Ransomware

Program CERBER, który zyskał rozgłos jako konsekwentnie rozwijany software przestępczy, dał o sobie ostatnio znać w kilku nowych wariantach (wykrytych przez Trend Micro jako VBS_CERBER.DLCYG, RANSOM_CERBER.ENC, RANSOM_CERBER.VSAGD i TROJ_CERBER.AL). Używają one modułu ładującego, który pozwala im omijać mechanizm detekcji wzorców systemów uczących się.

Nowe wersje CERBERA przysyłane są użytkownikom emailem z linkiem do konta Dropboxa zawierającego samo wypakowujące się archiwum. Po kliknięciu w link zostaje uruchomione owo archiwum, które atakuje system za pomocą payloadu. Payload ten zawiera różne pliki – przede wszystkim moduł ładujący, który sprawdza czy system działa w maszynie wirtualnej czy w piaskownicy. Moduł sprawdza też, czy system posiada określone narzędzia analityczne lub specjalny antywirusowy software. Jeśli stwierdza istnienie tych komponentów, przestaje działać lub kontynuuje atak za pomocą głównego payloadu.

CERBERowi udaję się uniknąć mechanizmów kontroli wbudowanych w systemy uczące się dzięki wielostopniowemu mechanizmowi załadunku, który jest wmontowywany w działający proces. Statyczne uczenie maszynowe analizuje zawartość pliku pod kątem jego zbieżności z plikami oprogramowania przestępczego. Nie bierze jednak pod uwagę, jak te pliki są uruchamiane. Jakkolwiek, tego typu ransomwary wciąż mogą zostać wykryte za pomocą wielowarstwowych systemów antywirusowych, dla których podstawą działania nie jest detekcja maszyn uczących się.

SPORA v2

Kolejnym złośliwym programem, który pojawił się w nowym wariancie jest SPORA (wykryty przez Trend Micro jako RANSOM_SPORA.F117C2). Program wyposażony został w nowe umiejętności charakterystyczne dla robaków. Czynią one ten i tak niebezpieczny wirus jeszcze bardziej uciążliwym.

SPORA V2 infekuje system użytkownika, kiedy ten kilka w wyskakujące okienko Google Chrome, wzywające do aktualizacji “Pakietu Chcionek Chrome” (Chrome Font Pack). Ma to w efekcie umożliwić przeglądarce wyświetlanie zawartości napisanej czcionką „Hoefler Text”. Jeśli nieświadoma niebezpieczeństwa ofiara kliknie w to okienko, doprowadzi to ją do linku zawierającego złośliwy program podszywający się pod legalną aplikację.

Tłumaczenie zawartości okna:

Czcionka Hoefler Text nie została znaleziona. Strona, która próbujesz wyświetlić zostanie pokazana nieprawidłowo, gdyż używa czcionki Hoefler Text. Aby naprawić błąd i zobaczyć tekst musisz zaktualizować „Pakiet czcionek Chrome”

Nowy wariant SPORY będzie wrzucał swoje kopie na trwałe i przenośne dyski tudzież sieciowe przestrzenie współdzielone. Nie pozostanie  też obojętny na pierwszy poziom katalogów na każdym dysku i każdej przestrzeni współdzielonej, jaką znajdzie na swojej drodze. Jak w wersji pierwszej, SPORA v2 kasuje wartość rejestru “”HKLM\Software\Classes\lnkfile IsShortcut”, oszukując innych użytkowników, że ten skrót jest normlanym folderem bez charakterystycznej dla skrótów strzałki. Inna nowość w SPORZE v2 to generowany klucz RSA (RSAPrivKey2), który jest w tej chwili zintegrowany z żądaniem okupu zamiast funkcjonować jako oddzielny plik. Po uruchomieniu SPORA v2 zaszyfruje pliki zdjęciowe i  dokumenty Worda używając algorytmu RSA-1024. Rozszerzenie tych plików pozostanie jednak takie samo jak było.

