Phần mềm tống tiền FORCE

Trong quá trình kiểm tra các mối đe dọa phần mềm độc hại tiềm ẩn, các nhà nghiên cứu đã phát hiện ra Ransomware FORCE. Sau khi xâm nhập vào thiết bị, FORCE sẽ bắt đầu mã hóa trên nhiều loại tệp khác nhau, bao gồm hình ảnh, tài liệu, bảng tính, v.v. Mục tiêu của những kẻ tấn công là giữ dữ liệu được mã hóa làm con tin và ép buộc các nạn nhân bị ảnh hưởng phải trả tiền cho việc giải mã nó. Để xác định nạn nhân và thiết lập liên lạc, ransomware gắn thêm các mã nhận dạng duy nhất, địa chỉ email của tội phạm mạng và phần mở rộng '.FORCE' vào tên tệp của các tệp được mã hóa. Ví dụ: một tệp có tên ban đầu là '1.png' sẽ được chuyển thành '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'

Sau khi hoàn tất quá trình mã hóa, hệ thống hiển thị các ghi chú đòi tiền chuộc giống hệt nhau ở hai định dạng: cửa sổ bật lên ('info.hta') và tệp văn bản ('info.txt'). Những thông báo này xuất hiện trên màn hình nền và trong tất cả các thư mục chứa các tệp được mã hóa. Phân tích sâu hơn cho thấy FORCE thuộc họ Phobos Ransomware .

Phần mềm tống tiền FORCE tống tiền nạn nhân để lấy tiền

Thông báo đòi tiền chuộc do FORCE đưa ra nhấn mạnh rằng các tệp của nạn nhân đã được mã hóa và dữ liệu nhạy cảm đã bị xâm phạm. Để lấy lại quyền truy cập vào các tập tin của họ, nạn nhân được hướng dẫn trả tiền chuộc chỉ bằng tiền điện tử Bitcoin. Việc không tuân thủ các yêu cầu được liệt kê sẽ dẫn đến việc bán thông tin bị đánh cắp. Trước khi thực hiện bất kỳ khoản thanh toán nào, nạn nhân được cung cấp tùy chọn kiểm tra quá trình giải mã miễn phí, mặc dù có một số hạn chế nhất định.

Thông báo cảnh báo không nên thay đổi các tệp được mã hóa hoặc sử dụng các công cụ khôi phục của bên thứ ba vì những hành động như vậy có thể khiến dữ liệu không thể phục hồi được. Ngoài ra, nạn nhân được cảnh báo rằng việc tìm kiếm sự hỗ trợ từ bên thứ ba có thể làm tăng tổn thất tài chính của họ.

Phần mềm tống tiền FORCE thực hiện các biện pháp để ngăn chặn việc khôi phục dễ dàng dữ liệu bị khóa

Chương trình đe dọa này, một phần của họ Phobos Ransomware, được biết đến với cách tiếp cận mã hóa có phương pháp. Không giống như một số biến thể ransomware khiến máy bị nhiễm hoàn toàn không thể hoạt động, phần mềm độc hại Phobos nhắm mục tiêu có chọn lọc các tệp để mã hóa, tránh các tệp hệ thống quan trọng để đảm bảo hệ thống vẫn hoạt động. Nó mã hóa cả tệp được lưu trữ cục bộ và những tệp được chia sẻ qua mạng, đồng thời chấm dứt các quy trình liên quan đến tệp đang mở để ngăn chặn các ngoại lệ dựa trên các tệp đang 'được sử dụng', chẳng hạn như chương trình cơ sở dữ liệu hoặc trình đọc tệp văn bản.

Để ngăn chặn mã hóa kép, Phobos Ransomware duy trì một danh sách loại trừ các chương trình ransomware phổ biến. Các tập tin đã bị khóa bởi phần mềm trong danh sách này vẫn không bị ảnh hưởng. Ngoài ra, Phobos xóa Shadow Volume Copies, một tùy chọn khôi phục phổ biến, để ngăn cản nỗ lực khôi phục dữ liệu.

