База даних загроз програми-вимагачі Програма-вимагач RestoreMyData

Програма-вимагач RestoreMyData

Шкідливі кампанії постійно розвиваються, і програми-вимагачі залишаються однією з найшкідливіших загроз для користувачів та організацій будь-якого розміру. Одне успішне вторгнення може зупинити операції, пошкодити резервні копії, спровокувати витік даних та спричинити тривалі й дорогі процеси відновлення. Проактивний захист та дисциплінована реакція відіграють вирішальну роль в обмеженні радіуса вибуху саме тоді, коли відбувається атака, а не якщо вона вже відбувається.

Що таке програма-вимагач RestoreMyData?

RestoreMyData блокує дані жертв і вимагає викуп. Цей штам програми-вимагача був виявлений під час поточних розслідувань щодо виявлення загроз. Як і інші сучасні родини, вона шифрує файли та вимагає плату за утиліту розшифрування, а також стверджує, що викрадає конфіденційні бізнес-дані, щоб чинити тиск на жертв публічними витоками.

Як розгортається атака

Після проникнення, часто за допомогою соціальної інженерії, шкідливих завантажень або вторинного шкідливого програмного забезпечення, програма-вимагач виконує свою процедуру шифрування. Кожне ім'я ураженого файлу змінюється шляхом додавання '.restoremydata.pw'. Наприклад, '1.png' стає '1.png.restoremydata.pw', а '2.pdf' стає '2.pdf.restoremydata.pw'. Після завершення шифрування шкідливе програмне забезпечення залишає повідомлення з вимогою викупу під назвою 'HOW_TO_RECOVERY_FILES.txt'. Це повідомлення явно спрямоване на підприємства, а не на домашніх користувачів, попереджаючи, що операції під загрозою, файли недоступні без допомоги зловмисників, а викрадені корпоративні дані будуть опубліковані, якщо вимоги будуть проігноровані.

У записці про викуп: тактика та тиск

У повідомленні стверджується, що лише зловмисники мають унікальний ключ розшифрування, і що дешифратори, що використовуються для інших жертв, не працюватимуть. У повідомленні застерігається від модифікації зашифрованих файлів, щоб уникнути незворотної шкоди. Як «доказ розшифрування» оператори пропонують відновити один тестовий файл, зазвичай розміром до 2 МБ, а не критичний актив, такий як база даних, резервна копія чи велика електронна таблиця. Це поширений метод соціальної інженерії, розроблений для підвищення довіри та спонукання жертв до оплати.

Сплата викупу: ризики та реалії

У більшості випадків розшифрування файлів, заблокованих сучасними програмами-вимагачами, неможливе без ключів зловмисника. Однак оплата не гарантує відновлення; жертви часто повідомляють, що не отримали нічого корисного після переказу коштів. Оплата також підживлює злочинну екосистему. Виправданим рішенням є уникнення оплати, зосередження на знищенні та відновлення з чистих резервних копій.

Збереження, латеральний рух та поширення

Окрім початкової компрометації, деякі загрози намагаються поширюватися латерально через локальні мережі, зловживати інструментами адміністрування, збирати облікові дані та поширюватися через знімні носії (USB-накопичувачі, зовнішні диски). Слід вважати, що RestoreMyData здатна використовувати аналогічні методи, що спостерігаються в екосистемі, а це означає, що швидкість стримування є критично важливою після виявлення індикаторів.

Початковий доступ та канали доставки

Оператори програм-вимагачів покладаються на добре перевірені шляхи розповсюдження: фішингові електронні листи та повідомлення з вкладеннями або посиланнями-пастками, трояни та завантажувачі, які пізніше розміщують корисне навантаження, автоматичні завантаження зі скомпрометованих сайтів, портали безкоштовного програмного забезпечення та P2P-мережі з перепакованими інсталяторами, шкідлива реклама, фальшиві оновлення та інструменти для «крякання». Шкідливий контент часто маскується під архіви (ZIP/RAR), виконувані файли, PDF-файли, документи Office або OneNote, JavaScript тощо; виконання починається в момент відкриття або запуску файлу користувачем.

Стратегія ліквідації та відновлення

Негайно ізолюйте уражені системи від мережі, щоб зупинити поширення шифрування та витік даних. Виконайте ретельне видалення, використовуючи надійні, повністю оновлені засоби безпеки. Зрозумійте, що видалення зупиняє подальше пошкодження, але не розшифровує вже заблоковані дані. Відновлення має здійснюватися з резервних копій, які ще не були уражені.

Підсумок

Програма-вимагач RestoreMyData є прикладом сучасного подвійного вимагання: швидке шифрування, унікальні ключі жертви, вимоги викупу під високим тиском та погрози витоку викрадених даних. Уникайте платежів, коли це можливо, рішуче видаляйте шкідливе програмне забезпечення та покладайтеся на захищені, регулярно тестовані резервні копії для відновлення. Організації, які поєднують багаторівневу профілактику, суворий контроль привілеїв, стійкі резервні копії та відпрацьоване реагування на інциденти, значно підвищують свої шанси протистояти такому виду атак.

Повідомлення

Було знайдено такі повідомлення, пов’язані з Програма-вимагач RestoreMyData:

Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more!

If we do not come to an agreement, we will be forced to transfer all your files to the media for publicity.
If you want to decrypt your files and prevent them from leaking, please write to help@restoremydata.pw. In the letter, indicate your personal ID, which you will see at the beginning of this message. In response, we will inform you of the cost of decrypting your files.

The final price depends on how quickly you write to us.

Before paying, you can send us 1 file for test decryption. We will decrypt the files you requested and send you back. This ensures that we have the key to recover your data.
The total file size must not exceed 2 MB, files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
--------------------------------------------------

!!! MOST IMPORTANT !!!

- Do not rename encrypted files. Do not try to decrypt your data with third party software. These actions may result in the loss of your data.

- Only help@restoremydata.pw can decrypt your files.

- Decoders of other users are incompatible with your data, because each user unique encryption key

--------------------------------------------------

Email to contact us - help@restoremydata.pw
helprestoremydata@aol.com
restoremydata@onionmail.org

Your personal ID:

В тренді

Найбільше переглянуті

Завантаження...