Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Phần mềm tống tiền PayForRepair

Phần mềm tống tiền PayForRepair

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:
Tiếng Việt Nam

Trong thời đại mà các hoạt động kỹ thuật số chi phối cuộc sống cá nhân, nghề nghiệp và tài chính của chúng ta, tầm quan trọng của việc duy trì an ninh mạng mạnh mẽ không thể bị cường điệu hóa. Ransomware, nói riêng, đã phát triển thành một trong những mối đe dọa nguy hiểm nhất trên bối cảnh mạng, có khả năng khóa người dùng khỏi dữ liệu của họ và yêu cầu số tiền lớn để trả lại. Một mối đe dọa gần đây đang tạo nên làn sóng trong giới an ninh mạng là ransomware PayForRepair—một biến thể của họ Dharma khét tiếng. Sau đây là mọi thứ bạn cần biết để giữ an toàn.

Gương mặt mới trong một gia đình cũ: PayForRepair Ransomware là gì?

PayForRepair ransomware là một nhánh tinh vi của dòng Dharma Ransomware. Mục tiêu chính của nó là mã hóa dữ liệu của nạn nhân và tống tiền để giải mã. Sau khi thực thi trên thiết bị, phần mềm độc hại này nhắm mục tiêu vào nhiều loại tệp và thêm vào chúng một dấu hiệu riêng biệt: ID cụ thể của nạn nhân, email liên hệ của kẻ tấn công (ví dụ: payforrepair@tuta.io) và phần mở rộng '.P4R'. Ví dụ, một tệp ban đầu có tên '1.jpg' có thể trở thành '1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R.'

Ngoài việc mã hóa các tệp, phần mềm độc hại còn thả một tin nhắn đòi tiền chuộc dưới dạng tệp văn bản có tên info.txt trên tất cả các thư mục bị ảnh hưởng và khởi chạy một tin nhắn bật lên với các yêu cầu chi tiết hơn. Nạn nhân được hướng dẫn liên hệ với kẻ tấn công qua email và trả bằng Bitcoin để được cho là lấy lại các tệp của họ. Để dụ dỗ, bọn tội phạm cung cấp một bài kiểm tra giải mã miễn phí cho một số lượng tệp giới hạn để tạo lòng tin.

Chiến thuật và Hành vi: PayForRepair hoạt động như thế nào

PayForRepair thể hiện một số hành vi điển hình của các biến thể Dharma:

  • Mã hóa có chọn lọc : Tránh can thiệp vào các tệp hệ thống cần thiết để duy trì hoạt động của hệ điều hành, đảm bảo nạn nhân vẫn có thể xem ghi chú tiền chuộc và thực hiện thanh toán.
  • Kết thúc quy trình : Đóng các quy trình đang hoạt động—như phần mềm cơ sở dữ liệu hoặc tài liệu—để truy cập vào các tệp đang mở.
  • Cơ chế tồn tại : Phần mềm tống tiền tự cài đặt vào '%LOCALAPPDATA%', thêm các mục đăng ký để tự động khởi động và đảm bảo chạy sau mỗi lần khởi động lại hệ thống.
  • Xóa bản sao bóng : Xóa các bản sao khối lượng bóng để ngăn chặn các tùy chọn khôi phục tệp đơn giản.
  • Nhắm mục tiêu theo vị trí địa lý : Dựa trên dữ liệu vị trí địa lý, tính năng này có thể bỏ qua một số khu vực nhất định hoặc ưu tiên các khu vực khác dựa trên các cân nhắc về kinh tế hoặc chính trị.

Cách lây lan: Điểm vào và vectơ lây nhiễm

Trong khi Dharma Ransomware thường lây lan thông qua các cuộc tấn công brute-force Giao thức máy tính từ xa (RDP), PayForRepair cũng không ngoại lệ và sử dụng nhiều kỹ thuật phân phối:

  • Dịch vụ RDP bị khai thác : Các điểm cuối RDP được bảo mật kém thường bị tấn công bằng phương pháp bẻ khóa để giành quyền truy cập.
  • Email và liên kết lừa đảo : Tệp đính kèm hoặc liên kết gian lận trong email và tin nhắn trực tiếp vẫn là phương thức lây nhiễm ưa thích.
  • Tải xuống tự động và phần mềm giả mạo : Tải xuống lừa đảo từ các trang web của bên thứ ba, quảng cáo độc hại và các bản cập nhật hoặc bản vá phần mềm giả mạo giúp phát tán phần mềm độc hại.
  • Lan truyền qua mạng và ổ đĩa di động : Khi đã xâm nhập vào mạng, phần mềm tống tiền có thể lây lan sang các hệ thống và thiết bị được kết nối khác.

