FORCE Ransomware kommer att hålla dina filer fångna

Vårt team av forskare kom över FORCE ransomware-varianten när de genomförde en rutinundersökning av nya filprover. FORCE tillhör Phobos ransomware-linje.

Under tester på vårt experimentella system, krypterade FORCE framgångsrikt filer och krävde sedan betalning för deras dekryptering. Namnen på de krypterade filerna ändrades för att inkludera en unik identifierare som tilldelats offret, e-postadressen till cyberbrottslingarna och en ".FORCE"-tillägg. Till exempel skulle en fil som ursprungligen hette "1.jpg" visas som "1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE".

Efter krypteringsprocessen genererades identiska lösensedlar – en i form av en popup ("info.hta") och den andra som en textfil ("info.txt"). Dessa meddelanden deponerades på skrivbordet och distribuerades över alla kataloger som innehöll krypterade filer.

Lösensedlarna förknippade med FORCE indikerar att offrets filer har krypterats och att känslig data har äventyrats. För att dekryptera filerna krävs en lösensumma i Bitcoin kryptovaluta. Underlåtenhet att följa dessa krav skulle leda till att den läckta informationen säljs. Innan några betalningar görs erbjuds offret möjligheten att testa dekrypteringsprocessen gratis, om än med vissa begränsningar.

Dessa meddelanden varnar för att ändra de krypterade filerna eller använda återställningsverktyg från tredje part, eftersom det kan göra data permanent otillgängliga. Vidare varnas offret för att att söka hjälp från externa parter kan förvärra deras ekonomiska förluster.

FORCE Ransom Note i sin helhet

Den fullständiga texten i FORCE lösennotan lyder som följer:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Hur distribueras ransomware vanligtvis online?

Ransomware distribueras vanligtvis online genom olika metoder, inklusive:

Nätfiske-e-post: Hackare skickar vilseledande e-postmeddelanden som innehåller skadliga bilagor eller länkar. Dessa e-postmeddelanden utger sig ofta för att vara legitima enheter eller organisationer, vilket lockar mottagare att öppna bilagan eller klicka på länken, som sedan installerar ransomware på deras system.

Malvertising: Skadliga annonser som visas på legitima webbplatser kan omdirigera användare till webbplatser som är värd för exploateringssatser, som i sin tur levererar ransomware till offrets enhet genom sårbarheter i deras programvara.

Exploit Kit: Dessa är paket med förskriven kod som utnyttjar sårbarheter i föråldrad programvara eller operativsystem. När användare besöker komprometterade webbplatser eller klickar på skadliga länkar, laddar exploateringssatser tyst ned och installerar ransomware på sina enheter.

Remote Desktop Protocol (RDP)-attacker: Angripare får obehörig åtkomst till system med svaga eller förinställda RDP-uppgifter. Väl inne distribuerar de ransomware direkt på det komprometterade nätverket, vilket ofta orsakar omfattande skada.

Drive-by-nedladdningar: Skadlig kod injiceras på legitima webbplatser, vilket får besökare att omedvetet ladda ner ransomware till sina enheter genom att bara surfa på webbplatsen.

Sårbarheter i programvara: Ransomware-författare utnyttjar sårbarheter i programvara eller operativsystem för att få obehörig åtkomst till system och installera ransomware utan användarens vetskap eller samtycke.

Peer-to-Peer (P2P)-nätverk: Ransomware kan vara förklädd som knäckt programvara eller piratkopierat innehåll som distribueras via P2P-nätverk. Intet ont anande användare laddar ner och kör dessa filer och infekterar omedvetet sina system med ransomware.