Matrix Ransomware

Исследователи в области безопасности ПК наблюдали троян-шифровальщик Matrix Ransomware 3 апреля 2018 года. Жертвы могут получать Matrix Ransomware на свои машины с помощью спам-сообщений электронной почты, которые будут содержать поврежденные файловые вложения, для загрузки которых используются макрос-скрипты. и установите Matrix Ransomware на компьютер жертвы. Matrix Ransomware имеет две версии, обе используются для шифрования файлов жертвы, и жертвы должны заплатить выкуп, чтобы получить ключ дешифрования. Такое поведение наблюдается у большинства троянских программ-шифровальщиков. Программа-вымогатель Matrix упрощает распознавание зашифрованных файлов, поскольку программа-вымогатель Matrix добавляет расширение файла «.matrix» к именам файлов.

Каковы последствия атаки Matrix Ransomware

Трояны, такие как Matrix Ransomware, используют надежные алгоритмы шифрования, чтобы сделать файлы недоступными. Программа-вымогатель Matrix будет нацелена на созданный пользователем файл в своей атаке, которая может включать файлы со следующими расширениями:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

После того, как Matrix Ransomware завершит шифрование файлов, операционная система Windows не распознает эти файлы, и они будут отображаться в виде пустых значков и отображать сообщения об ошибках, когда пользователь ПК пытается их открыть. Matrix Ransomware потребует, чтобы жертва связалась с его операторами по электронной почте, чтобы заплатить значительный выкуп в обмен на ключ дешифрования. Различные варианты Matrix Ransomware используют разные контактные адреса электронной почты, и следующие адреса электронной почты были связаны с Matrix Ransomware:

files4463@tuta.io
files4463@protonmail.ch
files4463@gmail.com
restorfile@tutanote.com
restorfile@protonmail.com
restorfile@qq.com

Программа-вымогатель Matrix отправляет записку о выкупе в виде файла HTA, который отображает на зараженном компьютере следующее сообщение:

«ЧТО ПРОИЗОШЛО С ВАШИМИ ФАЙЛАМИ?
Ваши документы, базы данных, резервные копии, сетевые папки и другие важные файлы зашифрованы шифрами RSA-2048 и AES-128. Более подробную информацию о RSA и AES можно найти здесь:
h [tt] p: //en.wikipedia [.] org / wiki / RSA (криптосистема)
h [tt] p: //en.wikipedia [.] org / wiki / Расширенный стандарт шифрования
Это означает, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы вашим личным ключом дешифрования! Без личного ключа и специального программного обеспечения восстановление данных невозможно! Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Если вы хотите восстановить свои файлы, напишите нам по электронной почте: [СТРОКА ЭЛЕКТРОННЫХ ПОЧТОВ] В теме сообщения укажите свой личный идентификатор: [ИЗМЕНИТЬ]
Мы рекомендуем вам отправлять свое сообщение НА КАЖДОЙ из 3 НАШИХ ЭЛЕКТРОННЫХ ПОЧТОВ, так как сообщение может не достигнуть предполагаемого получателя по разным причинам! Напишите нам на английском или воспользуйтесь услугами профессионального переводчика! Если вы хотите восстановить свои файлы, вам придется заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите.
Если вы предпочитаете обмен сообщениями в реальном времени, вы можете отправить нам Bitmessages из веб-браузера через веб-страницу h [tt] ps: // bitmsg [.] Me. '

Работа с программами-вымогателями Matrix

К сожалению, после того, как Matrix Ransomware зашифрует файлы, их невозможно будет восстановить. В связи с этим необходимо, чтобы пользователи компьютеров принимали меры для упреждающей защиты своих данных от этих угроз. Лучшая защита от угроз, таких как Matrix Ransomware, - это резервные копии файлов, которые дадут жертвам возможность восстановить свои файлы.

Обновление от 14 ноября 2018 г. - программа-вымогатель Matrix-FASTA

Программа-вымогатель Matrix-FASTA является разновидностью семейства Matrix, семейства угроз вымогателей, появившихся в апреле 2018 года и с момента первого выпуска которых были представлены различные варианты. Программа-вымогатель Matrix-FASTA, как и другие варианты Matrix, предназначена для шифрования файлов жертвы, а затем требует от жертвы выкупа. Крайне важно, чтобы пользователи компьютеров принимали меры для защиты своих компьютеров от программ-вымогателей Matrix-FASTA и подобных атак.

