Ремонт программ-вымогателей

Во время анализа потенциальных вредоносных угроз исследователи кибербезопасности наткнулись на вредоносную программу, известную как Repair. Эта программа действует как программа-вымогатель, шифруя данные в зараженных системах. При проникновении Repair блокирует множество файлов и изменяет их исходные имена, добавляя расширение «.repair». Например, файл с именем «1.png» будет выглядеть как «1.png.repair», а «2.pdf» станет «2.pdf.repair» и т. д.

После завершения процесса шифрования Repair создает HTML-файл с именем «How_to_back_files.html» в скомпрометированной системе. Этот файл содержит записку о выкупе от злоумышленников, которая требует оплаты за расшифровку. Кроме того, Repair использует тактику двойного вымогательства, угрожая жертвам раскрытием их данных. Этот конкретный вариант программы-вымогателя связан с семейством программ-вымогателей MedusaLocker .

Программа-вымогатель Repair вымогает жертвы, взяв в заложники данные

В примечании о выкупе Repair указывается, что эта конкретная программа-вымогатель в первую очередь нацелена на предприятия, а не на отдельных домашних пользователей. В заметке прямо упоминается, что файлы в сети компании были зашифрованы, а злоумышленники извлекли конфиденциальные или личные данные. В нем подчеркивается, что только киберпреступники обладают возможностью разблокировать зашифрованные файлы. Любые попытки жертвы переименовать, изменить или вручную расшифровать файлы предостерегаются, поскольку они могут необратимо повредить данные.

Чтобы начать процесс расшифровки, жертвы должны заплатить выкуп. Несоблюдение этого требования может привести к утечке или продаже украденных данных злоумышленниками. Кроме того, сумма выкупа увеличивается, если контакт с киберпреступниками не будет начат в течение 72 часов. Прежде чем совершить платеж, жертвам разрешается протестировать расшифровку на трех менее важных файлах.

Эксперты по информационной безопасности предупреждают, что расшифровка без участия злоумышленников обычно нецелесообразна. Исключения из этого правила редки и обычно происходят в тех случаях, когда программа-вымогатель имеет фундаментальные недостатки.

Более того, нет никаких гарантий, что киберпреступники предоставят обещанные ключи дешифрования или программное обеспечение даже после получения оплаты. Поэтому настоятельно не рекомендуется соглашаться на их требования, поскольку это не только не гарантирует восстановление файлов, но и увековечивает преступную деятельность.

Хотя удаление программы-вымогателя Repair из операционной системы предотвращает дальнейшее шифрование данных, оно не восстанавливает файлы, которые уже пострадали от программы-вымогателя.

Примите меры для защиты ваших данных и устройств от атак вредоносных программ

Защита данных и устройств от атак вредоносного ПО требует многогранного подхода, включающего как превентивные, так и ответные меры. Вот некоторые ключевые шаги, которые могут предпринять пользователи:

• Постоянно обновляйте программное обеспечение . Регулярно обновляйте операционные системы, программные приложения и антивирусные программы для устранения уязвимостей и защиты от известных эксплойтов. Многие вредоносные атаки используют устаревшее программное обеспечение.
• Используйте надежные пароли . Всегда используйте уникальные пароли для всех учетных записей, включая электронную почту, социальные сети и онлайн-банкинг. Рассмотрите преимущества использования менеджера паролей для безопасного создания и хранения надежных паролей.
• Включить двухфакторную аутентификацию (2FA) . Используйте 2FA, когда это возможно, чтобы максимизировать безопасность учетных записей. Это гарантирует, что даже в случае раскрытия пароля для доступа потребуется дополнительный этап проверки.
• Будьте осторожны с электронной почтой . Будьте осторожны с нежелательными электронными письмами, особенно с вложениями или ссылками от неизвестных отправителей. Не нажимайте на сомнительные ссылки и не загружайте вложения из писем, которые кажутся подозрительными или неожиданными.
• Регулярное резервное копирование данных : регулярное резервное копирование необходимых файлов и других данных на внешнее устройство хранения или в облачную службу. Убедитесь, что резервные копии надежно хранятся и не доступны напрямую из сети, чтобы предотвратить их компрометацию в результате атаки вредоносного ПО.
• Используйте программное обеспечение безопасности . Установите и регулярно обновляйте надежное антивирусное программное обеспечение на всех устройствах. Эти программы могут обнаруживать и удалять вредоносные угрозы, а также обеспечивать защиту от новых угроз в режиме реального времени.
• Внедрите меры сетевой безопасности : используйте межсетевые экраны, системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) для мониторинга и фильтрации сетевого трафика на предмет подозрительной активности. Сегментируйте сети, чтобы ограничить распространение вредоносного ПО в случае взлома.
• Обучайте пользователей : разрабатывайте программы обучения и повышения осведомленности, чтобы информировать пользователей о рисках вредоносного ПО и о том, как выявлять потенциальные угрозы. Научите их распознавать фишинговые электронные письма, подозрительные ссылки и другие распространенные приемы, используемые киберпреступниками.
• Регулярное сканирование на наличие вредоносных программ . Регулярно сканируйте все устройства на наличие вредоносных программ, чтобы обнаружить и удалить любое небезопасное программное обеспечение, которое могло проскользнуть мимо первоначальной защиты.

Соблюдая эти меры, пользователи могут значительно повысить безопасность своих данных и устройств, уменьшив риск постоянных атак вредоносных программ.

Записка о выкупе, созданная Repair Ransomware, гласит:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'