Программа-вымогатель FORCE будет держать ваши файлы под контролем

Наша команда исследователей столкнулась с вариантом программы-вымогателя FORCE при проведении плановой проверки новых образцов файлов. FORCE принадлежит к семейству программ-вымогателей Phobos.

Во время тестирования на нашей экспериментальной системе FORCE успешно зашифровал файлы, а затем потребовал плату за их расшифровку. Имена зашифрованных файлов были изменены и теперь включают уникальный идентификатор, присвоенный жертве, адрес электронной почты киберпреступников и расширение «.FORCE». Например, файл с первоначальным названием «1.jpg» будет выглядеть как «1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE».

После процесса шифрования были созданы идентичные записки о выкупе: одна в виде всплывающего окна («info.hta»), а другая в виде текстового файла («info.txt»). Эти сообщения помещались на рабочий стол и распространялись по всем каталогам, содержащим зашифрованные файлы.

Записки о выкупе, связанные с FORCE, указывают на то, что файлы жертвы были зашифрованы, а конфиденциальные данные скомпрометированы. Для расшифровки файлов требуется выкуп в криптовалюте Bitcoin. Несоблюдение этих требований приведет к продаже утекшей информации. Прежде чем совершать какие-либо платежи, жертве предлагается возможность бесплатно протестировать процесс расшифровки, хотя и с определенными ограничениями.

Эти сообщения предостерегают от изменения зашифрованных файлов или использования сторонних инструментов восстановления, поскольку это может сделать данные навсегда недоступными. Кроме того, жертву предупреждают, что обращение за помощью к внешним сторонам может усугубить ее финансовые потери.

Записка о выкупе FORCE полностью

Полный текст записки о выкупе FORCE выглядит следующим образом:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются в Интернете различными способами, в том числе:

Фишинговые электронные письма: хакеры рассылают мошеннические электронные письма, содержащие вредоносные вложения или ссылки. Эти электронные письма часто выдают себя за законные лица или организации, побуждая получателей открыть вложение или щелкнуть ссылку, которая затем устанавливает программу-вымогатель в их систему.

Вредоносная реклама. Вредоносная реклама, отображаемая на законных веб-сайтах, может перенаправлять пользователей на веб-сайты, на которых размещены наборы эксплойтов, которые, в свою очередь, доставляют программы-вымогатели на устройство жертвы через уязвимости в своем программном обеспечении.

Наборы эксплойтов: это пакеты предварительно написанного кода, которые используют уязвимости в устаревшем программном обеспечении или операционных системах. Когда пользователи посещают взломанные веб-сайты или нажимают на вредоносные ссылки, наборы эксплойтов автоматически загружают и устанавливают программы-вымогатели на свои устройства.

Атаки по протоколу удаленного рабочего стола (RDP). Злоумышленники получают несанкционированный доступ к системам со слабыми учетными данными RDP или учетными данными RDP по умолчанию. Оказавшись внутри, они внедряют программы-вымогатели непосредственно в скомпрометированную сеть, часто вызывая масштабный ущерб.

Попутные загрузки: вредоносный код внедряется на законные веб-сайты, в результате чего посетители невольно загружают программы-вымогатели на свои устройства, просто просматривая сайт.

Уязвимости программного обеспечения. Авторы программ-вымогателей используют уязвимости в программном обеспечении или операционных системах для получения несанкционированного доступа к системам и установки программ-вымогателей без ведома или согласия пользователя.

Одноранговые сети (P2P). Программы-вымогатели могут быть замаскированы под взломанное программное обеспечение или пиратский контент, распространяемый через сети P2P. Ничего не подозревающие пользователи загружают и запускают эти файлы, неосознанно заражая свои системы программами-вымогателями.