Następnie zostanie wyświetlony komunikat z żądaniem okupu, zawarty w unikalnym dla danej maszyny pliku, posiadającym następujący format: XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html. Pierwsze dwie cyfry to kod kraju. Reszta wynika z specyfiki danego użytkownika.

Tłumaczenie zawartości okna: wszystkie twoje pliki osobiste i zawodowe zostały zaszyfrowane. By przywrócić dane, otrzymać gwarancje i  wsparcie, postępuj zgodnie z poniższą instrukcją do Twojego konta. 1. Tylko my możemy odzyskać twoje pliki. Zostały one zmodyfikowane za pomocą algorytmu RSA-1024. Odwrócenie tego procesu nazywa się deszyfryzacją. Wymaga to posiadania unikalnego klucza. Nie można go nigdzie znaleźć ani „zhakować” 2. Nie szukaj pomocy znikąd indziej. Wszystkie klucze do rozwiązania Twojego problemu są bezpiecznie przechowywane na naszych serwerach. Jeśli ktokolwiek powie Ci, że jest w stanie odzyskać Twoje pliki znaczy to ni mniej ni więcej, tylko tyle, że kupi potrzebne klucze od nas i odsprzeda Ci się po wyższej cenie. Dodatkowe pytania? Wyślij email na [email protected]

Zdjęcie 3: żądanie okupu programu SPORA V2

Hidden Tear

W dwu ostatnich przeglądach oprogramowania przestępczego pisaliśmy o nowych wersjach Hidden Tear, jak Enjey Crypter (RANSOM_HiddenTearEnjey.A) oparty na systemie EDA2. EDA2 to także otwarty program edukacyjny (opracowywany razem z Hidden Tear), który następnie został przejęty przez cyberprzestępców do wiadomych celów. W tym tygodniu można było usłyszeć o kolejnych, lecz niezbyt innowacyjnych wariantach.

AngleWare (Ransom_HiddenTearAngleWare.A)

Ten program także oparty jest na HiddenTear, generuje komunikat z wezwaniem do zapłaty wysokiej sumy 3 bitcoinów.(około 3000 USD). Zaszyfrowane pliki mają rozszerzenie AngleWare.

Tłumaczenie zdjęcia: Twoje pliki zostały zaszyfrowane przez AngleWare. Zapłać 3 BTC na następujący adres i wyślij dowód wpłaty na mój adres emailowy.

Zdjęcie 4. Kod AngleWare (zdjęcie dzięki uprzejmości Bleeping Computer).

GC47 (Ransom_HiddenTearGCFS.A)

Ten wariant zmusza użytkownika do kliknięcia w fałszywe okno “aktualizacji” Windowsa. Jak tylko użytkownik da się zwieść, rozpoczyna się proces zaszyfrowywania plików. Atakowane są pliki medialne, dokumenty i zdjęcia. Nadawane im rozszerzenie to .Fxck_You. Programiści oczekują, że  ofiara zapłaci 50USD czyli w przybliżeniu 0.04 bitcoiny.

Zorro (Ransom_HiddenTearZorro.A)

