EMBARGO Ransomware

EMBARGO Ransomware là một phần mềm đe dọa được thiết kế để mã hóa các tệp trên thiết bị bị nhiễm, khiến người dùng không thể truy cập được chúng. Sau khi các tệp được mã hóa, một phần mở rộng ngẫu nhiên sẽ được thêm vào tên của mỗi tệp, đây là dấu hiệu đặc trưng của chủng ransomware này. Ví dụ: tệp có tên ban đầu là document.txt có thể được đổi tên thành document.txt.144vd5. Điều này giúp dễ dàng xác định sự hiện diện của ransomware trên hệ thống bị nhiễm.

Quá trình lây nhiễm và mã hóa được sử dụng bởi phần mềm tống tiền EMBARGO

1. Lây nhiễm ban đầu: Phần mềm tống tiền EMBARGO thường xâm nhập vào hệ thống thông qua email lừa đảo, tải xuống gian lận hoặc khai thác các lỗ hổng hệ thống. Khi đã vào bên trong, nó sẽ bắt đầu quá trình mã hóa mà người dùng không hề hay biết.
2. Mã hóa tệp: Trong quá trình mã hóa, EMBARGO nhắm mục tiêu vào nhiều loại tệp, bao gồm tài liệu, hình ảnh và cơ sở dữ liệu. Sau đó, mỗi tệp được mã hóa sẽ được gắn thêm một phần mở rộng ngẫu nhiên, duy nhất. Điều này không chỉ phá vỡ cấu trúc tệp mà còn đóng vai trò là dấu hiệu cho thấy cuộc tấn công của ransomware.
3. Gửi thông báo tiền chuộc: Sau khi mã hóa, EMBARGO tạo thông báo tiền chuộc có tên HOW_TO_RECOVER_FILES.txt. Ghi chú này thường được đặt ở những vị trí nổi bật, chẳng hạn như màn hình nền và các thư mục khác nhau chứa các tệp được mã hóa. Thông báo đòi tiền chuộc có hướng dẫn cách trả tiền chuộc để họ có thể được cung cấp khóa giải mã. Nó thường bao gồm các chi tiết sau:

• Thông báo rằng các tập tin đã được mã hóa.
• Hướng dẫn cách mua tiền điện tử (thường là Bitcoin).
• Số tiền chuộc.
• Thông tin liên lạc của những kẻ tấn công.

Cách giải mã dữ liệu và xóa ransomware

1. Tránh trả tiền chuộc: Các chuyên gia bảo mật khuyên bạn không nên trả tiền chuộc. Không có gì đảm bảo rằng những kẻ tấn công sẽ gửi khóa giải mã và việc trả tiền chuộc chỉ khuyến khích hoạt động tội phạm tiếp theo.
2. Sử dụng Công cụ giải mã: Hiện tại, có thể không có công cụ giải mã phổ biến nào dành cho Ransomware EMBARGO. Tuy nhiên, nạn nhân được khuyến khích kiểm tra các trang web và diễn đàn an ninh mạng có uy tín để biết mọi cập nhật về các giải pháp giải mã tiềm năng.

• Trợ giúp chuyên nghiệp: Đối với những người không thiên về kỹ thuật, tìm kiếm sự trợ giúp từ các chuyên gia an ninh mạng có thể là một lựa chọn khả thi. Các chuyên gia có thể hỗ trợ loại bỏ phần mềm tống tiền một cách an toàn và khôi phục tệp nếu có thể.

• Khôi phục từ bản sao lưu: Nếu có sẵn bản sao lưu, việc khôi phục các tệp được mã hóa từ bản sao lưu trước khi bị lây nhiễm là cách khôi phục hiệu quả nhất. Hãy chắc chắn rằng phần mềm tống tiền đã được xóa hoàn toàn khỏi hệ thống trước khi khôi phục bất kỳ tệp nào để ngăn ngừa lây nhiễm lại.

Các biện pháp phòng ngừa để tránh nhiễm ransomware

1. Sao lưu thường xuyên: Thường xuyên sao lưu dữ liệu của bạn và đảm bảo các bản sao lưu được lưu trong môi trường đám mây an toàn hoặc ngoại tuyến.
2. Phần mềm bảo mật: Cài đặt và cập nhật thường xuyên phần mềm chống phần mềm độc hại. Sử dụng các tính năng bảo mật cung cấp khả năng quét và bảo vệ theo thời gian thực.
3. Giáo dục người dùng: Giáo dục người dùng về mối nguy hiểm của email lừa đảo và các nội dung tải xuống đáng ngờ. Khuyến khích cảnh giác khi mở tệp đính kèm email hoặc nhấp vào liên kết từ các nguồn không xác định.
4. Cập nhật hệ thống: Luôn cập nhật hệ điều hành và tất cả phần mềm bằng cách áp dụng các bản sửa lỗi bảo mật mới nhất để bảo vệ khỏi các lỗ hổng bảo mật.

Ransomware EMBARGO là mối đe dọa đáng kể đối với bảo mật dữ liệu do các phương thức mã hóa và phần mở rộng tệp ngẫu nhiên nối thêm. Bằng cách hiểu hoạt động của nó và thực hiện các biện pháp chủ động, người dùng PC cá nhân và tổ chức có thể giảm thiểu rủi ro liên quan đến phần mềm ransomware này.

Đây là thông báo đòi tiền chuộc được hiển thị bởi EMBARGO Ransomware:

'Your network has been chosen for Security Audit by EMBARGO Team.

We successfully infiltrated your network, downloaded all important and sensitive documents, files, databases, and encrypted your systems.

You must contact us before the deadline 2024-05-21 06:25:37 +0000 UTC, to decrypt your systems and prevent your sensitive information from disclosure on our blog:
-

Do not modify any files or file extensions. Your data maybe lost forever.

Instructions:
1. Download torbrowser: hxxps://www.torproject.org/download/
2. Go to your registration link:
=================================
-
=================================
3. Register an account then login

If you have problems with this instructions, you can contact us on TOX:
-

After payment for our services, you will receive:
- decrypt app for all systems
- proof that we delete your data from our systems
- full detail pentest report
- 48 hours support from our professional team to help you recover systems and develop Disaster Recovery plan

IMPORTANT: After 2024-05-21 06:25:37 +0000 UTC deadline, your registration link will be disabled and no new registrations will be allowed.
If no account has been registered, your keys will be deleted, and your data will be automatically publish to our blog and/or sold to data brokers.

WARNING: Speak for yourself. Our team has many years experience, and we will not waste time with professional negotiators.
If we suspect you to speaking by professional negotiators, your keys will be immediate deleted and data will be published/sold.'