APT14CHIR Ransomware

Các nhà nghiên cứu an ninh mạng phân loại APT14CHIR là mối đe dọa ransomware. Chức năng chính của nó là mã hóa các tệp, khiến chủ sở hữu của chúng không thể truy cập được. Ngoài ra, APT14CHIR cũng thay đổi tên của các tệp mà nó mã hóa bằng cách thay thế tên tệp gốc của chúng bằng một chuỗi ký tự ngẫu nhiên và thêm phần mở rộng '.APT14CHIR'.

Ví dụ: Phần mềm tống tiền APT14CHIR có thể thay đổi tên của tệp như '1.png' thành '46bHrwLR0CmRGarY.APT14CHIR', trong khi '2.doc' có thể được đổi tên thành 'qoMCVWgi0Vm27mcu.APT14CHIR.' Hơn nữa, APT14CHIR tạo một thông báo đòi tiền chuộc dưới dạng một tệp văn bản có tên 'XIN ĐỌC.txt' để thông báo cho nạn nhân rằng các tệp của họ đã được mã hóa và cung cấp hướng dẫn về cách trả tiền chuộc để lấy khóa giải mã.

Phần mềm tống tiền APT14CHIR để lại cho nạn nhân một danh sách các yêu cầu

Thông báo đòi tiền chuộc mà những kẻ tấn công để lại nêu rõ rằng các tệp quan trọng của nạn nhân đã được mã hóa hoàn toàn bằng sự kết hợp giữa thuật toán mã hóa AES và RSA, khiến chủ sở hữu hợp pháp không thể truy cập được chúng. Ghi chú cũng cảnh báo các nạn nhân không cố gắng khôi phục các tệp bằng phần mềm của bên thứ ba, vì điều này có thể dẫn đến mất dữ liệu vĩnh viễn hoặc sửa đổi thêm các tệp được mã hóa.

Hơn nữa, ghi chú tiếp tục tuyên bố rằng những kẻ tấn công là những kẻ duy nhất có khả năng giải quyết vấn đề và không có công cụ giải mã nào có sẵn trực tuyến để trợ giúp quá trình này. Điều này đặt các nạn nhân vào một tình thế khó khăn, nơi họ phải dựa vào việc những kẻ tấn công sẵn sàng cung cấp khóa giải mã để đổi lấy khoản tiền chuộc.

Ghi chú cũng nhấn mạnh rằng những kẻ tấn công đã tải lên tất cả dữ liệu cá nhân và có tính bảo mật cao của nạn nhân, cũng như một bản sao máy chủ chính của chúng đến một vị trí lưu trữ riêng. Những kẻ tấn công đe dọa sẽ chỉ phá hủy dữ liệu này sau khi chúng đã nhận được số tiền chuộc được yêu cầu. Tuy nhiên, nếu nạn nhân chọn không trả tiền chuộc, tội phạm mạng đe dọa sẽ công khai dữ liệu, điều này có thể gây hại cho danh tiếng của nạn nhân.

Những kẻ tấn công tuyên bố rằng họ chỉ muốn tiền và không có ý định làm tổn hại đến danh tiếng hoặc công việc kinh doanh của nạn nhân. Để có thêm thông tin về các hành động cần thiết để giải mã các tệp, nạn nhân được hướng dẫn liên hệ với thủ phạm qua địa chỉ email 'martin_catch_ithelp@tutanota.com' và 'martin_catch_ithelp@proton.me' hoặc thông qua trình nhắn tin qTox.

Người dùng có thể giảm thiểu thiệt hại của các cuộc tấn công bằng các mối đe dọa như Ransomware APT14CHIR bằng cách nào?

Các cuộc tấn công ransomware ngày càng trở nên phổ biến và tác động của chúng có thể rất tàn khốc. Tuy nhiên, có một số biện pháp mà người dùng có thể thực hiện để giảm thiểu thiệt hại do các cuộc tấn công này gây ra.

Thứ nhất, đảm bảo rằng các bản sao lưu dữ liệu cần thiết thường xuyên được thực hiện và lưu trữ ở một vị trí an toàn không được kết nối với Internet. Điều này sẽ giúp đảm bảo rằng nếu dữ liệu được mã hóa thì có thể dễ dàng khôi phục dữ liệu từ bản sao lưu và nạn nhân không cần trả tiền chuộc.