Zdjęcie 6. Wezwanie do zapłaty z ransomware Zorro

Tłumaczenie zawartości okna: Ważna, pilna i prawdziwa wiadomość. Szanowny Panie/Pani, Z przykrością informujemy, że Wasze pliki zostały właśnie zaszyfrowane za pomocą silnego klucza. Oznacza to po prostu, że nie będziecie mogli korzystać ze swoich plików zanim nie zostaną one odkodowane za pomocą tego samego klucza. Żeby dostać ów klucz musicie nam zapłacić. Macie 3 dni na zapłacenie kwoty 1 BTC na poniższy adres bitcoinowy. Dziś zaczyna się odliczanie czasu na wpłatę. Jeśli ona nie nastąpi Twoje pliki zaczną być niestabilne i całkowicie bezużyteczne. Radzimy więc zapłacić kwotę 1 BTC na powyżej wskazany adres. Uwaga: Bitcoiny nie potrzebują konta bankowego. Kontem jest twój bitcoinowy portfel, nie potrzebujesz mieć żadnych dostępów ani wykonać żadnej papierkowej pracy, by zacząć używać bitcoinów. Idź do http://localbitcoins.com/ żeby wymienić gotówkę na bitcoiny i vice versa. Nie potrzebujesz w celu przeprowadzenia tej operacji mieć żadnego konta bankowego. Jak tylko otrzymamy płatności, wyślemy Ci emailem software odszyfrowujący z wbudowanym silnym kluczem odkodowującym Twoje materiały.

Niebezpieczeństwa związane z programami przestępczymi dostępnymi w otwartym źródle.

Zarówno HiddenTear jak i EDA2 zostały początkowo wprowadzone jako otwartoźródłowy ransomware przeznaczony dla celów edukacyjnych. Jednak cyberprzestępcy byli dostatecznie sprytni, by ściągnąć kody źródłowe obydwu programów i użyć ich do stworzenia złośliwej wersji tego softwaru. Wziąwszy pod uwagę tendencję szantażystów do adoptowania i modyfikowania oprogramowań zgodnie z ich potrzebami, należy się zastanowić czy dalszy rozwój ogólnie dostępnego ransomwaru ma jakikolwiek sens. Trzeba zwracać uwagę na to, by dystrybuowane kody źródłowe nie były łatwo dostępne. Można je chociażby dystrybuować do określonych odbiorców za pomocą bezpiecznych kanałów komunikacji.

Przestępczość internetowa kontynuuje swój atak na społeczność internetową szczególnie narażoną na tego typu działania – graczy. Roza Locker (wykrywany jako RANSOM_ROZALOCK.A), jest nowym narzędziem przestępczości internetowej, które wzięło sobie na cel mówiących po rosyjsku entuzjastów gier podając się za program służący do instalacji gier właśnie. Tuż po otwarciu, program żąda zaawansowanych uprawnień w celu rozpoczęcia szyfrowania plików.

Roza Locker jest dystrybuowany jako plik .exe. Po otwarciu pokazuje się okno Kontroli Konta Użytkownika (UAC) nakłaniające ofiarę, by pozwoliła nieznanemu wydawcy dokonywać zmian na jego urządzeniu. Jeśli to nie działa lub dostęp zostaje zablokowany, ukazuje się nowe okno z napisem “ПОИСК …” (co po rosyjsku znaczy „szukaj…”). Przypuszczalnie dzieję się tak dlatego, by skłonić użytkownika do powrotu do pierwszego okna i wyrażenia jednak intruzowi zgody na wejście.

Jeśli „user” zezwoli na dostęp, zostają zaszyfrowane z góry określone pliki, do których zostaje dodane rozszerzenie .enc. Wymagany od użytkownika okup opiewa na 10000 rubli czyli prawie 175 USD. Poza szyfrowaniem, Roza Locker uszkadza menadżera zadań uniemożliwiając wejście na określone strony internetowe. Robi to poprzez zmianę pliku %system%\drivers\etc\hosts. Zablokowane zostają legitymizowane rosyjskie strony przeznaczone typowo dla graczy oraz strony internetowe kilku największych rosyjskich dostawców oprogramowania zapewniającego bezpieczeństwo sieci.

Kirk

Odkryto ponadto przestępcze oprogramowanie o nazwie Kirk. Dość niekonwencjonalny ransomware odwołuje się swoją tematyką do filmu Star Trek . Wziął swoją nazwę właśnie od jednej z postaci – Kapitana Kirka. Odkryty jako RANSOM_KIRK.A. Napisany w języku Python, żąda płatności w kryptowalucie Monero (XMR), już nie w Bitcoin – jak to kiedyś bywało. Monero to waluta zachwalana jako bardziej prywatna i konspiracyjni przestępcy już zaczynają doceniać jej przewagę nad innymi formami płatności.

