FORCE勒索软件

在检查潜在恶意软件威胁时，研究人员发现了 FORCE 勒索软件。一旦渗透到设备中，FORCE 就会启动对各种文件类型的加密，包括图像、文档、电子表格等。攻击者的目标是劫持加密数据并强迫受影响的受害者为其解密付费。为了识别受害者并建立通信，勒索软件会在加密文件的文件名中附加唯一标识符、网络犯罪分子的电子邮件地址以及“.FORCE”扩展名。例如，最初名为“1.png”的文件将转换为“1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE”。

加密过程完成后，系统会以两种格式显示相同的勒索信息：弹出窗口（“info.hta”）和文本文件（“info.txt”）。这些消息出现在桌面上以及包含加密文件的所有目录中。进一步分析显示，FORCE 属于Phobos 勒索软件家族。

FORCE 勒索软件勒索受害者金钱

FORCE 发出的勒索信强调受害者的文件已被加密且敏感数据已被泄露。为了重新获得对文件的访问权限，受害者被指示仅使用比特币加密货币支付赎金。不遵守所列要求将导致被盗信息被出售。在进行任何付款之前，受害者可以选择免费测试解密过程，尽管有一定的限制。

这些消息警告不要更改加密文件或使用第三方恢复工具，因为此类操作可能会导致数据无法恢复。此外，受害者还被警告，向第三方寻求帮助可能会加剧他们的经济损失。

FORCE 勒索软件采取措施防止锁定数据被轻松恢复

这个威胁程序是 Phobos 勒索软件家族的一部分，以其有条不紊的加密方法而闻名。与某些导致受感染计算机完全无法运行的勒索软件变体不同，Phobos 恶意软件有选择地针对文件进行加密，避开关键系统文件，以确保系统保持正常运行。它对本地存储的文件和通过网络共享的文件进行加密，并终止与打开文件相关的进程，以防止基于“正在使用”的文件（例如数据库程序或文本文件阅读器）而豁免。

为了防止双重加密，Phobos 勒索软件维护了一份流行勒索软件程序的排除列表。此列表中已被软件锁定的文件不受影响。此外，Phobos 删除了常见的恢复选项“卷影卷副本”，以进一步阻止数据恢复尝试。

为了确保在受破坏的设备上持久存在，恶意软件会将自身复制到％LOCALAPPDATA％路径并使用特定的运行键注册，确保它在每次系统重新启动时自动启动。有趣的是，Phobos 勒索软件可能会根据地理位置避免攻击设备，特别是那些经济薄弱地区或地缘政治一致国家的设备。

在没有网络犯罪分子干预的情况下解密勒索软件锁定的数据通常是不可能的。即使受害者遵守赎金要求，也不能保证他们会收到承诺的解密密钥或软件。因此，支付赎金不仅不能保证数据恢复，而且还会助长非法活动。

虽然从操作系统中删除勒索软件可以防止进一步加密，但它不会恢复受损的文件。唯一可靠的解决方案是从备份中恢复文件（如果有）。

不要拿设备和数据的安全冒险

用户可以通过实施多层网络安全方法来增强数据和设备免受勒索软件威胁的防御能力。以下是一些有效的策略：

• 保持软件更新：定期更新操作系统、软件应用程序和防病毒程序，以修补安全漏洞并防范已知的漏洞。尽可能启用自动更新。
• 安装值得信赖的安全软件：使用信誉良好的反恶意软件软件来检测和删除勒索软件和其他有害威胁。确保防病毒软件经常更新，以识别最新的威胁。
• 对电子邮件附件和链接保持警惕：警惕可疑电子邮件，尤其是来自未知发件人或包含意外附件或链接的电子邮件。尽量不要访问未经请求的电子邮件中的链接或下载附件，因为它们可能包含勒索软件或其他恶意软件。
• 定期备份数据：通过定期将重要数据备份到外部硬盘驱动器、云存储服务或网络附加存储 (NAS) 设备来建立强大的备份策略。确保备份安全存储，并且无法从主系统直接访问，以防止它们被勒索软件加密。
• 使用强而独特的密码：为所有帐户创建强而复杂的密码，并且不要在多个帐户中使用相同的密码。考虑使用信誉良好的密码管理器来安全地生成和存储密码的可能性。
• 启用双因素身份验证 (2FA) ：启用双因素身份验证以最大限度地提高帐户的安全性。 2FA 要求用户提供第二种形式的验证，例如密码或发送到移动设备的代码。

通过采取这些主动措施，用户可以减少成为勒索软件攻击受害者的机会，并更好地保护他们的数据和设备。

FORCE 勒索软件释放的赎金字条是：

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'