ОСТАНОВИТЬ программы-вымогатели

21 февраля 2018 г. исследователи безопасности ПК получили сообщения об атаках программ-вымогателей с использованием угрозы, известной как STOP Ransomware. Программа STOP Ransomware основана на платформе программ-вымогателей с открытым исходным кодом и выполняет типичную версию атаки программ-вымогателей с шифрованием. STOP Ransomware распространяется с использованием спам-сообщений электронной почты, содержащих поврежденные файловые вложения. Эти прикрепленные файлы имеют форму файлов DOCX со встроенными макросценариями, которые загружают и устанавливают STOP Ransomware на компьютер жертвы. Научиться распознавать фишинговые электронные письма и избегать загрузки любых полученных нежелательных файловых вложений - один из способов избежать этих атак.

Как распознать STOP Ransomware-инфекцию

После того, как программа-вымогатель STOP установлена на компьютер жертвы, программа-вымогатель STOP будет искать на ее дисках самые разные типы файлов, обычно ища созданные пользователем файлы, такие как изображения, мультимедийные файлы и многие другие типы документов. Похоже, что программа-вымогатель STOP также предназначена для целевых веб-серверов, поскольку она ищет файлы базы данных и аналогичные типы файлов, обычно явно содержащиеся на этих машинах. Типы файлов, которые STOP Ransomware будет искать и нацеливать на свою атаку, включают:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

На этой неделе в вредоносном ПО, эпизод 10: STOP и Zorab Ransomware эксплуатируют жертв с помощью поддельного дешифратора

STOP Ransomware использует надежный алгоритм шифрования, чтобы сделать каждый файл жертвы недоступным. Атака STOP Ransomware добавит расширение файла «.SUSPENDED» к файлам, которые он зашифровывает, чтобы пометить затронутые файлы.

Записка о выкупе программы-вымогателя STOP

Программа-вымогатель STOP требует уплаты выкупа, доставив записку о выкупе на компьютер жертвы. Эта записка о выкупе отображается в текстовом файле, перетаскиваемом на рабочий стол жертвы. Файл с именем '!!! YourDataRestore !!!. Txt, 'содержит сообщение:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .STOP зашифрованы. Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте stopfilesrestore@bitmessage.ch, отправить нам по электронной почте свой файл !!! YourDataRestore !!! .txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла и отправить вам обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[СЛУЧАЙНЫЕ СИМВОЛЫ]
Адрес электронной почты для связи с нами:
stopfilesrestoret@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
stopfilesrestore@india.com '

Люди, ответственные за STOP Ransomware, требуют выкуп в размере 600 долларов США, который должен быть выплачен с использованием биткойнов на определенный адрес биткойн-кошелька в течение 72 часов. Однако обращение к этим людям или оплата выкупа STOP Ransomware может быть не лучшим решением.

Защита ваших данных от программ-вымогателей STOP и других троянских программ-вымогателей

Лучшая защита от STOP Ransomware и других троянских программ-вымогателей - это резервные копии файлов. Пользователи компьютеров, у которых есть резервные копии своих файлов, могут легко восстановить эти файлы после атаки, не прибегая к уплате выкупа. Рекомендуемая программа безопасности также может предотвратить установку STOP Ransomware.

Обновление от 6 декабря 2018 г. - «helphadow@india.com» Ransomware

Программа-вымогатель «helphadow@india.com» классифицируется как сравнительно небольшое обновление кода, имеющего марку STOP Ransomware. Авторы угроз, похоже, не уделили достаточно времени доработке нового варианта, так как у него низкий коэффициент заражения. Вымогательское ПО «helphadow@india.com» было быстро обнаружено поставщиками антивирусных программ, а оповещения отправлялись через основные социальные платформы и отчеты о кибербезопасности. К сожалению, возможности бесплатной расшифровки пока нет. Пользователи обычно скомпрометированы из-за поврежденного документа, полученного по электронной почте. Известно, что угроза стирает моментальные снимки теневого тома, созданные Windows, и прикрепляет расширение .shadow к зашифрованным объектам. Например, «C12-H22-O11.pptx» переименовывается в «C12-H22-O11.pptx.shadow», а на рабочем столе появляется записка с требованием выкупа «! Readme.txt». Программа-вымогатель helphadow@india.com может показать зараженным пользователям следующее сообщение:

'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc
Ваш личный идентификатор:
[случайные символы] '

Приведенный выше текст используется вариантами, выпущенными раньше, чем вымогатель «helphadow@india.com», и единственное изменение, которое стоит отметить, - это новая конфигурация электронной почты. Программа-вымогатель helphadow@india.com названа в честь одного из контактов электронной почты, а другая направляет пользователей к тому же имени пользователя, но на другой платформе электронной почты - «helphadow@firemail.cc». К тому времени, как эта статья попадет к вам, обе учетные записи электронной почты, вероятно, будут закрыты. Шансы поймать того, кто стоит за вымогателем helphadow@india.com, невелики, учитывая, что операторы вымогателей используют прокси, службы VPN и сеть TOR, чтобы скрыть свои управляющие устройства. Следовательно, пользователи должны проявлять инициативу в защите своих данных. Шаг номер один - установите программу резервного копирования в вашу систему; шаг номер два - не открывайте файлы от неизвестных отправителей. Не забудьте экспортировать резервные копии данных на съемное запоминающее устройство или в службу хостинга файлов.

Обновление от 13 декабря 2018 г. - программа-вымогатель «Расширение файла .djvu»

Программа-вымогатель «.djvu File Extension» - это новый вариант программы-вымогателя STOP, о которой было сообщено 12 декабря 2018 г. Исследователи компьютерной безопасности классифицируют программу-вымогатель «.djvu File Extension» как небольшое обновление предыдущих выпусков программ-вымогателей STOP и предупреждаем, что угроза по-прежнему распространяется в основном через спам-сообщения. Злоумышленники использовали документы с поддержкой макросов и поддельные PDF-файлы, чтобы обманом заставить пользователей установить свою программу. Атаки с помощью программы-вымогателя «.djvu File Extension» почти не отличаются от первой волны заражений в феврале 2018 года. Угроза удаляет моментальные снимки теневого тома и карты, подключенные к дискам памяти, до того, как зашифрует данные пользователя. Новый вариант поддерживает другое расширение файла, а примечание о выкупе немного изменено. Как видно из названия, файлы получают суффикс «.djvu», а что-то вроде «Jonne-Kaiho.mp3» переименовывается в «Jonne-Kaiho.mp3.djvu». Записка с требованием выкупа отображается на рабочем столе как _openme.txt и гласит:

'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com

Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc

Ваш личный идентификатор:
[случайные символы] '

Авторы угроз продолжают использовать учетные записи электронной почты «helphadow@india.com» и «helphadow@firemail.cc» для своих кампаний по вымогательству. Не доверяйте команде STOP Ransomware и избегайте использования фальшивой скидки 50%, упомянутой выше. Обсуждаемые здесь субъекты угроз не отличаются снисходительностью. Пользователи ПК должны удалить программу-вымогатель «.djvu File Extension» с помощью надежного средства защиты от вредоносных программ. Лучше всего использовать резервные изображения и службы резервного копирования для восстановления ваших данных.

Обновление от 11 января 2019 г. - программа-вымогатель .tfude File Extension

Программа-вымогатель «.tfude File Extension» - это версия программы-вымогателя STOP, выпущенная 11 января 2019 года. Угроза классифицируется как версия, которая имеет минимальные модификации по сравнению с исходной киберугрозой. Программа-вымогатель '.tfude File Extension' названа в честь единственного заметного изменения в ее поврежденном коде. Троянец настроен так, чтобы прикреплять расширение файла .tfude к зашифрованным данным. Программа-вымогатель «.tfude File Extension» продолжает использовать стандартные технологии шифрования и безопасные подключения к серверам Command, что не позволяет специалистам по безопасности предлагать бесплатное дешифрование скомпрометированным пользователям.

