APT14CHIR Ransomware
Raziskovalci kibernetske varnosti uvrščajo APT14CHIR med grožnje z izsiljevalsko programsko opremo. Njegova primarna funkcija je šifriranje datotek, zaradi česar so nedostopne njihovim lastnikom. Poleg tega APT14CHIR spremeni tudi imena datotek, ki jih šifrira, tako da zamenja njihova izvirna imena datotek z zaporedjem naključnih znakov in doda pripono '.APT14CHIR'.
Na primer, izsiljevalska programska oprema APT14CHIR lahko spremeni ime datoteke, kot je »1.png«, v »46bHrwLR0CmRGarY.APT14CHIR«, medtem ko se lahko »2.doc« preimenuje v »qoMCVWgi0Vm27mcu.APT14CHIR«. Poleg tega APT14CHIR ustvari sporočilo o odkupnini v obliki besedilne datoteke z imenom 'PLEASE READ.txt', da obvesti žrtve, da so bile njihove datoteke šifrirane, in da zagotovi navodila, kako plačati odkupnino za pridobitev ključa za dešifriranje.
Izsiljevalska programska oprema APT14CHIR pušča žrtvam seznam zahtev
Na obvestilu o odkupnini, ki so ga pustili napadalci, je jasno navedeno, da so ključne datoteke žrtve popolnoma šifrirane s kombinacijo šifrirnih algoritmov AES in RSA, zaradi česar so nedostopne zakonitemu lastniku. Opomba tudi opozarja žrtve, naj ne poskušajo obnoviti datotek s programsko opremo tretjih oseb, saj lahko to privede do trajne izgube podatkov ali nadaljnjega spreminjanja šifriranih datotek.
Poleg tega opomba nadaljuje s trditvijo, da so napadalci edini, ki lahko rešijo težavo, na spletu pa ni na voljo orodij za dešifriranje, ki bi pomagala pri procesu. Zaradi tega so žrtve v težkem položaju, ko se morajo zanesti na pripravljenost napadalcev, da zagotovijo ključ za dešifriranje v zameno za plačilo odkupnine.
Opomba tudi poudarja, da so napadalci naložili vse zelo zaupne in osebne podatke žrtve ter kopijo njihovih glavnih strežnikov na zasebno lokacijo za shranjevanje. Napadalci grozijo, da bodo te podatke uničili šele, ko bodo prejeli zahtevano odkupnino. Če pa se žrtev odloči, da ne bo plačala odkupnine, kibernetski kriminalci grozijo, da bodo podatke objavili, kar bi lahko bilo pogubno za ugled žrtve.
Napadalci trdijo, da želijo samo denar in ne nameravajo škodovati ugledu ali poslu žrtve. Za pridobitev več informacij o potrebnih ukrepih za dešifriranje datotek je žrtev napotena, da stopi v stik s storilci prek e-poštnih naslovov 'martin_catch_ithelp@tutanota.com' in 'martin_catch_ithelp@proton.me' ali prek messengerja qTox.
Kako lahko uporabniki ublažijo škodo zaradi napadov groženj, kot je izsiljevalska programska oprema APT14CHIR?
Napadi z izsiljevalsko programsko opremo so vse pogostejši, njihov vpliv pa je lahko uničujoč. Vendar pa obstaja več ukrepov, s katerimi lahko uporabniki ublažijo škodo, ki jo povzročijo ti napadi.
Najprej poskrbite za redne varnostne kopije bistvenih podatkov, ki so shranjeni na varnem mestu, ki ni povezano z internetom. To bo pomagalo zagotoviti, da je podatke, če so šifrirani, mogoče enostavno obnoviti iz varnostne kopije in žrtvi ne bo treba plačati odkupnine.
Drugič, uporabniki morajo biti previdni pri odpiranju e-poštnih sporočil ali klikanju povezav iz neznanih ali sumljivih virov. Izsiljevalska programska oprema se pogosto širi prek lažnih e-poštnih sporočil in klik na nevarno povezavo ali odpiranje ogrožene priloge lahko povzroči, da izsiljevalska programska oprema okuži vaš računalnik.
Ključnega pomena je, da so programska oprema in operacijski sistemi posodobljeni, saj izsiljevalska programska oprema pogosto izkorišča ranljivosti v starejših različicah programske opreme. Redno posodabljanje programske opreme in izvajanje varnostnih popravkov bo pomagalo zmanjšati to tveganje.
Uporabniki bi morali tudi močno razmisliti o uporabi programske opreme za zaščito pred zlonamerno programsko opremo in požarnih zidov, ki lahko pomagajo odkriti in preprečiti napade izsiljevalske programske opreme. Ta orodja lahko prepoznajo in blokirajo sumljivo dejavnost ter zlonamerni programski opremi preprečijo dostop do vašega računalnika.
Nazadnje, v primeru napada z izsiljevalsko programsko opremo se morajo uporabniki izogniti plačilu odkupnine. To samo spodbuja kibernetske kriminalce in jim zagotavlja sredstva za nadaljevanje nezakonitih dejavnosti. Namesto tega bi morali uporabniki poiskati pomoč strokovnjakov za kibernetsko varnost, ki bi morda lahko pomagali obnoviti šifrirane podatke ali odstraniti zlonamerno programsko opremo iz okuženega sistema.
Celotno besedilo obvestila o odkupnini APT14CHIR je:
'POZDRAVLJENI, V OMREŽJE VAŠEGA PODJETJA JE VDOR
Vse vaše pomembne datoteke so šifrirane!Vaše datoteke NISO POŠKODOVANE! Samo v celoti spremenjeno. (RSA+AES)
Šifrirani so z močnim edinstvenim algoritmom šifriranja aes.POSKUS OBNOVITEV VAŠIH DATOTEK S PROGRAMSKO OPREMO TRETJIH OSEB
GA BO TRAJNO POKVARIL.
NE SPREMINJAJTE ŠIFRIRANIH DATOTEK.
NE PREIMENOVAJTE ŠIFRIRANIH DATOTEK.Nobena programska oprema, ki je na voljo na internetu, vam ne more pomagati. Samo mi smo sposobni
rešiti svoj problem.Naložili smo vse zelo zaupne/osebne podatke in kopirali glavne strežnike.
Ti podatki so trenutno shranjeni v zasebni shrambi.
Ta strežnik bo takoj uničen po vašem plačilu.
Če se odločite, da ne boste plačali, bomo vaše podatke posredovali javnosti ali preprodajalcu, konkurentom, predstavnikom lokalnih oblasti, sodstvu, posredniku za izsiljevanje in napade.
Tako lahko pričakujete, da bodo vaši podatki javno dostopni v bližnji prihodnosti.Iščemo samo denar in naš cilj ni škoditi vašemu ugledu ali preprečiti
vaše podjetje pred uničenjem.Za več informacij in ključe za dešifriranje nas kontaktirajte:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.meDobili boste vse informacije o potrebnih ukrepih za popolno dešifriranje datotek.
Kontaktirate nas lahko tudi s pomočjo qTox messengerja, tako bo veliko hitreje, podpora je na voljo 24/7.
Aplikacijo lahko prenesete s povezave ali pa jo poiščete sami:Kontaktirajte qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7CVaš osebni ID:
APT14CHIR'
