FORCE Ransomware
Med pregledovanjem možnih groženj zlonamerne programske opreme so raziskovalci odkrili izsiljevalsko programsko opremo FORCE. Ko se infiltrira v napravo, FORCE sproži šifriranje v različnih vrstah datotek, ki zajemajo slike, dokumente, preglednice in drugo. Cilj napadalcev je imeti šifrirane podatke za talce in prizadete žrtve prisiliti, da plačajo za njihovo dešifriranje. Za identifikacijo žrtev in vzpostavitev komunikacije izsiljevalska programska oprema doda enolične identifikatorje, e-poštne naslove kibernetskih kriminalcev in pripono ».FORCE« v imena datotek šifriranih datotek. Na primer, datoteka s prvotnim imenom '1.png' bi bila pretvorjena v '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Po končanem procesu šifriranja sistem prikaže identična obvestila o odkupnini v dveh oblikah: pojavno okno ('info.hta') in besedilna datoteka ('info.txt'). Ta sporočila se prikažejo na namizju in v vseh imenikih, ki vsebujejo šifrirane datoteke. Nadaljnja analiza je pokazala, da FORCE pripada družini Phobos Ransomware .
Kazalo
Izsiljevalska programska oprema FORCE žrtve izsiljuje za denar
Opombe o odkupnini, ki jih je izdala FORCE, poudarjajo, da so bile datoteke žrtve šifrirane in da so bili občutljivi podatki ogroženi. Za domnevno ponovno pridobitev dostopa do svojih datotek žrtev dobi navodilo, naj plača odkupnino z uporabo samo kriptovalute Bitcoin. Neupoštevanje naštetih zahtev ima za posledico prodajo ukradenih informacij. Pred kakršnim koli plačilom ima žrtev možnost, da brezplačno preizkusi postopek dešifriranja, čeprav z določenimi omejitvami.
Sporočila svarijo pred spreminjanjem šifriranih datotek ali uporabo orodij za obnovitev tretjih oseb, saj lahko takšna dejanja povzročijo, da podatkov ni mogoče obnoviti. Poleg tega je žrtev opozorjena, da bi iskanje pomoči tretjih oseb lahko povečalo njene finančne izgube.
Izsiljevalska programska oprema FORCE sprejema ukrepe za preprečevanje preproste obnovitve zaklenjenih podatkov
Ta grozeči program, del družine Phobos Ransomware, je znan po svojem metodičnem pristopu k šifriranju. Za razliko od nekaterih različic izsiljevalske programske opreme, zaradi katerih okuženi stroji postanejo popolnoma neuporabni, zlonamerna programska oprema Phobos selektivno cilja na datoteke za šifriranje in se izogiba kritičnim sistemskim datotekam, da zagotovi, da sistem ostane funkcionalen. Šifrira tako lokalno shranjene datoteke kot tiste, ki so v skupni rabi prek omrežij, in prekine procese, povezane z odprtimi datotekami, da prepreči izjeme na podlagi datotek, ki so 'v uporabi', kot so programi za zbirke podatkov ali bralniki besedilnih datotek.
Da prepreči dvojno šifriranje, Phobos Ransomware vzdržuje seznam izključitev priljubljenih izsiljevalskih programov. Datoteke, ki so že zaklenjene s programsko opremo na tem seznamu, ostanejo nespremenjene. Poleg tega Phobos izbriše kopije senčnih nosilcev, ki je običajna možnost obnovitve, da še naprej prepreči poskuse obnovitve podatkov.
Da bi zagotovili obstojnost na napravah, ki so bile poškodovane, se zlonamerna programska oprema kopira na pot %LOCALAPPDATA% in se registrira z določenimi ključi Run, kar zagotavlja, da se samodejno zažene ob vsakem vnovičnem zagonu sistema. Zanimivo je, da se izsiljevalska programska oprema Phobos morda vzdrži napadov naprav na podlagi njihove geolokacije, zlasti tistih v gospodarsko šibkih regijah ali geopolitično povezanih državah.
Dešifriranje podatkov, zaklenjenih z izsiljevalsko programsko opremo, brez posredovanja kibernetskih kriminalcev je običajno nemogoče. Tudi če žrtve ugodijo zahtevam po odkupnini, ni nobenega zagotovila, da bodo prejele obljubljene ključe za dešifriranje ali programsko opremo. Zato plačilo odkupnine ne zagotavlja samo obnovitve podatkov, ampak tudi ohranja nezakonite dejavnosti.
Medtem ko odstranitev izsiljevalske programske opreme iz operacijskega sistema prepreči nadaljnje šifriranje, ne obnovi ogroženih datotek. Edina zanesljiva rešitev je obnovitev datotek iz varnostne kopije, če je na voljo.
Ne tvegajte z varnostjo svojih naprav in podatkov
Uporabniki lahko izboljšajo obrambo svojih podatkov in naprav pred grožnjami izsiljevalske programske opreme z uvedbo večplastnega pristopa k kibernetski varnosti. Tukaj je nekaj učinkovitih strategij:
- Posodabljajte programsko opremo : redno posodabljajte operacijske sisteme, programske aplikacije in protivirusne programe, da popravite varnostne ranljivosti in zaščitite pred znanimi zlorabami. Omogočite samodejne posodobitve, kadar koli je to mogoče.
- Namestite zanesljivo varnostno programsko opremo : uporabite priznano programsko opremo proti zlonamerni programski opremi za odkrivanje in odstranjevanje izsiljevalske programske opreme in drugih škodljivih groženj. Zagotovite, da se protivirusna programska oprema pogosto posodablja, da prepozna najnovejše grožnje.
- Bodite pozorni na e-poštne priloge in povezave : bodite previdni pri sumljivih e-poštnih sporočilih, zlasti tistih od neznanih pošiljateljev ali tistih, ki vsebujejo nepričakovane priloge ali povezave. Poskusite ne dostopati do povezav ali prenašati prilog iz nezaželenih e-poštnih sporočil, saj lahko vsebujejo izsiljevalsko ali drugo zlonamerno programsko opremo.
- Redno varnostno kopirajte podatke : Nastavite zanesljivo strategijo varnostnega kopiranja z rednim varnostnim kopiranjem pomembnih podatkov na zunanji trdi disk, storitev za shranjevanje v oblaku ali napravo za omrežno shranjevanje (NAS). Prepričajte se, da so varnostne kopije varno shranjene in da niso neposredno dostopne iz primarnega sistema, da preprečite njihovo šifriranje z izsiljevalsko programsko opremo.
- Uporabite močna, edinstvena gesla : ustvarite močna, zapletena gesla za vse račune in ne uporabljajte istega gesla v več računih. Razmislite o možnosti uporabe uglednega upravitelja gesel za ustvarjanje in varno shranjevanje gesel.
- Omogoči dvostopenjsko avtentikacijo (2FA) : omogočite dvofaktorsko avtentikacijo, da povečate varnost svojih računov. 2FA zahteva, da uporabniki vključijo drugo obliko preverjanja, kot je geslo ali koda, poslana na njihovo mobilno napravo.
S sprejetjem teh proaktivnih ukrepov lahko uporabniki zmanjšajo možnosti, da bi postali žrtve napadov z izsiljevalsko programsko opremo, in znatno bolje zaščitijo svoje podatke in naprave.
Opomba o odkupnini, ki jo je spustila FORCE Ransomware, je:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
