FORCE勒索軟體

在檢查潛在惡意軟體威脅時，研究人員發現了 FORCE 勒索軟體。一旦滲透到裝置中，FORCE 就會啟動對各種文件類型的加密，包括影像、文件、電子表格等。攻擊者的目標是劫持加密資料並強迫受影響的受害者為其解密付費。為了識別受害者並建立通信，勒索軟體會在加密檔案的檔案名稱中附加唯一識別碼、網路犯罪分子的電子郵件地址以及「.FORCE」副檔名。例如，最初名為「1.png」的檔案將轉換為「1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE」。

加密過程完成後，系統會以兩種格式顯示相同的勒索訊息：彈出視窗（「info.hta」）和文字檔案（「info.txt」）。這些訊息出現在桌面上以及包含加密檔案的所有目錄中。進一步分析顯示，FORCE 屬於Phobos 勒索軟體家族。

FORCE 勒索軟體勒索受害者金錢

FORCE 發出的勒索信強調受害者的文件已被加密且敏感資料已被洩露。為了重新獲得對文件的存取權限，受害者被指示僅使用比特幣加密貨幣支付贖金。不遵守所列要求將導致被盜資訊被出售。在進行任何付款之前，受害者可以選擇免費測試解密過程，儘管有一定的限制。

這些訊息警告不要更改加密檔案或使用第三方復原工具，因為此類操作可能會導致資料無法復原。此外，受害者還被警告，向第三方尋求幫助可能會加劇他們的經濟損失。

FORCE 勒索軟體採取措施防止鎖定資料被輕鬆恢復

這個威脅程式是 Phobos 勒索軟體家族的一部分，以其有條不紊的加密方法而聞名。與某些導致受感染電腦完全無法運作的勒索軟體變體不同，Phobos 惡意軟體選擇性地針對檔案進行加密，避開關鍵系統檔案以確保系統保持正常運作。它對本地儲存的檔案和透過網路共享的檔案進行加密，並終止與開啟檔案相關的進程，以防止基於「正在使用」的檔案（例如資料庫程式或文字檔案讀取器）而豁免。

為了防止雙重加密，Phobos 勒索軟體維護了一份流行勒索軟體程式的排除清單。此清單中已被軟體鎖定的檔案不受影響。此外，Phobos 刪除了常見的恢復選項“卷影卷副本”，以進一步阻止資料恢復嘗試。

為了確保在受破壞的裝置上持久存在，惡意軟體會將自身複製到％LOCALAPPDATA％路徑並使用特定的運行鍵註冊，確保它在每次系統重新啟動時自動啟動。有趣的是，Phobos 勒索軟體可能會根據地理位置避免攻擊設備，特別是那些經濟薄弱地區或地緣政治一致國家的設備。

在沒有網路犯罪分子乾預的情況下解密勒索軟體鎖定的資料通常是不可能的。即使受害者遵守贖金要求，也不能保證他們會收到承諾的解密金鑰或軟體。因此，支付贖金不僅不能保證資料恢復，還會助長非法活動。

雖然從作業系統中刪除勒索軟體可以防止進一步加密，但它不會恢復受損的檔案。唯一可靠的解決方案是從備份中還原檔案（如果有）。

不要拿設備和資料的安全冒險

使用者可以透過實施多層網路安全方法來增強資料和設備免受勒索軟體威脅的防禦能力。以下是一些有效的策略：

• 保持軟體更新：定期更新作業系統、軟體應用程式和防毒程序，以修補安全漏洞並防範已知的漏洞。盡可能啟用自動更新。
• 安裝值得信賴的安全軟體：使用信譽良好的反惡意軟體軟體來偵測和移除勒索軟體和其他有害威脅。確保防毒軟體經常更新，以識別最新的威脅。
• 對電子郵件附件和連結保持警惕：警惕可疑電子郵件，尤其是來自未知寄件者或包含意外附件或連結的電子郵件。盡量不要存取未經請求的電子郵件中的連結或下載附件，因為它們可能包含勒索軟體或其他惡意軟體。
• 定期備份資料：透過定期將重要資料備份到外部硬碟、雲端儲存服務或網路附加儲存 (NAS) 裝置來建立強大的備份策略。確保備份安全存儲，並且無法從主系統直接訪問，以防止它們被勒索軟體加密。
• 使用強而獨特的密碼：為所有帳戶建立強而複雜的密碼，並且不要在多個帳戶中使用相同的密碼。考慮使用信譽良好的密碼管理器來安全地產生和儲存密碼的可能性。
• 啟用雙重認證 (2FA) ：啟用雙重認證以最大限度地提高帳戶的安全性。 2FA 要求使用者提供第二種形式的驗證，例如密碼或發送到行動裝置的代碼。

透過採取這些主動措施，使用者可以減少成為勒索軟體攻擊受害者的機會，並更好地保護他們的資料和設備。

FORCE 勒索軟體釋放的贖金字條是：

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'