ФОРЦЕ Рансомваре
Током испитивања потенцијалних претњи од малвера, истраживачи су открили ФОРЦЕ Рансомваре. Једном када се инфилтрира у уређај, ФОРЦЕ покреће шифровање на различитим типовима датотека, обухватајући слике, документе, табеле и још много тога. Циљ нападача је да задрже шифроване податке као таоце и приморају погођене жртве да плате за њихово дешифровање. Да би идентификовао жртве и успоставио комуникацију, рансомваре додаје јединствене идентификаторе, адресе е-поште сајбер криминалаца и екстензију „.ФОРЦЕ“ именима датотека шифрованих датотека. На пример, датотека првобитно названа '1.пнг' би била трансформисана у '1.пнг.ид[9ЕЦФА74Е-3545].[дата199@маилум.цом].ФОРЦЕ.'
По завршетку процеса шифровања, систем приказује идентичне белешке о откупу у два формата: искачући прозор ('инфо.хта') и текстуалну датотеку ('инфо.ткт'). Ове поруке се појављују на радној површини иу свим директоријумима који садрже шифроване датотеке. Даља анализа је открила да ФОРЦЕ припада породици Пхобос Рансомваре .
Преглед садржаја
ФОРЦЕ Рансомваре изнуђује жртве за новац
Биљешке о откупнини које је издао ФОРЦЕ наглашавају да су досијеи жртве шифрирани и да су осјетљиви подаци компромитовани. Да би наводно повратила приступ својим датотекама, жртви се налаже да плати откупнину користећи само криптовалуту Битцоин. Непоштовање наведених захтева резултираће продајом украдених података. Пре него што изврши било каква плаћања, жртви се даје могућност да бесплатно тестира процес дешифровања, али уз одређена ограничења.
Поруке упозоравају да се не мењају шифроване датотеке или користе алати за опоравак трећих страна, јер такве радње могу учинити податке неповратним. Поред тога, жртва је упозорена да би тражење помоћи од трећих лица могло да ескалира њихове финансијске губитке.
ФОРЦЕ Рансомваре предузима мере да спречи лак опоравак закључаних података
Овај претећи програм, део породице Пхобос Рансомваре, познат је по свом методичном приступу шифровању. За разлику од неких варијанти рансомваре-а које заражене машине чине потпуно нефункционалним, Пхобос малвер селективно циља датотеке за шифровање, избегавајући критичне системске датотеке како би осигурао да систем остане функционалан. Он шифрује и локално ускладиштене датотеке и оне које се деле преко мрежа и прекида процесе повезане са отвореним датотекама како би спречио изузеће засновано на датотекама које су „у употреби“, као што су програми база података или читачи текстуалних датотека.
Да би спречио двоструко шифровање, Пхобос Рансомваре одржава листу искључења популарних рансомваре програма. Датотеке које је софтвер већ закључао на овој листи остају непромењене. Поред тога, Пхобос брише Схадов Волуме Цопиес, уобичајену опцију опоравка, да би додатно спречио покушаје враћања података.
Да би обезбедио постојаност на оштећеним уређајима, малвер се копира на путању %ЛОЦАЛАППДАТА% и региструје се са одређеним Рун кључевима, обезбеђујући да се аутоматски покреће при сваком поновном покретању система. Занимљиво је да би се Пхобос рансомваре могао уздржати од напада на уређаје на основу њихове геолокације, посебно оне у економски слабим регионима или геополитички усклађеним земљама.
Дешифровање података закључаних помоћу рансомваре-а без интервенције сајбер криминалаца је обично немогуће. Чак и ако се жртве повинују захтевима за откупнину, нема гаранције да ће добити обећане кључеве или софтвер за дешифровање. Стога, плаћање откупнине не само да не гарантује опоравак података, већ и продужава незаконите активности.
Иако уклањање рансомваре-а из оперативног система спречава даље шифровање, не враћа компромитоване датотеке. Једино поуздано решење је опоравак датотека из резервне копије ако је доступна.
Не ризикујте са безбедношћу својих уређаја и података
Корисници могу да побољшају одбрану својих података и уређаја од претњи рансомвера применом вишеслојног приступа сајбер безбедности. Ево неколико ефикасних стратегија:
- Одржавајте софтвер ажуриран : Редовно ажурирајте оперативне системе, софтверске апликације и антивирусне програме да бисте закрпили безбедносне пропусте и заштитили се од познатих експлоатација. Омогућите аутоматска ажурирања кад год је то могуће.
- Инсталирајте поуздан сигурносни софтвер : Користите реномирани софтвер за заштиту од малвера да бисте открили и уклонили рансомваре и друге штетне претње. Уверите се да се антивирусни софтвер често ажурира да би препознао најновије претње.
- Будите опрезни са прилозима и везама е-поште : Пазите на сумњиве поруке е-поште, посебно оне од непознатих пошиљалаца или које садрже неочекиване прилоге или везе. Покушајте да не приступате везама или преузимате прилоге из нежељених е-порука, јер они могу садржати рансомваре или други малвер.
- Редовно прављење резервних копија података : Подесите робусну стратегију прављења резервних копија редовним прављењем резервних копија важних података на спољни чврсти диск, услугу складиштења у облаку или уређај за складиштење података повезан са мрежом (НАС). Уверите се да су резервне копије безбедно ускладиштене и да нису директно доступне из примарног система како бисте спречили да их шифрује рансомваре.
- Користите јаке, јединствене лозинке : Креирајте јаке, сложене лозинке за све налоге и немојте користити исту лозинку на више налога. Размотрите могућност коришћења угледног менаџера лозинки за безбедно генерисање и чување лозинки.
- Омогући аутентификацију са два фактора (2ФА) : Омогућите аутентификацију са два фактора да бисте максимално повећали безбедност својих налога. 2ФА захтева од корисника да укључе други облик верификације, као што је њихова лозинка или код послат на њихов мобилни уређај.
Усвајањем ових проактивних мера, корисници могу да смање могућности да постану жртве напада рансомвера и значајно боље заштите своје податке и уређаје.
Порука о откупнини коју је избацио ФОРЦЕ Рансомваре је:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