Как работает троян-вымогатель Matrix-FASTA

Программа-вымогатель Matrix-FASTA обычно доставляется на компьютер жертвы с помощью вложений электронной почты, содержащих спам. После того, как программа-вымогатель Matrix-FASTA была установлена на компьютер жертвы, программа-вымогатель Matrix-FASTA зашифрует созданные пользователем файлы, которые она находит на компьютере жертвы, которые могут включать файлы со следующими расширениями:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel,. prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx,. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc,. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4,, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw,. clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Атака Matrix-FASTA Ransomware повредит целевые данные таким образом, что их невозможно будет восстановить без ключа дешифрования, что означает, что они могут быть потеряны безвозвратно. Преступники попытаются заставить жертву заплатить выкуп в обмен на данные, скомпрометированные атакой Matrix-FASTA Ransomware.

Как программа-вымогатель Matrix-FASTA доставляется своим жертвам

Вариант программы-вымогателя Matrix-FASTA впервые был замечен 14 ноября 2018 г. В этом семействе программ-вымогателей было несколько вариантов, выпущенных в 2018 г. Как и другие варианты Matrix , наиболее распространенный способ доставки программы-вымогателя Matrix-FASTA компьютеры жертв через спам-вложения электронной почты, в которых используются встроенные макрос-скрипты для загрузки и установки Matrix-FASTA Ransomware на компьютер жертвы. В записке о выкупе Matrix-FASTA Ransomware, требующей оплаты от жертвы, жертва просит ее связаться с преступниками по адресу электронной почты fastbk@qq.com, чтобы восстановить затронутые данные. Программа-вымогатель Matrix-FASTA отмечает файлы, зашифрованные при атаке, добавляя расширение файла «.FASTA» к каждому файлу, зашифрованному при атаке. Программа-вымогатель Matrix-FASTA также переименовывает файлы, зашифрованные при атаке, заменяя имена файлов контактным адресом электронной почты программы-вымогателя Matrix-FASTA и строкой зашифрованных символов. Типичный выкуп от программ-вымогателей Matrix-FASTA составляет от 300 до 1000 долларов США.

Защита ваших данных от угроз, таких как программа-вымогатель Matrix-FASTA

Лучшая защита от таких угроз, как Matrix-FASTA Ransomware, - это хранить резервные копии файлов в безопасном месте. Специалисты по безопасности советуют пользователям компьютеров хранить резервные копии своих данных либо в облаке, либо на внешнем запоминающем устройстве. Помимо резервного копирования файлов, пользователи компьютеров также должны использовать программу безопасности, чтобы перехватить заражение Matrix-FASTA Ransomware или удалить его после установки.

Обновление от 22 октября 2018 г. - программа-вымогатель Matrix-GMPF

Программа-вымогатель Matrix-GMPF классифицируется как слегка измененная версия программы-вымогателя Matrix, выпущенная в апреле 2018 года. О новом варианте было сообщено 22 октября 2018 года, и он был добавлен в базы данных антивирусных программ. Киберугроза названа в честь файлового маркера, показываемого скомпрометированным пользователям - «.GMPF». Более ранние версии имели похожие названия и включали программы -вымогатели Matrix-THDA и программы -вымогатели Matrix-ITLOCK . Программа-вымогатель Matrix-GMPF создана для использования шифров AES и RSA и делает данные на зараженных устройствах нечитаемыми. Затем пользователям показывают текстовый файл с названием «# GMPF-README # .txt» и просят отправить электронное письмо на адрес электронной почты «GetMyPass@qq.com». Угроза запрограммирована на отправку ключа дешифрования программистам через сеть TOR и предотвращение обнаружения третьими сторонами способа дешифрования затронутых данных. Вы можете распознать зашифрованные файлы по их именам. Троян-вымогатель Matrix-GMPF использует модель [GetMyPass@qq.com] .. GMPF для маркировки зашифрованных объектов. Например, «Hanuman.pptx» можно переименовать в [GetMyPass@qq.com] .Z2VuZXJp-YwdGV89t.GMPF. Как упоминалось выше, сообщение с требованием выкупа представлено как '# GMPF-README # .txt', которое вы можете загрузить в Блокнот Microsoft и прочитать следующее:

«ЧТО ПРОИЗОШЛО С ВАШИМИ ФАЙЛАМИ?
Ваши документы, базы данных, резервные копии, сетевые папки и другие важные файлы зашифрованы шифрами RSA-2048 и AES-128. Более подробную информацию о RSA и AES можно найти здесь:
h [tt] p: //en.wikipedia [.] org / wiki / RSA (криптосистема)
h [tt] p: //en.wikipedia [.] org / wiki / Расширенный стандарт шифрования
Это означает, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы вашим личным ключом дешифрования! Без личного ключа и специального программного обеспечения восстановление данных невозможно! Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Если вы хотите восстановить свои файлы, напишите нам на электронную почту: getmypass@qq.com '