Thứ hai, người dùng nên thận trọng khi mở email hoặc nhấp vào liên kết từ các nguồn không xác định hoặc đáng ngờ. Phần mềm tống tiền thường được phát tán qua email lừa đảo và việc nhấp vào liên kết không an toàn hoặc mở tệp đính kèm bị xâm nhập có thể dẫn đến việc mã độc tống tiền lây nhiễm vào máy tính của bạn.

Điều quan trọng là luôn cập nhật phần mềm và hệ điều hành, vì phần mềm tống tiền thường khai thác các lỗ hổng trong các phiên bản phần mềm cũ hơn. Thường xuyên cập nhật phần mềm và triển khai các bản vá bảo mật sẽ giúp giảm thiểu rủi ro này.

Người dùng cũng nên cân nhắc kỹ lưỡng việc sử dụng phần mềm chống phần mềm độc hại và tường lửa, những phần mềm này có thể giúp phát hiện và ngăn chặn các cuộc tấn công của mã độc tống tiền. Những công cụ này có thể xác định và chặn hoạt động đáng ngờ, ngăn không cho phần mềm độc hại truy cập vào máy tính của bạn.

Cuối cùng, trong trường hợp bị ransomware tấn công, người dùng nên tránh trả tiền chuộc. Điều này chỉ khuyến khích tội phạm mạng và cung cấp cho chúng các nguồn lực để tiếp tục các hoạt động bất hợp pháp của chúng. Thay vào đó, người dùng nên tìm kiếm sự trợ giúp của các chuyên gia an ninh mạng, những người có thể giúp khôi phục dữ liệu được mã hóa hoặc xóa phần mềm độc hại khỏi hệ thống bị nhiễm.

Toàn văn thông báo đòi tiền chuộc của APT14CHIR là:

'Xin chào, MẠNG CÔNG TY CỦA BẠN ĐÃ ĐƯỢC XÂM NHẬP
Tất cả các tệp quan trọng của bạn đã được mã hóa!

Các tập tin của bạn KHÔNG HẠI! Chỉ sửa đổi hoàn toàn. (RSA+AES)
Chúng được mã hóa bằng thuật toán mã hóa aes độc đáo mạnh mẽ.

MỌI NỖ LỰC KHÔI PHỤC TỆP CỦA BẠN BẰNG PHẦN MỀM CỦA BÊN THỨ BA
SẼ LỖI VĨNH VIỄN NÓ.
KHÔNG SỬA ĐỔI TỆP MÃ HÓA.
KHÔNG ĐỔI TÊN TỆP MÃ HÓA.

Không có phần mềm có sẵn trên internet có thể giúp bạn. Chúng tôi là những người duy nhất có thể
giải quyết vấn đề của bạn.

Chúng tôi đã tải lên tất cả dữ liệu cá nhân/có tính bảo mật cao và sao chép các máy chủ chính.
Những dữ liệu này hiện được lưu trữ trên một kho lưu trữ riêng.
Máy chủ này sẽ bị hủy ngay lập tức sau khi bạn thanh toán.
Nếu bạn quyết định không trả tiền, chúng tôi sẽ tiết lộ dữ liệu của bạn cho công chúng hoặc người bán lại, đối thủ cạnh tranh, đại diện chính quyền địa phương, cơ quan tư pháp, tống tiền và trung gian tấn công
Vì vậy, bạn có thể mong đợi dữ liệu của mình sẽ được cung cấp công khai trong tương lai gần..

Chúng tôi chỉ tìm kiếm tiền và mục tiêu của chúng tôi là không làm tổn hại danh tiếng của bạn hoặc ngăn chặn
doanh nghiệp của bạn khỏi bị phá hủy.

Để biết thêm thông tin và khóa giải mã, vui lòng liên hệ với chúng tôi:
Martin_Catch_ITHELP@tutanota.com
Martin_Catch_ITHELP@proton.me

Bạn sẽ được cung cấp tất cả thông tin về các hành động cần thiết để giải mã hoàn toàn các tệp của mình.

Bạn cũng có thể liên hệ với chúng tôi bằng qTox messenger, sẽ nhanh hơn rất nhiều, hỗ trợ luôn sẵn sàng 24/7.
Bạn có thể tải xuống từ liên kết hoặc tự tìm ứng dụng:

Liên hệ với qTox 24/7:
5EF883DC37F4C2F5C3591E88A2473971C28BA76093C91055AA8B8A1D700CDF523B1F961EAA7C

ID cá nhân của bạn:

APT14CHIR'