Pozostając wiernym tematyce kosmosu, Kirk występuje także pod przykrywką otwartej aplikacji sieciowej typu „stress testing”. Jego druga nazwa to Low Orbit Ion Cannon (LOIC). Po załadowaniu aplikacja skanuje dysk C pod kątem określonego rodzaju plików i następnie zaczyna je szyfrować, nadając zaszyfrowanym „egzemplarzom” rozszerzenie .kirked. Użytkownicy, którzy padli ofiarą ataku są proszeni o zapłatę okupu, który z czasem staje się coraz większy, osiągając poziom XMR 500, co w przybliżeniu jest równe 10360 USD.

Kolejny wariant oprogramowania ransomware to program Lick (wykrywany także jako Ransom_KIRK.A). Jego przykrywka to narzędzie deszyfrujące programy ransomware. Atakuje te same pliki co powyższa aplikacja, według tego samego procesu i żąda takiego samego okupu. Rozszerzenie dla zaatakowanych plików to w tym przypadku .licked.

Zemsta

W marcu usłyszeliśmy o CryptoShield, wariancie CryptoMix, dystrybuowanym przez program typu “exploit kit”. Teraz opublikowany został nowy wariant pod nazwą „Zemsta” (Revenge”). Odkryty jako RANSOM_CRYPAURA.RVG. Jest wspierany przez “exploit kit” Rig – jeden z najbardziej aktywnych “zestawów wykorzystujących” używający wielu różnych ransomware’ów.

Revenge dodaje zainfekowanym plikom rozszerzenie .revenge. Zostawia prostą i jasną prośbę o okup bez żadnych typowych w takich przypadkach gróźb ani szczegółów odnośnie czasu czy kwoty. Jest po prostu informacja, że pliki mogą zostać odzyskane i że użytkownik powinien wysłać emaila prosząc o dalsze instrukcje. Wiadomość jest powtarzana w kilku językach: angielskim, włoskim, niemieckim, polskim i koreańskim.

Więcej Hidden Tear’ów

Kontynuując temat rozpoczęty w zeszłym tygodniu, znaleziono dwa nowe otwarte oprogramowania przestępcze. Aplikacja MacandChess (odkryta jako RANSOM_HIDDENTEARMNC.A) wydaje się być jeszcze mało zaawansowana – atakuje tylko 20 typów plików, w większości dokumenty i zdjęcia. Ransomware Karmen natomiast (odkryty jako RANSOM_HIDDENTEARKARMEN.A) jest nieco bardziej wyrafinowany.

Karmen jest dostępny przez ransomware-as-a-service (RaaS), narzędzie za pomocą którego cyberprzestępcy mogą stworzyć ransomware za pomocą kilku kroków. Cała praca jest wykonywana przez twórców RaaS, którzy konfigurują program według życzeń „klienta”, procesują płatności, pobierając określony procent zysku od dystrybutorów. Karmen RaaS ukrywa się pod aplikacją o nazwie „Helper” (Pomocnik) i zaraz po zainstalowaniu wykonuje typową pracę internetowego „szantażysty”. Dodaje do zainfekowanych plików rozszerzenie .grt i żąda okupu in walucie Bitcoin. Sądząc po języku komunikatów, celem są użytkownicy niemiecko- i angielskojęzyczni.

Oprogramowanie szantażujące idzie do przodu w procesie kreowania różnego rodzaju zagrożeń. Dzieje się tak mimo, iż ciągle wprowadzane są nowe techniki i zasady działania mające temu zapobiec. Weźmy na przykład, ciekawie nazwany ransomware, który pojawił się w zeszłym tygodniu – Szatan (wykryty przez Trend Micro jako RANSOM_SATAN.A). Rozpowszechniany w sieci jako usługa dla cyberprzestępców, oferuje dystrybutorom 70% wpłaconego okupu. Szatan generuje dla dystrybutorów specjalny plik wykonywalny, który zawiera też kwotę okupu. Subskrybenci usługi też mogą ustawić cenę i czas, w jakim ofiary powinny wpłacić „haracz”.