Настоящая криптоугроза использует технологии шифрования, которые государственные учреждения и компании, такие как Google Inc., используют для защиты передачи данных. Зашифрованные файлы отображаются в проводнике Windows в виде обычных белых значков, а программы, установленные пользователем, остаются работоспособными. Однако некоторые менеджеры баз данных могут работать некорректно, поскольку угроза кодирует популярные форматы баз данных. Например, «Recent sales.pdb» переименован в «Recent sales.pdb.tfude». Записка с требованием выкупа загружается в Блокнот из файла _openme.txt, который находится на рабочем столе. Программа-вымогатель «.tfude File Extension» предлагает то же сообщение, что и исходный троян, но на этот раз злоумышленники используют учетную запись электронной почты pdfhelp@firemail.cc для связи с пользователями. Для пользователей нет бесплатного дешифратора, и вам нужно будет использовать резервные копии данных для восстановления. Вам нужно будет очистить зараженные устройства, запустив полное сканирование системы с помощью надежного инструмента защиты от вредоносных программ.

Обновление от 23 января 2019 г. - программа-вымогатель pausa@bitmessage.ch

Программа-вымогатель pausa@bitmessage.ch - это вредоносная программа для кодирования файлов, которая создается с помощью STOP Ransomware Builder. Программа-вымогатель pausa@bitmessage.ch была выпущена для пользователей ПК в виде спама в первую неделю мая 2018 года. Программа-вымогатель pausa@bitmessage.ch воспринимается как общий троян-шифровальщик, который перезаписывает данные на зараженных компьютерах и удаляет том. снимки, препятствующие восстановлению. Известно, что программа-вымогатель pausa@bitmessage.ch использует те же технологии шифрования, что и другие успешные программы-вымогатели, такие как Cerber и Dharma, и многие другие. Программа-вымогатель pausa@bitmessage.ch запрограммирована для запуска из папки Temp в каталоге AppData и применения безопасного шифра AES-256 к документам, видео, музыке, базам данных и электронным книгам. Закодированные данные получают расширение .PAUSA, а что-то вроде «Hartmann-Save me.mp3» переименовывается в «Hartmann-Save me.mp3.pausa». Уведомление о выкупе сохраняется на рабочем столе пользователя как «!! RESTORE !!!. Txt» и гласит:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .PAUSA зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте pausa@bitmessage.ch, отправить нам свой !!! RESTORE !!!. Txt файл и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
pausa@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
pausa@india.com '

Мы рекомендуем вам избегать переговоров с злоумышленниками через учетные записи электронной почты pausa@bitmessage.ch и pausa@india.com. Безопаснее загружать резервные копии данных и очищать систему с помощью надежного средства защиты от вредоносных программ. Даже если вы заплатите абсурдный выкуп в размере 600 долларов, нет никакой гарантии, что вы получите дешифратор. Пользователям ПК рекомендуется делать резервные копии данных не реже двух раз в месяц и игнорировать спам-сообщения, которые могут привести к нарушению безопасности. AV-компании поддерживают правила обнаружения вымогателей «pausa@bitmessage.ch», но на момент написания статьи не существовало бесплатного дешифратора.

