Το FORCE Ransomware θα κρατήσει τα αρχεία σας αιχμάλωτα

Η ομάδα των ερευνητών μας συνάντησε την παραλλαγή ransomware FORCE κατά τη διεξαγωγή μιας τακτικής εξέτασης νέων δειγμάτων αρχείων. Το FORCE ανήκει στη σειρά ransomware Phobos.

Κατά τη διάρκεια των δοκιμών στο πειραματικό μας σύστημα, η FORCE κρυπτογραφούσε με επιτυχία αρχεία και στη συνέχεια ζήτησε πληρωμή για την αποκρυπτογράφηση τους. Τα ονόματα των κρυπτογραφημένων αρχείων τροποποιήθηκαν για να περιλαμβάνουν ένα μοναδικό αναγνωριστικό που εκχωρήθηκε στο θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση ".FORCE". Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα εμφανιζόταν ως "1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE".

Μετά τη διαδικασία κρυπτογράφησης, δημιουργήθηκαν πανομοιότυπες σημειώσεις λύτρων – το ένα με τη μορφή αναδυόμενου παραθύρου ("info.hta") και το άλλο ως αρχείο κειμένου ("info.txt"). Αυτά τα μηνύματα κατατέθηκαν στην επιφάνεια εργασίας και διανεμήθηκαν σε όλους τους καταλόγους που περιέχουν κρυπτογραφημένα αρχεία.

Οι σημειώσεις λύτρων που σχετίζονται με το FORCE υποδεικνύουν ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και τα ευαίσθητα δεδομένα έχουν παραβιαστεί. Για την αποκρυπτογράφηση των αρχείων, απαιτείται πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Η μη συμμόρφωση με αυτές τις απαιτήσεις θα είχε ως αποτέλεσμα την πώληση των πληροφοριών που διέρρευσαν. Πριν πραγματοποιήσει οποιεσδήποτε πληρωμές, προσφέρεται στο θύμα η ευκαιρία να δοκιμάσει τη διαδικασία αποκρυπτογράφησης δωρεάν, αν και με ορισμένους περιορισμούς.

Αυτά τα μηνύματα προειδοποιούν για την τροποποίηση των κρυπτογραφημένων αρχείων ή τη χρήση εργαλείων ανάκτησης τρίτων, καθώς κάτι τέτοιο θα μπορούσε να καταστήσει τα δεδομένα μόνιμα απρόσιτα. Επιπλέον, το θύμα προειδοποιείται ότι η αναζήτηση βοήθειας από εξωτερικούς φορείς θα μπορούσε να επιδεινώσει τις οικονομικές του απώλειες.

Σημείωση FORCE Ransom Πλήρης

Το πλήρες κείμενο του σημειώματος λύτρων FORCE έχει ως εξής:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Πώς το Ransomware διανέμεται συνήθως στο διαδίκτυο;

Το ransomware διανέμεται συνήθως στο διαδίκτυο μέσω διαφόρων μεθόδων, όπως:

Email ηλεκτρονικού ψαρέματος: Οι χάκερ στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά υποδύονται νόμιμες οντότητες ή οργανισμούς, παρακινώντας τους παραλήπτες να ανοίξουν το συνημμένο ή να κάνουν κλικ στον σύνδεσμο, ο οποίος στη συνέχεια εγκαθιστά το ransomware στο σύστημά τους.

Κακόβουλη διαφήμιση: Οι κακόβουλες διαφημίσεις που εμφανίζονται σε νόμιμους ιστότοπους μπορούν να ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης, τα οποία με τη σειρά τους παρέχουν ransomware στη συσκευή του θύματος μέσω τρωτών σημείων στο λογισμικό τους.

Κιτ εκμετάλλευσης: Πρόκειται για πακέτα προγραμμένου κώδικα που εκμεταλλεύονται ευπάθειες σε απαρχαιωμένο λογισμικό ή λειτουργικά συστήματα. Όταν οι χρήστες επισκέπτονται παραβιασμένους ιστότοπους ή κάνουν κλικ σε κακόβουλους συνδέσμους, τα κιτ εκμετάλλευσης λαμβάνουν σιωπηλά και εγκαθιστούν ransomware στις συσκευές τους.

Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς αποκτούν μη εξουσιοδοτημένη πρόσβαση σε συστήματα με αδύναμα ή προεπιλεγμένα διαπιστευτήρια RDP. Μόλις μπουν μέσα, αναπτύσσουν ransomware απευθείας στο παραβιασμένο δίκτυο, προκαλώντας συχνά εκτεταμένη ζημιά.

Λήψεις Drive-by: Κακόβουλος κώδικας εγχέεται σε νόμιμους ιστότοπους, με αποτέλεσμα οι επισκέπτες να κατεβάζουν άθελά τους ransomware στις συσκευές τους απλώς περιηγώντας στον ιστότοπο.

Ευπάθειες λογισμικού: Οι δημιουργοί ransomware εκμεταλλεύονται ευπάθειες σε λογισμικό ή λειτουργικά συστήματα για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα και να εγκαθιστούν ransomware χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.

Δίκτυα Peer-to-Peer (P2P): Το Ransomware μπορεί να είναι μεταμφιεσμένο ως σπασμένο λογισμικό ή πειρατικό περιεχόμενο που διανέμεται μέσω δικτύων P2P. Οι ανυποψίαστοι χρήστες κατεβάζουν και εκτελούν αυτά τα αρχεία, μολύνοντας εν αγνοία τους τα συστήματά τους με ransomware.