить вредоносное ПО из операционной системы. К сожалению, этот процесс удаления не восстановит файлы, которые уже были зашифрованы.

Примите меры против заражения вредоносным ПО и программами-вымогателями

Для защиты от заражения вредоносным ПО и программами-вымогателями пользователи могут применять комбинацию профилактических мер, бдительности и стратегий реагирования. Вот несколько важных шагов:

1. Регулярное резервное копирование : Автоматическое резервное копирование: запланируйте регулярное резервное копирование важных данных на внешние диски или в облачные службы. Автономное хранилище: держите резервные копии отключенными от сети, чтобы предотвратить их компрометацию во время атаки.
2. Системы обновлений и исправлений : Операционные системы. Убедитесь, что в вашей операционной системе установлены последние исправления безопасности. Программные приложения: регулярно обновляйте все программные приложения до последних версий для устранения известных уязвимостей.
3. Используйте современное и надежное программное обеспечение для обеспечения безопасности . Программы защиты от вредоносных программ. Установите и поддерживайте надежное программное обеспечение для защиты от вредоносных программ. Брандмауэры: включите и настройте брандмауэры для блокировки несанкционированного доступа к вашей сети.
4. Внедрение электронной почты и веб-безопасности : Фильтры электронной почты: используйте решения для фильтрации электронной почты, чтобы блокировать фишинговые и вредоносные электронные письма. Просмотр веб-страниц: избегайте посещения подозрительных веб-сайтов, доступа к неизвестным ссылкам и загрузки вложений из непроверенных источников.

Приняв эти комплексные меры, пользователи могут значительно снизить риск заражения вредоносным ПО и программами-вымогателями, максимально повысить общий уровень безопасности и быть лучше подготовленными к реагированию на потенциальные угрозы.

Записка с требованием выкупа, доставленная Dkq Ransomware, гласит:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: dkqcnr@cock.li YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:d.hanry@tutamail.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The message contained in the text file of Dkq Ransomware is:

all your data has been locked us

You want to return?

write email dkqcnr@cock.li or d.hanry@tutamail.com'