RestoreMyData Ransomware

Вредоносные кампании постоянно развиваются, и программы-вымогатели остаются одной из самых разрушительных угроз для пользователей и организаций любого размера. Одно успешное вторжение может остановить работу, повредить резервные копии, спровоцировать вымогательство с целью утечки данных и потребовать длительного и дорогостоящего восстановления. Проактивная защита и организованное реагирование играют решающую роль в ограничении радиуса поражения именно в момент атаки, а не в случае её возникновения.

Что такое программа-вымогатель RestoreMyData?

RestoreMyData блокирует данные жертв и требует у них выкуп. Этот вид вируса-вымогателя был выявлен в ходе продолжающихся расследований по выявлению угроз. Как и другие современные семейства, он шифрует файлы и требует плату за утилиту для расшифровки, а также утверждает, что похищает конфиденциальные бизнес-данные, чтобы оказывать давление на жертв посредством их публичной утечки.

Как разворачивается атака

Закрепившись на компьютере, часто с помощью социальной инженерии, вредоносных загрузок или использования вторичного вредоносного ПО, программа-вымогатель выполняет процедуру шифрования. К каждому имени заражённого файла добавляется расширение .restoremydata.pw. Например, 1.png становится 1.png.restoremydata.pw, а 2.pdf — 2.pdf.restoremydata.pw. После завершения шифрования вредоносная программа выдаёт записку с требованием выкупа под названием 'HOW_TO_RECOVERY_FILES.txt'. Эта записка явно предназначена для корпоративных, а не для домашних пользователей, предупреждая о том, что деятельность организации находится под угрозой, файлы недоступны без помощи злоумышленников, а украденные корпоративные данные будут опубликованы, если требования будут проигнорированы.

Внутри записки о выкупе: тактика и давление

В сообщении утверждается, что уникальный ключ дешифрования есть только у злоумышленников, и что дешифраторы, использованные для других жертв, не сработают. В нём предостерегают от изменения зашифрованных файлов во избежание необратимого ущерба. В качестве «доказательства дешифрования» операторы предлагают восстановить один тестовый файл, обычно размером до 2 МБ, а не критически важный актив, такой как база данных, резервная копия или большая электронная таблица. Это распространённый приём социальной инженерии, призванный повысить доверие и подтолкнуть жертв к оплате.

Выплата выкупа: риски и реальность

В большинстве случаев расшифровать файлы, заблокированные современными программами-вымогателями, невозможно без ключей злоумышленника. Однако оплата не гарантирует восстановления; жертвы часто сообщают, что не получили ничего полезного после перевода средств. Оплата также подпитывает преступную экосистему. Оправданный курс — избегать оплаты, сосредоточиться на уничтожении вредоносной программы и восстановить данные из чистых резервных копий.

Устойчивость, боковое движение и распространение

Помимо первоначального взлома, некоторые угрозы пытаются распространяться по локальным сетям, злоупотреблять административными инструментами, собирать учётные данные и распространяться через съёмные носители (USB-накопители, внешние диски). Следует предположить, что RestoreMyData способен использовать аналогичные методы, используемые в экосистеме, поэтому скорость локализации имеет решающее значение после обнаружения индикаторов.

Первоначальный доступ и каналы доставки

Операторы программ-вымогателей используют проверенные способы распространения: фишинговые письма и сообщения с вредоносными вложениями или ссылками, трояны и загрузчики, которые позже сбрасывают вредоносную нагрузку, скрытые загрузки со взломанных сайтов, порталы бесплатного ПО и P2P-сети с переупакованными установщиками, вредоносную рекламу, поддельные обновления и инструменты для взлома. Вредоносный контент часто маскируется под архивы (ZIP/RAR), исполняемые файлы, PDF-файлы, документы Office или OneNote, JavaScript и многое другое; выполнение начинается в момент открытия или запуска файла пользователем.

Стратегия искоренения и восстановления

Немедленно изолируйте затронутые системы от сети, чтобы предотвратить распространение шифрования и утечку данных. Выполните полное удаление, используя надежные, полностью обновленные средства безопасности. Помните, что удаление предотвращает дальнейший ущерб, но не расшифровывает уже заблокированные данные. Восстановление следует осуществлять из резервных копий, которые еще не были затронуты.

Итог

Программа-вымогатель RestoreMyData служит примером современной схемы двойного вымогательства: быстрое шифрование, уникальные ключи жертвы, настойчивые требования выкупа и угрозы утечки украденных данных. По возможности избегайте оплаты, решительно удаляйте вредоносное ПО и используйте для восстановления надежные, регулярно проверяемые резервные копии. Организации, которые сочетают многоуровневую защиту, строгий контроль привилегий, отказоустойчивое резервное копирование и отлаженное реагирование на инциденты, значительно повышают свои шансы противостоять подобным атакам.