FORCE Ransomware laikys jūsų failus nelaisvėje

Mūsų tyrėjų komanda, atlikdama įprastą naujų failų pavyzdžių tyrimą, susidūrė su FORCE išpirkos programinės įrangos variantu. FORCE priklauso Phobos ransomware linijai.

Bandydama mūsų eksperimentinę sistemą, FORCE sėkmingai užšifravo failus ir pareikalavo sumokėti už jų iššifravimą. Šifruotų failų pavadinimai buvo pakeisti, įtraukiant unikalų identifikatorių, priskirtą aukai, elektroninio nusikaltėlių el. pašto adresą ir plėtinį „.FORCE“. Pavyzdžiui, failas iš pradžių pavadintas „1.jpg“ būtų rodomas kaip „1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE“.

Po šifravimo buvo sugeneruoti identiški išpirkos rašteliai – vienas iššokančiojo lango ("info.hta"), o kitas kaip tekstinis failas ("info.txt"). Šie pranešimai buvo perkelti į darbalaukį ir paskirstyti visuose kataloguose, kuriuose yra užšifruotų failų.

Išpirkos rašteliai, susiję su FORCE, rodo, kad aukos failai buvo užšifruoti, o jautrūs duomenys buvo pažeisti. Norint iššifruoti failus, reikalaujama išpirkos mokėjimo Bitcoin kriptovaliuta. Nesilaikant šių reikalavimų nutekėjusi informacija bus parduota. Prieš atliekant bet kokius mokėjimus, aukai siūloma galimybė nemokamai, nors ir su tam tikrais apribojimais, išbandyti iššifravimo procesą.

Šie pranešimai įspėja nekeisti šifruotų failų arba naudoti trečiųjų šalių atkūrimo įrankius, nes tai gali padaryti duomenis visam laikui neprieinama. Be to, nukentėjusysis įspėjamas, kad pagalbos kreipimasis į išorines šalis gali dar labiau padidinti jų finansinius nuostolius.

FORCE Ransom Note visiškai

Visas FORCE išpirkos rašto tekstas skamba taip:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Kaip „Ransomware“ dažniausiai platinama internete?

Ransomware dažniausiai platinama internete įvairiais būdais, įskaitant:

Sukčiavimo el. laiškai: įsilaužėliai siunčia apgaulingus el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų. Šiuose el. laiškuose dažnai apsimetinėjama teisėtais subjektais ar organizacijomis, viliojantys gavėjus atidaryti priedą arba spustelėti nuorodą, kuri vėliau įdiegia išpirkos reikalaujančią programinę įrangą į jų sistemą.

Kenkėjiška reklama: teisėtose svetainėse rodomi kenkėjiški skelbimai gali nukreipti vartotojus į svetaines, kuriose yra išnaudojimo rinkinių, kurie savo ruožtu perkelia išpirkos reikalaujančias programas į aukos įrenginį dėl jų programinės įrangos pažeidžiamumo.

Išnaudojimo rinkiniai: tai iš anksto parašyto kodo paketai, išnaudojantys pasenusios programinės įrangos ar operacinių sistemų spragas. Kai vartotojai lankosi pažeistose svetainėse arba spustelėja kenksmingas nuorodas, išnaudojimo rinkiniai tyliai atsisiunčia ir į savo įrenginius įdiegia išpirkos reikalaujančias programas.

Nuotolinio darbalaukio protokolo (RDP) atakos: užpuolikai gauna neteisėtą prieigą prie sistemų su silpnais arba numatytais KPP kredencialais. Patekę į vidų, jie diegia išpirkos reikalaujančią programinę įrangą tiesiai į pažeistą tinklą, dažnai pridarydami didelę žalą.

Drive-by Downloads: Kenkėjiškas kodas įterpiamas į teisėtas svetaines, todėl lankytojai nesąmoningai atsisiunčia išpirkos reikalaujančią programinę įrangą į savo įrenginius tiesiog naršydami svetainėje.

Programinės įrangos pažeidžiamumas: išpirkos reikalaujančių programų autoriai naudojasi programinės įrangos ar operacinių sistemų pažeidžiamumu, kad gautų neteisėtą prieigą prie sistemų ir įdiegtų išpirkos reikalaujančias programas be vartotojo žinios ar sutikimo.

„Peer-to-Peer“ (P2P) tinklai: „Ransomware“ gali būti užmaskuota kaip nulaužta programinė įranga arba piratinis turinys, platinamas per P2P tinklus. Nieko neįtariantys vartotojai atsisiunčia ir vykdo šiuos failus, nesąmoningai užkrėsdami savo sistemas išpirkos reikalaujančia programine įranga.