Ransomware FORCE przechowa Twoje pliki

Nasz zespół badaczy natknął się na wariant ransomware FORCE podczas rutynowego badania nowych próbek plików. FORCE należy do linii oprogramowania ransomware Phobos.

Podczas testów na naszym eksperymentalnym systemie FORCE pomyślnie zaszyfrowało pliki, a następnie zażądało zapłaty za ich odszyfrowanie. Nazwy zaszyfrowanych plików zostały zmienione tak, aby zawierały unikalny identyfikator przypisany ofierze, adres e-mail cyberprzestępców oraz rozszerzenie „.FORCE”. Na przykład plik pierwotnie nazwany „1.jpg” będzie wyświetlany jako „1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE”.

W wyniku procesu szyfrowania wygenerowano identyczne żądania okupu – jeden w formie wyskakującego okienka („info.hta”), a drugi w postaci pliku tekstowego („info.txt”). Wiadomości te były zapisywane na pulpicie i rozprowadzane we wszystkich katalogach zawierających zaszyfrowane pliki.

Notatki z żądaniem okupu powiązane z FORCE wskazują, że pliki ofiary zostały zaszyfrowane, a wrażliwe dane zostały naruszone. Aby odszyfrować pliki, żądana jest zapłata okupu w kryptowalucie Bitcoin. Niezastosowanie się do tych żądań może skutkować sprzedażą ujawnionych informacji. Przed dokonaniem jakichkolwiek płatności ofiara ma możliwość bezpłatnego przetestowania procesu odszyfrowywania, choć z pewnymi ograniczeniami.

Komunikaty te ostrzegają przed modyfikowaniem zaszyfrowanych plików lub korzystaniem z narzędzi do odzyskiwania innych firm, ponieważ może to spowodować trwałą niedostępność danych. Ponadto ofiarę ostrzega się, że zwrócenie się o pomoc do osób zewnętrznych może zwiększyć jej straty finansowe.

Pełna treść żądania okupu FORCE

Pełny tekst żądania okupu FORCE brzmi następująco:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

W jaki sposób oprogramowanie ransomware jest powszechnie dystrybuowane w Internecie?

Ransomware jest powszechnie rozpowszechniane w Internecie różnymi metodami, w tym:

E-maile phishingowe: Hakerzy wysyłają zwodnicze e-maile zawierające złośliwe załączniki lub łącza. Te e-maile często podszywają się pod legalne podmioty lub organizacje, zachęcając odbiorców do otwarcia załącznika lub kliknięcia łącza, co następnie instaluje oprogramowanie ransomware w ich systemie.

Złośliwe reklamy: złośliwe reklamy wyświetlane na legalnych stronach internetowych mogą przekierowywać użytkowników do witryn zawierających zestawy exploitów, które z kolei dostarczają oprogramowanie ransomware na urządzenie ofiary poprzez luki w ich oprogramowaniu.

Zestawy exploitów: są to pakiety wstępnie napisanego kodu, które wykorzystują luki w zabezpieczeniach nieaktualnego oprogramowania lub systemów operacyjnych. Gdy użytkownicy odwiedzają zainfekowane witryny lub klikają złośliwe linki, zestawy exploitów po cichu pobierają i instalują oprogramowanie ransomware na swoich urządzeniach.

Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące uzyskują nieautoryzowany dostęp do systemów ze słabymi lub domyślnymi poświadczeniami RDP. Po wejściu do środka instalują oprogramowanie ransomware bezpośrednio w zaatakowanej sieci, często powodując rozległe szkody.

Pobieranie dyskowe: do legalnych witryn internetowych wstrzykiwany jest złośliwy kod, powodując, że odwiedzający nieświadomie pobierają oprogramowanie ransomware na swoje urządzenia, po prostu przeglądając witrynę.

Luki w oprogramowaniu: Autorzy ransomware wykorzystują luki w oprogramowaniu lub systemach operacyjnych, aby uzyskać nieautoryzowany dostęp do systemów i zainstalować oprogramowanie ransomware bez wiedzy i zgody użytkownika.

Sieci peer-to-peer (P2P): oprogramowanie ransomware może ukrywać się pod postacią złamanego oprogramowania lub pirackich treści rozpowszechnianych za pośrednictwem sieci P2P. Niczego niepodejrzewający użytkownicy pobierają i uruchamiają te pliki, nieświadomie infekując swoje systemy oprogramowaniem ransomware.