Обновление от 23 января 2019 г. - вымогатель 'wait@bitmessage.ch'

Вымогатель 'wait@bitmessage.ch' - это троян-шифровальщик, основанный на программе-вымогателе STOP. Скомпрометированные пользователи сообщили о программе-вымогателе «wait@bitmessage.ch» 18 апреля 2018 г., и, похоже, она вторгается на компьютеры через поврежденные документы Microsoft Word. Программа-вымогатель wait@bitmessage.ch записывается для шифрования фотографий, аудио, видео и текста на зараженных компьютерах. К сожалению, авторы вредоносного ПО добавили команду для удаления моментальных снимков томов, которые Windows делает для защиты ваших данных. Троянец перезаписывает целевые данные файлами с расширением «.WAITING», которые невозможно открыть с помощью программного обеспечения в вашей системе. Например, «Hartmann-Like a River.mp3» переименовывается в «Hartmann-Like a River.mp3.waiting», и на ваш рабочий стол выводится сообщение с требованием выкупа. Программа-вымогатель "wait@bitmessage.ch" пишет "!!! INFO_RESTORE !!!. Txt" на рабочий стол и отображает следующий текст:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .WAITING зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте wait@bitmessage.ch, отправить нам свой файл !!! INFO_RESTORE !!!. Txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
wait@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
wait@india.com '

Вредоносная программа не мешает сторонним инструментам резервного копирования, и вы должны иметь возможность загружать резервные копии данных. Рекомендуется избегать взаимодействия с злоумышленниками через адреса электронной почты «wait@bitmessage.ch» и «wait@india.com». Возможно, вам будет интересно изучить службы хостинга файлов, если вы хотите защитить свои резервные копии данных от киберугроз, передаваемых по сети, и от большинства вариантов программ-вымогателей, таких как «wait@bitmessage.ch».

Обновление 25 ^{ноября,} 2019 - .zobm и .rote Extensions

24 и 25 ноября 2019 года исследователи безопасности наткнулись на пару новых вариантов STOP Ransomware. Варианты вымогателей добавляли зашифрованные файлы с расширениями .zobm и .rote, но имели идентичную записку о выкупе с именем _readme.txt. Электронные письма, по которым можно было связаться с злоумышленниками, также были одинаковыми - datarestorehelp@firemail.cc и datahelp@iran.ir.

ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t-4NWUGZxdHc
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.

Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
datarestorehelp@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
datahelp@iran.ir
Ваш личный идентификатор:
[случайные символы]

ОСТАНОВИТЬ программы-вымогатели в 2019 г. и позже

Позже в 2019 году программа-вымогатель STOP все еще использовалась, и тестировались новые векторы атак. Программа-вымогатель STOP начала появляться в пакетах, содержащих другие формы вредоносного ПО, в первую очередь рекламное ПО, которые вы можете найти на веб-сайтах, утверждающих, что они размещают взломанные исполняемые файлы для игр и программного обеспечения. Таким образом, многие из новых жертв вымогателей оказались обнадеживающими программными пиратами, ищущими, кто получил больше, чем они рассчитывали.

Также были доказательства того, что программа-вымогатель STOP устанавливает троянских программ-кражителей паролей, которые могут очищать различные учетные данные для входа в систему.

Программа-вымогатель также расширила длинный список используемых расширений зашифрованных файлов. Файлы, зашифрованные программой-вымогателем STOP, теперь получили расширения .rumba и .tro. На данный момент мало что изменилось - записка о выкупе все еще была найдена в файле с именем "_openme.txt", но сумма выкупа была увеличена до 980 долларов с понижением до 490 долларов, если жертва заплатит в течение первых 72 часов после заражения. .

Обновление 24 марта 2020 г. - Новые варианты

Злоумышленники, стоящие за STOP Ransomware, работали в 2020 году так же неустанно, как и в 2019 году, с новыми вариантами шифрования файлов жертв и добавлением к ним множества новых расширений. Некоторые из новых расширений STOP Ransomware включают .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd и .foop.

Образец записки о выкупе, поставляемой с вариантом .lokd, содержал следующий текст:

ВНИМАНИЕ!

Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t7m8Wr997Sf
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.

Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helpdatarestore@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helpmanager@mail.ch
Ваш личный идентификатор:
[случайные символы]

Другие электронные письма, которые злоумышленники использовали с этими новыми вариантами, включают helpmanager@iran.ir и helpmanager@firemail.cc.

Техническая информация

Отказ от ответственности за сайт