APT14CHIR Ransomware

Дослідники з кібербезпеки класифікують APT14CHIR як програму-вимагач. Його основною функцією є шифрування файлів, що робить їх недоступними для їхніх власників. Крім того, APT14CHIR також змінює назви файлів, які він шифрує, замінюючи їхні оригінальні назви файлів послідовністю випадкових символів і додаючи розширення «.APT14CHIR».

Наприклад, програма-вимагач APT14CHIR може змінити назву файлу, як-от «1.png» на «46bHrwLR0CmRGarY.APT14CHIR», тоді як «2.doc» можна перейменувати на «qoMCVWgi0Vm27mcu.APT14CHIR». Крім того, APT14CHIR створює повідомлення про викуп у формі текстового файлу з назвою «PLEASE READ.txt», щоб повідомити жертвам, що їхні файли зашифровано, і надати інструкції щодо того, як заплатити викуп за отримання ключа розшифровки.

Програма-вимагач APT14CHIR залишає жертвам список вимог

У записці про викуп, залишеній зловмисниками, чітко зазначено, що ключові файли жертви були повністю зашифровані за допомогою комбінації алгоритмів шифрування AES і RSA, що робить їх недоступними для законного власника. У примітці також попереджають жертв не намагатися відновити файли за допомогою стороннього програмного забезпечення, оскільки це може призвести до остаточної втрати даних або подальшої модифікації зашифрованих файлів.

Крім того, у примітці стверджується, що зловмисники єдині, хто може вирішити проблему, і в Інтернеті немає інструментів дешифрування, які б допомогли в цьому процесі. Це ставить жертв у скрутне становище, коли вони змушені покладатися на готовність зловмисників надати ключ розшифровки в обмін на викуп.

У примітці також підкреслюється, що зловмисники завантажили всі конфіденційні та особисті дані жертви, а також копію їхніх основних серверів у приватне місце зберігання. Зловмисники погрожують знищити ці дані лише після отримання необхідної суми викупу. Однак, якщо жертва вирішить не платити викуп, кіберзлочинці погрожують оприлюднити дані, що може мати катастрофічні наслідки для репутації жертви.

Зловмисники стверджують, що хочуть лише грошей і не мають наміру завдати шкоди репутації чи бізнесу жертви. Щоб отримати більше інформації про дії, необхідні для розшифровки файлів, жертві пропонується зв’язатися зі зловмисниками за адресами електронної пошти martin_catch_ithelp@tutanota.com і martin_catch_ithelp@proton.me або через месенджер qTox.

Як користувачі можуть зменшити шкоду від атак таких загроз, як програма-вимагач APT14CHIR?

Атаки програм-вимагачів стають все більш поширеними, і їхній вплив може бути руйнівним. Однак є кілька заходів, які користувачі можуть вжити, щоб зменшити шкоду, завдану цими атаками.

По-перше, переконайтеся, що регулярні резервні копії важливих даних створюються та зберігаються в безпечному місці без підключення до Інтернету. Це допоможе гарантувати, що якщо дані зашифровані, їх можна буде легко відновити з резервної копії, і жертві не потрібно буде платити викуп.

По-друге, користувачі повинні бути обережними, відкриваючи електронні листи або натискаючи посилання з невідомих або підозрілих джерел. Програми-вимагачі часто поширюються через фішингові електронні листи, і натискання небезпечного посилання або відкриття зламаного вкладення може призвести до зараження комп’ютера програмою-вимагачем.

Дуже важливо підтримувати програмне забезпечення та операційні системи в актуальному стані, оскільки програми-вимагачі часто використовують уразливості в старіших версіях програмного забезпечення. Регулярне оновлення програмного забезпечення та впровадження патчів безпеки допоможе зменшити цей ризик.

Користувачам також слід наполегливо розглянути можливість використання програмного забезпечення для захисту від шкідливих програм і брандмауерів, які можуть допомогти виявити та запобігти атакам програм-вимагачів. Ці інструменти можуть ідентифікувати та блокувати підозрілу активність, не даючи зловмисним програмам отримати доступ до вашого комп’ютера.

Нарешті, у разі атаки програм-вимагачів користувачі повинні уникати сплати викупу. Це лише заохочує кіберзлочинців і дає їм ресурси для продовження незаконної діяльності. Замість цього користувачі повинні звернутися за допомогою до експертів з кібербезпеки, які можуть допомогти відновити зашифровані дані або видалити зловмисне програмне забезпечення із зараженої системи.

Повний текст повідомлення APT14CHIR про викуп:

«ПРИВІТАННЯ! У МЕРЕЖУ ВАШОЇ КОМПАНІЇ ПРОНИКНУТО
Усі важливі файли зашифровано!

Ваші файли НЕ ПОШКОДЖУЮТЬСЯ! Тільки повністю модифікований. (RSA+AES)
Вони зашифровані за допомогою сильного унікального алгоритму шифрування AES.

БУДЬ-ЯКА СПРОБА ВІДНОВИТИ ВАШІ ФАЙЛИ ЗА ДОПОМОГОЮ СТОРОННЬОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
ПОСТУЖНО СПІШУЄ ЙОГО.
НЕ ЗМІНЮЙТЕ ЗАШИФРОВАНІ ФАЙЛИ.
НЕ ПЕРЕЙМЕНУЙТЕ ЗАШИФРОВАНІ ФАЙЛИ.

Жодне програмне забезпечення, доступне в Інтернеті, не може вам допомогти. Ми єдині, хто може
вирішити вашу проблему.

Ми завантажили всі дуже конфіденційні/особисті дані та скопіювали основні сервери.
Зараз ці дані зберігаються у приватному сховищі.
Цей сервер буде негайно знищено після вашого платежу.
Якщо ви вирішите не платити, ми оприлюднимо ваші дані публічно або перепродавцям, конкурентам, представникам місцевої влади, судовим органам, посереднику для шантажу та нападу
Таким чином, ви можете очікувати, що ваші дані стануть загальнодоступними найближчим часом.

Ми прагнемо лише грошей, і наша мета не пошкодити вашу репутацію чи запобігти
ваш бізнес від знищення.

Щоб отримати додаткову інформацію та ключі розшифровки, зв’яжіться з нами:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.me

Вам буде надана вся інформація про необхідні дії для повного розшифрування файлів.

Ви також можете зв'язатися з нами через месенджер qTox, це буде набагато швидше, підтримка працює 24/7.
Ви можете завантажити за посиланням, або знайти додаток самостійно:

Зв'яжіться з qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7C

Ваш особистий ідентифікатор:

APT14CHIR'