Để đảm bảo tính tồn tại lâu dài trên các thiết bị bị vi phạm, phần mềm độc hại sẽ tự sao chép vào đường dẫn %LOCALAPPDATA% và đăng ký bằng các phím Run cụ thể, đảm bảo nó tự động khởi động sau mỗi lần khởi động lại hệ thống. Điều thú vị là, ransomware Phobos có thể hạn chế tấn công các thiết bị dựa trên vị trí địa lý của chúng, đặc biệt là các thiết bị ở những khu vực có nền kinh tế yếu kém hoặc các quốc gia có liên kết địa chính trị.

Việc giải mã dữ liệu bị khóa bởi ransomware mà không có sự can thiệp của tội phạm mạng thường là không thể. Ngay cả khi nạn nhân tuân thủ yêu cầu đòi tiền chuộc, không có gì đảm bảo họ sẽ nhận được khóa hoặc phần mềm giải mã đã hứa. Do đó, việc trả tiền chuộc không những không đảm bảo việc khôi phục dữ liệu mà còn kéo dài các hoạt động bất hợp pháp.

Mặc dù việc xóa phần mềm tống tiền khỏi hệ điều hành sẽ ngăn chặn việc mã hóa thêm nhưng nó không khôi phục các tệp bị xâm phạm. Giải pháp đáng tin cậy duy nhất là khôi phục các tệp từ bản sao lưu nếu có.

Đừng mạo hiểm với sự an toàn của thiết bị và dữ liệu của bạn

Người dùng có thể tăng cường khả năng bảo vệ dữ liệu và thiết bị của mình trước các mối đe dọa từ ransomware bằng cách triển khai phương pháp tiếp cận nhiều lớp đối với an ninh mạng. Dưới đây là một số chiến lược hiệu quả:

• Luôn cập nhật phần mềm : Thường xuyên cập nhật hệ điều hành, ứng dụng phần mềm và chương trình chống vi-rút để vá các lỗ hổng bảo mật và bảo vệ khỏi các hoạt động khai thác đã biết. Cho phép cập nhật tự động bất cứ khi nào có thể.
• Cài đặt Phần mềm bảo mật đáng tin cậy : Sử dụng phần mềm chống phần mềm độc hại uy tín để phát hiện và loại bỏ ransomware và các mối đe dọa có hại khác. Đảm bảo rằng phần mềm chống vi-rút được cập nhật thường xuyên để nhận ra các mối đe dọa mới nhất.
• Thận trọng với các tệp đính kèm và liên kết trong email : Hãy cảnh giác với các email đáng ngờ, đặc biệt là những email từ những người gửi không xác định hoặc chứa các tệp đính kèm hoặc liên kết không mong muốn. Cố gắng không truy cập vào các liên kết hoặc tải xuống tệp đính kèm từ các email không mong muốn vì chúng có thể chứa phần mềm tống tiền hoặc phần mềm độc hại khác.
• Sao lưu dữ liệu thường xuyên : Thiết lập chiến lược sao lưu mạnh mẽ bằng cách thường xuyên sao lưu dữ liệu quan trọng vào ổ cứng ngoài, dịch vụ lưu trữ đám mây hoặc thiết bị lưu trữ gắn mạng (NAS). Đảm bảo rằng các bản sao lưu được lưu trữ an toàn và không thể truy cập trực tiếp từ hệ thống chính để ngăn chúng bị mã hóa bởi ransomware.
• Sử dụng mật khẩu mạnh, duy nhất : Tạo mật khẩu mạnh, phức tạp cho tất cả các tài khoản và không sử dụng cùng một mật khẩu cho nhiều tài khoản. Hãy xem xét khả năng sử dụng trình quản lý mật khẩu uy tín để tạo và lưu trữ mật khẩu một cách an toàn.
• Bật xác thực hai yếu tố (2FA) : Kích hoạt xác thực hai yếu tố để tối đa hóa tính bảo mật cho tài khoản của bạn. 2FA yêu cầu người dùng bao gồm hình thức xác minh thứ hai, chẳng hạn như mật khẩu hoặc mã được gửi tới thiết bị di động của họ.

Bằng cách áp dụng các biện pháp chủ động này, người dùng có thể giảm bớt nguy cơ trở thành nạn nhân của các cuộc tấn công bằng ransomware và bảo vệ dữ liệu cũng như thiết bị của họ tốt hơn một cách đáng kể.

Thông báo đòi tiền chuộc của FORCE Ransomware là:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'