Đừng trả tiền – Thay vào đó hãy bảo vệ: Các biện pháp bảo mật tốt nhất

Trả tiền chuộc không bao giờ được coi là giải pháp khả thi. Không có gì đảm bảo rằng tội phạm mạng sẽ thực hiện lời hứa của họ. Thay vào đó, hãy củng cố khả năng phòng thủ của bạn bằng các biện pháp an ninh mạng sau:

  1. Tăng cường bảo mật thiết bị và mạng
  2. Sử dụng mật khẩu mạnh và sáng tạo cho mọi tài khoản; triển khai xác thực đa yếu tố.
  3. Vô hiệu hóa các dịch vụ truy cập từ xa không sử dụng như RDP hoặc hạn chế chúng thông qua VPN và danh sách trắng IP.
  4. Hãy bật tường lửa và cấu hình đúng cách để chặn hoạt động đáng ngờ.
  5. Thường xuyên cập nhật hệ điều hành và phần mềm để khắc phục các lỗ hổng đã biết.
  6. Thực hành thói quen an toàn trên web và tệp
  7. Hãy thận trọng với các tệp đính kèm và liên kết trong email—đừng mở bất kỳ thứ gì từ nguồn không xác định.
  8. Chỉ tải phần mềm từ các nền tảng chính thức hoặc có uy tín.
  9. Tránh sử dụng các chương trình lậu, crack hoặc keygen vì chúng thường chứa phần mềm độc hại.
  10. Cài đặt và duy trì phần mềm diệt vi-rút/phần mềm độc hại mạnh mẽ với khả năng bảo vệ theo thời gian thực.
  11. Tạo bản sao lưu ngoại tuyến các tệp tin quan trọng thường xuyên và lưu trữ chúng trên các thiết bị không kết nối hoặc nền tảng đám mây an toàn.

Suy nghĩ cuối cùng: Phòng bệnh hơn chữa bệnh

Khi một loại ransomware như PayForRepair xâm nhập vào hệ thống của bạn, các tùy chọn khôi phục rất khan hiếm và không chắc chắn. Việc xóa phần mềm độc hại là điều cần thiết, nhưng nó sẽ không giải mã được các tệp—chỉ có các bản sao lưu hoặc công cụ giải mã có sẵn (nếu có) mới có thể giúp ích. Phòng thủ tốt nhất là chủ động: tăng cường thế trận an ninh mạng của bạn, luôn cảnh giác trực tuyến và giáo dục những người xung quanh bạn. Tội phạm mạng sẽ không biến mất—nhưng với sự chuẩn bị, nó không nhất thiết phải chiến thắng.

tin nhắn

Các thông báo sau được liên kết với Phần mềm tống tiền PayForRepair đã được tìm thấy:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom message shown as a text file:
all your data has been locked us

You want to return?

write email payforrepair@tuta.io or payforrepair@mailum.com

xu hướng

Lỗ hổng CVE-2025-26633

Sự dễ bị tổn thương, Mối đe dọa dai dẳng nâng cao (APT)
Water Gamayun đã tích cực khai thác CVE-2025-26633 (hay còn gọi là MSC EvilTwin), một lỗ hổng trong nền tảng Microsoft Management Console (MMC), để thực thi phần mềm độc hại bằng cách sử dụng các tệp Microsoft Console (.msc) độc hại. Backdoor mới: SilentPrism và DarkWisp Những tên tội phạm mạng đứng sau cuộc tấn công zero-day này đã triển khai hai backdoor tinh vi—SilentPrism và DarkWisp. Những...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
31,270
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...