FORCE Вимагачі
Під час дослідження потенційних загроз зловмисного програмного забезпечення дослідники виявили програму-вимагач FORCE. Після проникнення на пристрій FORCE ініціює шифрування різних типів файлів, включаючи зображення, документи, електронні таблиці тощо. Мета зловмисників — взяти зашифровані дані в заручники та змусити постраждалих жертв заплатити за їх розшифровку. Щоб ідентифікувати жертв і встановити зв’язок, програма-вимагач додає унікальні ідентифікатори, адреси електронної пошти кіберзлочинців і розширення «.FORCE» до імен зашифрованих файлів. Наприклад, файл із початковою назвою «1.png» буде перетворено на «1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Після завершення процесу шифрування система відображає ідентичні повідомлення про викуп у двох форматах: спливаюче вікно ("info.hta") і текстовий файл ("info.txt"). Ці повідомлення з’являються на робочому столі та в усіх каталогах із зашифрованими файлами. Подальший аналіз показав, що FORCE належить до сімейства програм-вимагачів Phobos .
Зміст
Програмне забезпечення-вимагач FORCE вимагає у жертв гроші
У записках про викуп, виданих FORCE, наголошується, що файли жертви були зашифровані та що конфіденційні дані були скомпрометовані. Щоб нібито відновити доступ до своїх файлів, жертві доручають заплатити викуп, використовуючи лише криптовалюту Bitcoin. Невиконання перерахованих вимог призведе до продажу викраденої інформації. Перед здійсненням будь-яких платежів жертві надається можливість безкоштовно перевірити процес розшифровки, хоча й з певними обмеженнями.
У повідомленнях міститься застереження щодо зміни зашифрованих файлів або використання інструментів відновлення сторонніх виробників, оскільки такі дії можуть зробити дані невідновними. Крім того, жертву попереджають, що звернення за допомогою до третіх осіб може збільшити її фінансові втрати.
Програмне забезпечення-вимагач FORCE вживає заходів, щоб запобігти легкому відновленню заблокованих даних
Ця загрозлива програма, яка входить до сімейства Phobos Ransomware, відома своїм методичним підходом до шифрування. На відміну від деяких варіантів програм-вимагачів, які роблять заражені машини повністю непрацездатними, зловмисне програмне забезпечення Phobos вибірково націлює файли на шифрування, уникаючи критичних системних файлів, щоб гарантувати, що система залишається функціональною. Він шифрує як файли, що зберігаються локально, так і ті, що надаються в мережах, і припиняє процеси, пов’язані з відкритими файлами, щоб запобігти виняткам, заснованим на файлах, які «використовуються», наприклад програмах баз даних або програмах для читання текстових файлів.
Щоб запобігти подвійному шифруванню, Phobos Ransomware підтримує список виключень популярних програм-вимагачів. Файли, уже заблоковані програмним забезпеченням у цьому списку, залишаються незмінними. Крім того, Фобос видаляє тіньові копії томів, поширений варіант відновлення, щоб надалі перешкоджати спробам відновлення даних.
Щоб забезпечити стійкість на зламаних пристроях, зловмисне програмне забезпечення копіюється в шлях %LOCALAPPDATA% і реєструється за допомогою певних ключів запуску, гарантуючи автоматичний запуск під час кожного перезавантаження системи. Цікаво, що програми-вимагачі Phobos можуть утримуватися від атак на пристрої на основі їхнього геолокації, особливо ті, що знаходяться в економічно слабких регіонах або країнах з геополітичною орієнтацією.
Розшифрувати дані, заблоковані програмами-вимагачами, без втручання кіберзлочинців зазвичай неможливо. Навіть якщо жертви підкоряться вимогам викупу, немає гарантії, що вони отримають обіцяні ключі розшифровки чи програмне забезпечення. Таким чином, сплата викупу не тільки не гарантує відновлення даних, але й увічнює незаконну діяльність.
Хоча видалення програми-вимагача з операційної системи запобігає подальшому шифруванню, воно не відновлює зламані файли. Єдине надійне рішення — відновити файли з резервної копії, якщо така є.
Не ризикуйте з безпекою своїх пристроїв і даних
Користувачі можуть посилити захист своїх даних і пристроїв від програм-вимагачів, реалізувавши багаторівневий підхід до кібербезпеки. Ось кілька ефективних стратегій:
- Оновлюйте програмне забезпечення : регулярно оновлюйте операційні системи, програмні додатки та антивірусні програми, щоб виправити вразливі місця та захистити від відомих експлойтів. Увімкніть автоматичне оновлення, коли це можливо.
- Встановіть надійне програмне забезпечення безпеки : використовуйте надійне програмне забезпечення для захисту від зловмисного програмного забезпечення для виявлення та видалення програм-вимагачів та інших шкідливих загроз. Переконайтеся, що антивірусне програмне забезпечення часто оновлюється, щоб розпізнавати останні загрози.
- Будьте уважні до вкладень і посилань електронної пошти : будьте обережні з підозрілими електронними листами, особливо тими, що надійшли від невідомих відправників або містять несподівані вкладення чи посилання. Намагайтеся не відкривати посилання та не завантажувати вкладення з небажаних електронних листів, оскільки вони можуть містити програму-вимагач або інше шкідливе програмне забезпечення.
- Регулярне резервне копіювання даних : налаштуйте надійну стратегію резервного копіювання, регулярно створюючи резервні копії важливих даних на зовнішньому жорсткому диску, хмарному сховищі або мережевому сховищі (NAS). Переконайтеся, що резервні копії надійно зберігаються та недоступні безпосередньо з основної системи, щоб запобігти їх шифруванню програмами-вимагачами.
- Використовуйте надійні, унікальні паролі : створюйте надійні, складні паролі для всіх облікових записів і не використовуйте той самий пароль для кількох облікових записів. Розгляньте можливість використання надійного менеджера паролів для створення та безпечного зберігання паролів.
- Увімкнути двофакторну автентифікацію (2FA) : увімкніть двофакторну автентифікацію, щоб максимально захистити свої облікові записи. 2FA вимагає від користувачів додавати другу форму підтвердження, наприклад пароль або код, надісланий на їхній мобільний пристрій.
Використовуючи ці профілактичні заходи, користувачі можуть зменшити шанси стати жертвами атак програм-вимагачів і значно краще захистити свої дані та пристрої.
Записка про викуп, викинута FORCE Ransomware:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