Szatan atakuje 131 typów plików i nadaje im rozszerzenie .stn. Zainfekowane pliki zaszyfrowane są za pomocą algorytmów AES-256 i RSA-2048. W jednym z żądań Szatan prosi o wpłatę w wysokości 5 Bitcoin (na dzień 14 Marca 2017 była to równowartość 1254 USD). Haracz ten ulega podwojeniu, jeśli wpłata nie jest zrobiona w wyznaczonym czasie. Serwer C&C Szatana i jego wielojęzyczna strona do zarządzania płatnościami są zlokalizowane w sieci Dark Web. Również tam program jest reklamowany.

W reklamie tej Szatan jest wychwalany jako bezpłatny zestaw oprogramowania szantażującego. Oszust musi się tylko zarejestrować na stronie operatora. „Inżynier” tegoż oprogramowania pobiera prowizję w wysokości 30%, ale opłata ulega odpowiedniemu zmniejszeniu w zależności od ilości ograbionych ofiar i łącznej wysokości dokonanych wpłat. Zarządzający ma też w ofercie porady i narzędzia, dzięki którym dystrybutor programu może go rozpowszechniać coraz dalej i szerzej. Narzędzia te obejmują niebezpieczne kody złośliwego makra Microsoft Word czy Kompilowane pliki HTML (CHM). Programista przygotowuje też poradniki na temat sposobów wdrożenia i aktualizacji „szantażysty” o imieniu Szatan.

 

 Powyżej: witryna zarządzająca płatnościami dla Szatana

Powyżej: reklama Szatana w Dark Webie.

Programy szantażujące nabierają cech lokalnych

Zauważyliśmy jeszcze, że ostatnio rynek ransomware nieco się zmienia. Programy nabierają różnych cech lokalnych mimo, że nadal używają mało wyszukanych technik. Może to wynikać że tego, że operatorzy tego typu aktywności dywersyfikują się, że móc atakować coraz większą ilość osób i mnożyć zyski. W zeszłym tygodniu mieliśmy do czynienia z mieszaniną różnych rodzin „ransomware” uderzających określone ofiary (i regiony).

Na przykład CryptoJacky (wykryty przez Trend Micro jako RANSOM_CRYPJACKY.A) wygenerował żądanie okupu w języku hiszpańskim. CryptoJacky to kompilacja modyfikowalnych skryptów Visual Basic, szyfruje pliki przez narzędzie open-source, zwane AES Crypt (aesencrypt.exe). Zaszyfrowane pliki zyskują rozszerzenie .aes. Analizy wskazują, że program ten też może pochodzić z serwisu internetowego RaaS. Po uruchomieniu, system ten wypakowuje swoje komponenty do %appdata%\r_tools\. Lista plików, które są atakowane przez ten program znajduje się w tym samym katalogu.

Powyżej: hiszpańskojęzyczne wezwania do zapłaty – program CryptoJacky

Kolejnym nowym “szantażystą” jest Kaenlupuf, znany także jako KAsi ENkrip LU PUnya File (RANSOM_KAENLUPUF.A), co w malezyjskim slangu oznacza „zaszyfruj swój plik”. Narzędzie to jest także w stanie wykasować tworzone automatycznie kopie zapasowe plików lub woluminów. Czyni to za pomocą komendy vssadmin.exe delete shadows /All /Quiet. Co ciekawie, program przestaje działać w systemie operacyjnym Windows 10, którego data ważności jest ustawiona na 7 marca 2017 w przypadku plików DLL i na 10 marca 2017 dla plików wykonywalnych. Jest też kilka innych warunków, które muszą być spełnione, by program ten mógł być uruchomiony.

