FORCE-вымогатели
В ходе проверки потенциальных угроз вредоносного ПО исследователи обнаружили программу-вымогатель FORCE. После проникновения на устройство FORCE инициирует шифрование файлов различных типов, включая изображения, документы, электронные таблицы и многое другое. Цель злоумышленников — сделать зашифрованные данные заложниками и заставить пострадавших жертв заплатить за их расшифровку. Для идентификации жертв и установления связи программа-вымогатель добавляет уникальные идентификаторы, адреса электронной почты киберпреступников и расширение .FORCE к именам зашифрованных файлов. Например, файл с первоначальным именем «1.png» будет преобразован в «1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE».
По завершении процесса шифрования система отображает идентичные заметки о выкупе в двух форматах: всплывающее окно («info.hta») и текстовый файл («info.txt»). Эти сообщения появляются на рабочем столе и во всех каталогах, содержащих зашифрованные файлы. Дальнейший анализ показал, что FORCE принадлежит к семейству программ-вымогателей Phobos .
Оглавление
Программа-вымогатель FORCE вымогает у жертв деньги
В записках о выкупе, выпущенных FORCE, подчеркивается, что файлы жертвы были зашифрованы, а конфиденциальные данные были скомпрометированы. Чтобы предположительно восстановить доступ к своим файлам, жертве предлагается заплатить выкуп, используя только криптовалюту Биткойн. Несоблюдение перечисленных требований приведет к продаже украденной информации. Прежде чем совершать какие-либо платежи, жертве предоставляется возможность бесплатно протестировать процесс расшифровки, хотя и с некоторыми ограничениями.
Сообщения предостерегают от изменения зашифрованных файлов или использования сторонних инструментов восстановления, поскольку такие действия могут сделать данные невозвратными. Кроме того, жертву предупреждают, что обращение за помощью к третьим лицам может привести к увеличению ее финансовых потерь.
Программа-вымогатель FORCE принимает меры для предотвращения легкого восстановления заблокированных данных
Эта угрожающая программа, входящая в семейство Phobos Ransomware, известна своим методичным подходом к шифрованию. В отличие от некоторых вариантов программ-вымогателей, которые делают зараженные машины полностью неработоспособными, вредоносная программа Phobos выборочно нацелена на шифрование файлов, избегая критических системных файлов, чтобы обеспечить работоспособность системы. Он шифрует как файлы, хранящиеся локально, так и файлы, передаваемые по сети, и завершает процессы, связанные с открытыми файлами, чтобы предотвратить исключения на основании того, что файлы «используются», например, программы баз данных или программы чтения текстовых файлов.
Чтобы предотвратить двойное шифрование, Phobos Ransomware поддерживает список исключений популярных программ-вымогателей. Файлы, уже заблокированные программным обеспечением в этом списке, остаются незатронутыми. Кроме того, Phobos удаляет теневые копии томов, распространенный вариант восстановления, чтобы еще больше помешать попыткам восстановления данных.
Чтобы обеспечить сохранение на взломанных устройствах, вредоносная программа копирует себя по пути %LOCALAPPDATA% и регистрируется с помощью определенных ключей запуска, гарантируя, что она автоматически запускается при каждой перезагрузке системы. Интересно, что программа-вымогатель Phobos может воздерживаться от атак на устройства на основе их геолокации, особенно в экономически слабых регионах или геополитически ориентированных странах.
Расшифровка данных, заблокированных программой-вымогателем, без вмешательства киберпреступников обычно невозможна. Даже если жертвы выполнят требования о выкупе, нет никакой гарантии, что они получат обещанные ключи или программное обеспечение для дешифрования. Таким образом, выплата выкупа не только не гарантирует восстановление данных, но и увековечивает незаконную деятельность.
Удаление программы-вымогателя из операционной системы предотвращает дальнейшее шифрование, но не восстанавливает скомпрометированные файлы. Единственное надежное решение — восстановить файлы из резервной копии, если она доступна.
Не рискуйте безопасностью своих устройств и данных
Пользователи могут повысить защиту своих данных и устройств от угроз программ-вымогателей, внедрив многоуровневый подход к кибербезопасности. Вот несколько эффективных стратегий:
- Постоянно обновляйте программное обеспечение . Регулярно обновляйте операционные системы, программные приложения и антивирусные программы для устранения уязвимостей безопасности и защиты от известных эксплойтов. По возможности включайте автоматические обновления.
- Установите надежное программное обеспечение безопасности . Используйте надежное антивирусное программное обеспечение для обнаружения и удаления программ-вымогателей и других вредоносных угроз. Убедитесь, что антивирусное программное обеспечение часто обновляется, чтобы распознавать новейшие угрозы.
- Будьте бдительны с вложениями и ссылками электронной почты . Остерегайтесь подозрительных писем, особенно писем от неизвестных отправителей или содержащих неожиданные вложения или ссылки. Старайтесь не открывать ссылки и не загружать вложения из нежелательных писем, поскольку они могут содержать программы-вымогатели или другие вредоносные программы.
- Регулярное резервное копирование данных : разработайте надежную стратегию резервного копирования, регулярно создавая резервные копии важных данных на внешнем жестком диске, в облачном хранилище или сетевом хранилище (NAS). Убедитесь, что резервные копии хранятся надежно и недоступны напрямую из основной системы, чтобы предотвратить их шифрование программами-вымогателями.
- Используйте надежные, уникальные пароли . Создавайте надежные и сложные пароли для всех учетных записей и не используйте один и тот же пароль для нескольких учетных записей. Рассмотрите возможность использования надежного менеджера паролей для безопасного создания и хранения паролей.
- Включить двухфакторную аутентификацию (2FA) : включите двухфакторную аутентификацию, чтобы максимизировать безопасность ваших учетных записей. 2FA требует, чтобы пользователи включали вторую форму проверки, например пароль или код, отправленный на мобильное устройство.
Приняв эти превентивные меры, пользователи могут уменьшить вероятность стать жертвой атак программ-вымогателей и значительно лучше защитить свои данные и устройства.
Записка о выкупе, отправленная FORCE Ransomware:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
