Phần mềm tống tiền cánh
Wing là một mối đe dọa phần mềm có hại được phân loại là ransomware, được thiết kế với mục đích chính là mã hóa các tệp trên các thiết bị bị xâm nhập. Sau đó, thủ phạm đằng sau Wing yêu cầu thanh toán tiền chuộc cho việc khôi phục dữ liệu bị ảnh hưởng. Phần mềm độc hại gắn thêm các tệp được mã hóa bằng các điểm đánh dấu có thể nhận dạng, bao gồm địa chỉ email, chuỗi ID duy nhất được gán cho mỗi nạn nhân và phần mở rộng '.wing'. Ví dụ: một tệp có tên ban đầu là '1.pdf' chuyển đổi thành '1.pdf.Wingransomware@test.com.Q0ZLQA5KUMLK.wing.'
Sau khi hoàn tất quá trình mã hóa, một thông báo đòi tiền chuộc có tên 'Readme.txt' sẽ được tạo trong hệ thống. Điều cần lưu ý là phần mở rộng cụ thể và nội dung hoặc tiêu đề của thông báo đòi tiền chuộc có thể khác nhau tùy thuộc vào chiến thuật mà những kẻ tấn công dàn dựng phần mềm ransomware sử dụng.
Đáng chú ý, các nhà phát triển của Wing đã được quan sát thấy tích cực tìm kiếm quan hệ đối tác thông qua email và bài đăng trên các diễn đàn hacker. Điều này cho thấy nỗ lực thiết lập một doanh nghiệp theo mô hình Ransomware-as-a-Service (RaaS), cho phép các cộng tác viên tiềm năng sử dụng Wing cho các hoạt động không an toàn của họ.
Wing Ransomware gây thiệt hại nghiêm trọng cho dữ liệu trên các thiết bị bị nhiễm
Wing Ransomware hiện đang lưu hành dường như là phiên bản sơ bộ hoặc phiên bản thử nghiệm, như được đề xuất trong thông báo tiền chuộc của nó. Ghi chú này thông báo rõ ràng cho nạn nhân rằng các tệp của họ đã được mã hóa, nhấn mạnh rằng chỉ những kẻ tấn công mới sở hữu các công cụ cần thiết để giải mã và mọi nỗ lực trái phép đều có thể dẫn đến thiệt hại không thể khắc phục được. Để tạo dựng lòng tin, ransomware cung cấp cho nạn nhân một bài kiểm tra giải mã miễn phí có giới hạn. Tuy nhiên, việc khôi phục toàn bộ dữ liệu phụ thuộc vào việc thanh toán tiền chuộc bằng tiền điện tử Bitcoin.
Điều quan trọng cần lưu ý là thông báo đòi tiền chuộc được cung cấp chỉ là một mẫu và thiếu thông tin để liên hệ với những kẻ tấn công. Như đã đề cập trước đó, nội dung của ghi chú có thể khác nhau vì một số khía cạnh nhất định của phần mềm ransomware này có thể tùy chỉnh được.
Theo thông tin chi tiết được tìm thấy trong tài liệu liên quan đến nỗ lực tìm kiếm quan hệ đối tác của Wing, phần mềm độc hại triển khai các thuật toán mã hóa mạnh mẽ như RSA-4096, AES-256 và ChaCha20 để mã hóa dữ liệu. Đáng chú ý, cả tệp cục bộ và tệp chia sẻ trên mạng đều là mục tiêu của phần mềm độc hại này.
Wing thể hiện cách tiếp cận chiến lược bằng cách tránh các tệp hệ thống quan trọng và những tệp có thể cần thời gian dài để mã hóa. Nó có khả năng chấm dứt các tiến trình trong Trình quản lý tác vụ Windows có thể cản trở quá trình mã hóa. Ngoài ra, Wing có thể ẩn các quy trình của mình trong Trình quản lý tác vụ để tránh bị phát hiện.
Về tính bền bỉ, Wing sử dụng một kỹ thuật để tự động khởi động sau mỗi lần khởi động lại hệ thống, đảm bảo hệ thống luôn hiện diện. Hơn nữa, ransomware loại bỏ khả năng phục hồi thông qua Shadow Volume Copies bằng cách xóa chúng, càng nhấn mạnh thêm mức độ nghiêm trọng của sự xâm nhập.
Các biện pháp quan trọng để bảo vệ dữ liệu và thiết bị của bạn khỏi các cuộc tấn công của ransomware
Việc giải mã được mà không có sự tham gia trực tiếp của kẻ tấn công là một điều hiếm khi xảy ra. Ngay cả khi nạn nhân chọn trả tiền chuộc, không có gì đảm bảo sẽ nhận được khóa hoặc phần mềm giải mã cần thiết. Các nhà nghiên cứu hết sức thận trọng trước việc tuân thủ các yêu cầu của tội phạm mạng, nhấn mạnh rằng việc hỗ trợ các hoạt động bất hợp pháp như vậy, ngay cả vì lý do tài chính, cũng không đảm bảo khôi phục tệp thành công.
Để ngăn chặn việc mã hóa dữ liệu thêm bằng ransomware, bản thân phần mềm độc hại phải bị xóa khỏi hệ điều hành. Thật không may, việc xóa phần mềm tống tiền không tự động khôi phục các tệp bị xâm nhập. Giải pháp hiệu quả duy nhất là truy xuất các tệp từ bản sao lưu, miễn là tệp được tạo trước và được lưu trữ ở một vị trí riêng biệt.
Trong bối cảnh rộng hơn của việc bảo vệ các tệp khỏi mã hóa dữ liệu hoặc làm hỏng phần mềm độc hại cũng như các mối đe dọa khác, phương pháp được đề xuất là duy trì các bản sao lưu ở nhiều vị trí khác nhau. Điều này bao gồm việc lưu trữ các bản sao trên máy chủ từ xa, thiết bị lưu trữ bị ngắt kết nối và các vị trí an toàn khác, từ đó nâng cao cơ hội khôi phục tệp thành công và giảm thiểu tác động của việc mất dữ liệu có thể xảy ra.
Thông báo đòi tiền chuộc của Wing Ransomware đưa ra thông báo sau:
'Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !
Please read this message carefully and patiently *
If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !
Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !
To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge. Please note that your files should not contain important information. Your files should be in a format that we can read, such as .txt, .pdf, .xlsx, .jpg, or any other readable format for us.
Please put your Unique ID as the title of the email or as the starting title of the conversation.
For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *
Telegram Id :
Mail 1 :
Mail 2 :You will receive btc address for payment in the reply letter
! Important !
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !UniqueID:
PersonalID:'