Авторы угроз часто меняют учетные записи электронной почты, чтобы поддерживать работу своей работы и не поднимать тревогу у поставщиков услуг электронной почты. Рекомендуется загружать резервные копии данных для восстановления после потенциальных атак. Имена обнаружения для Matrix-GMPF Ransomware включают:

Generic.Ransom.Matrix.B38FC644
Агент выкупа! 8.6B7 (ОБЛАКО)
Выкуп. Матрица.S3765495
Ransom_MATRIX.THAOOBAH
Troj / Матрица-К
W32 / Агент! Tr
W32 / Generic.AC.41B59B! Tr
вредоносное ПО (рейтинг AI = 100)

Обновление от 20 декабря 2018 г. - программа-вымогатель Matrix-PRCP

В последние несколько дней перед Рождеством 2018 года исследователи безопасности выявили новый вариант Matrix Ransomware, который называется Matrix-PRCP Ransomware. Новое ответвление Matrix применяет расширение .PRCP к зашифрованным файлам.

Записка о выкупе содержится в файле с именем "# README_PRCP # .rtf". Электронная почта, используемая авторами нового варианта, которую жертвы могут использовать для связи с ними, - это radrigoman @ protonmail [.] Com. Похоже, это электронное письмо также используется для шифрования файлов программой-вымогателем. Программа-вымогатель Matrix-PRCP переименовывает все файлы, которые она зашифровала, используя следующий шаблон '[radrigoman@protonmail.com]. [Строка случайных символов] - [строка случайных символов] .PRCP.

Обновление от 14 января 2019 г. - программа-вымогатель Matrix-GRHAN

Программа-вымогатель Matrix-GRHAN - это незначительное обновление линейки троянских программ-шифровальщиков Matrix, которая начала появляться в апреле 2018 года. Программа-вымогатель Matrix-GRHAN очень немного отличается от предыдущих версий, и единственное заметное отличие состоит в том, что она использует новый шаблон переименования. Угроза применяет модифицированный шифр AES-256 к изображениям, аудио, видео, тексту и базам данных. Файлы, обрабатываемые программой-вымогателем Matrix-GRHAN, представлены обычными белыми значками и названиями функций, соответствующими модели «[greenelephan@qq.com] .. GRHAN». Например, «Jotunheim.docx» можно переименовать в «[greenelephan@qq.com] .VC6NJ9-XWI88P.GRHAN», и пользователи не смогут восстановиться после атаки с помощью снимков теневого тома. Известно, что данная угроза использует службу теневого тома и удаляет точки восстановления системы, а также недавно созданные моментальные снимки теневого тома. Сообщается, что программа-вымогатель Matrix-GRHAN передает '! README_GRHAN! .Rtf' зараженным системам и предлагает следующее сообщение:

«ЧТО ПРОИЗОШЛО С ВАШИМИ ФАЙЛАМИ?
Ваши документы, базы данных, резервные копии, сетевые папки и другие важные файлы зашифрованы шифрами RSA-2048 и AES-128. Более подробную информацию о RSA и AES можно найти здесь:
h [tt] p: //en.wikipedia [.] org / wiki / RSA (криптосистема)
h [tt] p: //en.wikipedia [.] org / wiki / Расширенный стандарт шифрования
Это означает, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы вашим личным ключом дешифрования! Без личного ключа и специального программного обеспечения восстановление данных невозможно! Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Если вы хотите восстановить свои файлы, напишите нам на электронную почту: greenelephan@qq.com '

Троян-вымогатель Matrix-GRHAN может мешать работе менеджеров баз данных и некоторых менеджеров резервного копирования. Киберугроза предназначена для проникновения и запуска в корпоративных сетях, серверных фермах и сетях малого бизнеса. Рекомендуется убедиться, что нет открытых портов и служб, подключенных к Интернету через небезопасные соединения. Не рекомендуется связываться с операторами программ-вымогателей через greenelephan@qq.com и другие каналы, которые могут быть связаны с программой-вымогателем Matrix-GRHAN. Вы должны использовать чистые резервные копии и запускать полное сканирование системы, если вы были заражены Matrix-GRHAN Ransomware. Устранению этой угрозы должны способствовать сертифицированные эксперты и проверенные продукты безопасности.

SpyHunter обнаруживает и удаляет Matrix Ransomware