SWIFT-вымогатели

Исследователи обнаружили новую угрозу-вымогателя под названием SWIFT Ransomware, которая представляет значительный риск для безопасности данных жертв. Это угрожающее программное обеспечение использует надежный алгоритм шифрования, делая широкий спектр файлов полностью недоступными. Примечательно, что программа-вымогатель SWIFT выходит за рамки простого шифрования: она активно изменяет имена затронутых файлов, меняет обои рабочего стола скомпрометированной системы и генерирует записку с требованием выкупа под названием «#SWIFT-Help.txt».

Процесс переименования файла включает добавление адреса электронной почты «swift_1@tutamail.com» и файла. Расширение SWIFT к исходным именам файлов. Например, файл с первоначальным названием «1.png» будет преобразован в «1.png.[swift_1@tutamail.com].SWIFT», и аналогичным образом файл «2.pdf» станет «2.pdf.[swift_1@». tutamail.com].SWIFT» и так далее. Эта стратегия служит для идентификации файлов, ставших жертвами атаки программы-вымогателя.

Дальнейшее расследование исследователей подтвердило, что программа-вымогатель SWIFT представляет собой вариант, связанный с семейством вредоносных программ Proton .

Программа-вымогатель SWIFT вымогает у своих жертв деньги

Записка о выкупе, созданная программой-вымогателем SWIFT, начинается с описания ужасной ситуации и пояснения того, что злоумышленники использовали передовые алгоритмы шифрования, в частности AES и ECC, для шифрования и кражи всех файлов жертвы. Подчеркивается, что использование этих алгоритмов делает восстановление файлов без службы расшифровки, предлагаемой злоумышленниками, практически невозможным.

После этого в записке излагаются шаги, необходимые для восстановления, подчеркивая финансовые мотивы злоумышленников. Киберпреступники предлагают транзакцию, в рамках которой жертва может получить программное обеспечение для дешифрования и обеспечить уничтожение данных, внеся платеж. Чтобы завоевать доверие, группа предлагает отправить на расшифровку небольшой неважный файл (менее 1 МБ) в качестве демонстрации своей способности выполнить свои обещания.

Предоставляются контактные данные для связи, включая адрес электронной почты (swift_1@tutamail.com) и идентификатор Telegram (@swift_support). Альтернативный адрес электронной почты (swift@onionmail.com) предлагается в случае отсутствия ответа в течение 24 часов. Жертве предлагается указать свой идентификатор в теме электронного письма для целей идентификации.

Записка завершается строгим предостережением против обращения за помощью к компаниям по восстановлению данных, предупреждая, что такие организации могут использовать ситуацию для получения финансовой выгоды. Кроме того, жертве настоятельно не рекомендуется откладывать оплату и предостерегать от удаления или изменения зашифрованных файлов, чтобы избежать возможных осложнений в процессе расшифровки.

Подчеркивается, что платить выкуп категорически не рекомендуется, поскольку это не только закрепляет преступное поведение, но и не гарантирует успешного восстановления данных. Жертвам настоятельно рекомендуется изучить альтернативные методы борьбы с атаками программ-вымогателей, которые не предполагают уступки требованиям злоумышленников.

Как защитить ваши данные и устройства от угроз со стороны программ-вымогателей?

Чтобы защитить свои данные и устройства от угроз со стороны программ-вымогателей, пользователям следует применять комплексный подход к кибербезопасности. Вот пять основных мер безопасности, которые должны быть реализованы на всех устройствах:

Регулярное резервное копирование : убедитесь, что выполняется регулярное резервное копирование важных данных. Резервные копии следует хранить в изолированной среде, например на внешнем жестком диске или в безопасном облачном сервисе.

По возможности автоматизируйте процесс резервного копирования, чтобы снизить вероятность того, что вы забудете создать резервную копию важной информации.

Обновленное программное обеспечение и исправления безопасности :

1. Постоянно обновляйте программное обеспечение операционных систем с помощью последних обновлений безопасности.
2. Регулярно устанавливайте обновления для устранения уязвимостей, которыми могут воспользоваться киберпреступники.
3. Включите автоматические обновления, чтобы обеспечить своевременное применение исправлений безопасности.

Используйте надежные решения для защиты от вредоносного ПО :

1. Установите надежное антивирусное программное обеспечение на все устройства.
2. Убедитесь, что программное обеспечение безопасности регулярно обновляется для обнаружения и защиты от развивающихся угроз программ-вымогателей.
3. Выполняйте регулярное сканирование для выявления и устранения потенциальных вредоносных программ на устройстве.

Будьте осторожны при использовании электронной почты и Интернета . Остерегайтесь фишинговых писем и неизвестных вложений. Не переходите по сомнительным ссылкам и не скачивайте файлы из непроверенных источников.

Используйте инструменты фильтрации электронной почты, чтобы обнаруживать и фильтровать потенциально опасные электронные письма. Информируйте себя и свою команду о признаках попыток фишинга.

Внедрить обучение и осведомленность пользователей : Информируйте пользователей о рисках, связанных с программами-вымогателями, и о важности гигиены кибербезопасности. Поощряйте использование надежных паролей, включая использование уникальных паролей и двухфакторной аутентификации (2FA), где это возможно.

Поощряйте культуру скептицизма, когда пользователи проверяют законность запросов на конфиденциальную информацию или неожиданную загрузку файлов.

Включив эти меры безопасности в свою повседневную практику, пользователи могут значительно повысить свою защиту от угроз программ-вымогателей. Многоуровневый подход, сочетающий в себе регулярное резервное копирование, обновления программного обеспечения, надежные решения безопасности, осторожное поведение в Интернете и обучение пользователей, может в совокупности создать надежную защиту от меняющегося ландшафта киберугроз.

Записка с требованием выкупа, отправленная программой-вымогателем SWIFT, гласит:

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

Сообщение, доставленное SWIFT Ransomware в качестве фонового изображения рабочего стола:

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'