Восставший вирус-вымогатель

В современную цифровую эпоху защита устройств от угроз вредоносного ПО имеет решающее значение. Вредоносные программы, такие как программы-вымогатели, могут иметь разрушительные последствия как для отдельных лиц, так и для организаций, приводя к значительной потере данных, финансовому ущербу и сбоям в работе. Одной из новейших угроз в этой области является Risen Ransomware, угрожающее программное обеспечение, которое шифрует файлы пользователей и требует уплаты выкупа за их восстановление. Понимание того, как работает Risen Ransomware и как защититься от таких угроз, имеет важное значение для поддержания кибербезопасности.

Обзор программы-вымогателя Risen

Программа-вымогатель Risen была обнаружена исследователями кибербезопасности, которые определили ее уникальные характеристики и методы работы. При заражении системы Risen шифрует файлы и переименовывает их, добавляя к расширениям адрес электронной почты и идентификатор пользователя. Например, «1.png» переименовывается в «1.png.Default@firemail.de].E86EQNTPTT», а «2.pdf» становится «2.pdf.Default@firemail.de].E86EQNTPTT».

Записки о выкупе и угрозы

Программа-вымогатель Risen создает две записки с требованием выкупа: «$Risen_Note.txt» и «$Risen_Guide.hta». Кроме того, он меняет обои рабочего стола и отображает сообщение на экране перед входом в систему, гарантируя, что жертва знает о взломе. В записках о выкупе утверждается, что злоумышленники проникли во всю сеть жертвы из-за недостатков безопасности и зашифровали все файлы с использованием надежного алгоритма. Они также утверждают, что важные данные, такие как документы, изображения, инженерные данные, бухгалтерская информация и данные клиентов, были украдены.

Тактика вымогательства

В записках о выкупе содержится угроза, что, если жертвы не будут сотрудничать в неуказанный срок, злоумышленники утекут или продадут собранные данные. В примечаниях говорится, что резервные копии также зашифрованы и недоступны, а это означает, что единственный способ восстановить файлы — использовать специальный инструмент расшифровки, предоставленный злоумышленниками. Жертвам разрешено отправить до трех тестовых файлов для бесплатной расшифровки, и они должны использовать предоставленные адреса электронной почты default1@tutamail.com и default@firemail.de, чтобы связаться с злоумышленниками, включая идентификатор своего компьютера в строке темы. Если ответа не будет в течение 72 часов, жертвам предлагается связаться с злоумышленниками через предоставленный блог TOR.

Риски выплаты выкупа

Несмотря на обещания злоумышленников, платить выкуп крайне не рекомендуется. Существует значительный риск быть обманутым, поскольку злоумышленники могут не предоставить инструмент расшифровки даже после оплаты. Более того, программы-вымогатели могут продолжать шифровать файлы и распространяться по сети, пока она остается активной, нанося дополнительный ущерб.

Меры безопасности для предотвращения заражения программами-вымогателями

Защита от программ-вымогателей, таких как Risen, требует многогранного подхода. Вот некоторые важные меры безопасности, которые пользователи должны реализовать:

• Регулярное резервное копирование . Регулярно создавайте резервную копию важных данных и обеспечивайте их хранение в автономном режиме или в безопасном облачном решении. Это обеспечивает восстановление данных в случае атаки.
• Обновленное программное обеспечение : сохраните все программное обеспечение, включая приложения и операционные системы, с последними обновлениями безопасности, чтобы закрыть уязвимости, которыми могут воспользоваться программы-вымогатели.
• Надежная защита от вредоносных программ . Используйте надежные решения для защиты от вредоносных программ, чтобы выявить и заблокировать программы-вымогатели до того, как они смогут причинить вред. Убедитесь, что эти инструменты регулярно обновляются.
• Фильтрация электронной почты и веб-сайтов . Внедрите решения для фильтрации электронной почты и веб-страниц, чтобы блокировать мошеннические электронные письма и веб-сайты, которые могут доставлять полезные данные программ-вымогателей.
• Обучение пользователей : информируйте пользователей об опасностях программ-вымогателей и правилах безопасной работы в Интернете. Подчеркните, что важно не открывать подозрительные вложения электронной почты и не нажимать на неизвестные ссылки.
• Сегментация сети . Сегментируйте свою сеть, чтобы регулировать распространение программ-вымогателей. Это может помочь сдержать инфекцию и предотвратить ее воздействие на всю сеть.
• Контроль доступа . Внедрите строгий контроль доступа, чтобы ограничить права пользователей и заблокировать несанкционированный доступ к конфиденциальным данным и системам.

Risen Ransomware представляет собой серьезную угрозу в мире киберугроз. Понимание его работы и важности превентивных мер безопасности может помочь снизить риск заражения. Внедряя надежные методы кибербезопасности, пользователи могут защитить свои данные и сети от разрушительного воздействия программ-вымогателей.

Текст в записке с требованием выкупа, оставленной жертвам Risen Ransomware:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Текстовый файл, созданный Risen Ransomware, содержит следующее сообщение от злоумышленников:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'