APT14CHIR Ransomware
Истраживачи сајбер безбедности класификују АПТ14ЦХИР као претњу за рансомваре. Његова примарна функција је шифровање датотека, што их чини недоступним њиховим власницима. Поред тога, АПТ14ЦХИР такође мења имена датотека које шифрује замењујући њихова оригинална имена фајлова низом насумичних знакова и додајући екстензију '.АПТ14ЦХИР'.
На пример, АПТ14ЦХИР Рансомваре може да промени име датотеке као што је „1.пнг“ у „46бХрвЛР0ЦмРГарИ.АПТ14ЦХИР“, док „2.доц“ може да се преименује у „коМЦВВги0Вм27мцу.АПТ14ЦХИР“. Штавише, АПТ14ЦХИР креира поруку о откупнини у облику текстуалне датотеке под називом 'ПЛЕАСЕ РЕАД.ткт' да обавести жртве да су њихове датотеке шифроване и да пружи упутства о томе како да плате откуп за добијање кључа за дешифровање.
АПТ14ЦХИР Рансомваре оставља жртвама листу захтева
У поруци о откупнини коју су оставили нападачи јасно се наводи да су кључни фајлови жртве потпуно шифровани комбинацијом АЕС и РСА алгоритама за шифровање, што их чини недоступним правом власнику. У белешци се такође упозоравају жртве да не покушавају да обнове датотеке користећи софтвер треће стране, јер би то могло довести до трајног губитка података или даље модификације шифрованих датотека.
Штавише, у белешци се даље тврди да су нападачи једини који имају способност да реше проблем и да нема доступних алата за дешифровање на мрежи који би помогли у процесу. Ово доводи жртве у тешку позицију, где морају да се ослоне на спремност нападача да дају кључ за дешифровање у замену за плаћање откупнине.
У белешци се такође истиче да су нападачи отпремили све високо поверљиве и личне податке жртве, као и копију њихових главних сервера на приватну локацију за складиштење. Нападачи прете да ће уништити ове податке тек након што добију тражени износ откупнине. Међутим, ако жртва одлучи да не плати откупнину, сајбер криминалци прете да ће податке објавити, што би могло бити погубно за репутацију жртве.
Нападачи тврде да само желе новац и да немају намеру да нашкоде угледу или пословању жртве. Да би добила више информација о неопходним радњама за дешифровање датотека, жртви се упућује да контактира починиоце путем е-маил адреса 'мартин_цатцх_итхелп@тутанота.цом' и 'мартин_цатцх_итхелп@протон.ме' или путем кТок мессенгер-а.
Како корисници могу да ублаже штету од напада претњама као што је АПТ14ЦХИР Рансомваре?
Напади рансомвера постају све чешћи, а њихов утицај може бити разоран. Међутим, постоји неколико мера које корисници могу предузети како би ублажили штету узроковану овим нападима.
Прво, осигурајте да се праве резервне копије основних података и да се чувају на безбедној локацији која није повезана са Интернетом. Ово ће помоћи да се осигура да ако су подаци шифровани, могу се лако вратити из резервне копије и да жртва не мора да плати откуп.
Друго, корисници треба да буду опрезни када отварају мејлове или кликћу на линкове из непознатих или сумњивих извора. Рансомвер се често дистрибуира путем е-поште за крађу идентитета, а клик на небезбедну везу или отварање компромитованог прилога може довести до тога да рансомвер зарази ваш рачунар.
Од кључног је значаја да се софтвер и оперативни системи ажурирају, јер рансомваре често искоришћава рањивости у старијим верзијама софтвера. Редовно ажурирање софтвера и примена безбедносних закрпа ће помоћи да се овај ризик ублажи.
Корисници такође треба да размотре коришћење софтвера против малвера и заштитних зидова, који могу помоћи у откривању и спречавању напада рансомвера. Ове алатке могу да идентификују и блокирају сумњиве активности, спречавајући малвер да приступи вашем рачунару.
Коначно, у случају напада рансомваре-а, корисници треба да избегавају плаћање откупнине. Ово само охрабрује сајбер криминалце и обезбеђује им ресурсе да наставе са својим незаконитим активностима. Уместо тога, корисници би требало да потраже помоћ стручњака за сајбер безбедност који би могли да помогну у опоравку шифрованих података или уклањању малвера из зараженог система.
Пун текст АПТ14ЦХИР-ове поруке о откупнини је:
'ЗДРАВО, У ВАШУ КОМПАНИЧНУ МРЕЖУ ЈЕ ПРОДРЕН
Све ваше важне датотеке су шифроване!Ваше датотеке НЕ ОШТЕЋУЈУ! Само потпуно измењено. (РСА+АЕС)
Они су шифровани снажним јединственим алгоритмом за шифровање АЕС.СВАКИ ПОКУШАЈ ВРАТАЊА ВАШИХ ДАТОТЕКА СОФТВЕРОМ ТРЕЋЕ СТРАНИ
ТРАЈНО ЋЕ ГА ПОкварити.
НЕМОЈТЕ МОДИФИКОВАТИ ШИФРОВАНЕ ДАТОТЕКЕ.
НЕ ПРЕИМЕВАЈТЕ ШИФИРАНЕ ДАТОТЕКЕ.Ниједан софтвер доступан на интернету не може вам помоћи. Ми смо једини у могућности
решите свој проблем.Отпремили смо све високо поверљиве/личне податке и копирали главне сервере.
Ови подаци се тренутно чувају у приватном складишту.
Овај сервер ће бити одмах уништен након уплате.
Ако одлучите да не платите, ми ћемо објавити ваше податке јавности или препродавачу, конкурентима, представницима локалне самоуправе, правосуђу, посредницима уцењивања и напада
Дакле, можете очекивати да ће ваши подаци бити јавно доступни у блиској будућности.Ми тражимо само новац и наш циљ није да нарушимо вашу репутацију или спречимо
ваш посао од уништења.За више информација и кључеве за дешифровање, контактирајте нас:
Мартин_Цатцх_ИТХЕЛП@тутанота.цом
Мартин_Цатцх_ИТХЕЛП@протон.меДобићете све информације о неопходним радњама за потпуно дешифровање ваших датотека.
Можете нас контактирати и преко кТок мессенгер-а, биће много брже, подршка је доступна 24/7.
Можете преузети са линка или сами пронаћи апликацију:Контактирајте кТок 24/7:
5ЕФ883ДЦ37Ф4Ц2Ф5Ц3591Е88А2473971Ц28БА76093Ц91055АА8Б8А1Д700ЦДФ523Б1Ф961ЕАА7ЦВаш лични ИД:
АПТ14ЦХИР'