Powyżej: Żądanie okupu w języku czeskim

Również czescy użytkownicy zostali ostatnio zaatakowani przez komputerowych oszustów (RANSOM_CZCRYPT.A). Czeskie żądanie okupu pojawia się oknie wyskakującym na ekranie zaatakowanej maszyny. W komunikacie szantażysta przechwala się, że zaszyfrował pliki używając algorytmu AES-256, dodał do nich rozszerzenie .ENCR i prosi o okup w walucie Bitcoin. Za cel program ten obiera sobie pliki zlokalizowane w Kontaktach, na Pulpicie, w Dokumentach, w Downloadach, w Ulubionych, w Linkach, w Zdjęciach, Zachowanych Grach, Zachowanych Wyszukiwaniach czy plikach Wideo.

Kolejny, ciekawy ransomware AvastVirusInfo (Ransom_XORIST.MGW), znany też jako XORIST, jest programem którego komponenty zostały skompilowane z użyciem otwartoźródłowego Minimalist GNU dla Windows (MinGW). Analiza wskazuje, że ta wersja zdaje się korzystać z techniki kilku komponentów. Plik wykonywalny (exe), na przykład, nie będzie się uruchamiał samodzielnie, będzie w tym celu potrzebował innych komponentów. AvastVirusInfo obiera sobie za cel ofiary rosyjskojęzyczne. Jest jednym z bardziej płodnych ransomwarów. Szyfruje 1796 typów plików, którym nadaje rozszerzenie .A9v9AhU4.

Komunikat AvastVirusInfo mówiący o tym, że plik EXE nie może się uruchomić bez innego komponentu.

Pojawiły sią też w zeszłym tygodniu programy przestępcze oparte na projektach otwarto-źródłowych jak EDA2 czy Hidden Tear. Jednym z nich jest Enjey Crypter (RANSOM_HiddenTearEnjey.A) oparty na kodzie źródłowym EDA2. Jest zdolny do usunięcia zainfekowanych kopii zapasowych plików (shadow copies) za pomocą komendy , – vssadmin delete shadows /all /Quiet. Enjey Crypter szyfruje pliki we wszystkich katalogach za wyjątkiem Program Files (x86), $Recycle Bin, Windows, Boot i System Volume Information.

Żądanie okupu – program Enjey Crypter

W tłumaczeniu zawiera następujące informacje

“Witaj,

Wszystkie Twoje dokumenty, zdjęcia, bazy danych i inne ważne dane zostały zaszyfrowane.

By zdobyć dekoder pisz pod adres email:…..

W swojej wiadomość napisz: Hej, potrzebuję dekodera + osobistego identyfikatora.

Otrzymasz portfel Bitcoin

Jeśli nie masz portfela Bitcoin:

• utwórz portfel pod https://blockchaininfo.wallet/#/signup-dobj
• kup kryptowalutę
• https://en.bitcoin.it/wiki/help/Help:FAQ (dla początkujących)

Uwaga:

• nie rób nic na własną rękę, możesz utracić swoje dane!
• Nie zmieniaj nazw zaszyfrowanych plików”

Program szantażujący znany jako Torrent Locker został przyłapany na atakowaniu takich krajów, jak Niemcy czy Norwegia. Podczas, gdy jego zachowanie nie odbiegało od dotychczasowych standardów, jego nowe metody rozmnażania się sprawiają, że staje się on niebezpieczny szczególnie dla mało uważnych użytkowników, którzy nie są do końca świadomi sposobów, jakich używają przestępcy, by wyłudzić informacje.

Warianty te (wykryte przez Trend Micro jako RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS lub RANSOM _CRYPTLOCK.DLFLVU), używają inżynierii społecznej by podejść ofiary – na przykład nakłaniają pracowników firm do kliknięcia w Dropbox URL załączony do wiadomości email. Prowadzi to użytkownika do „dokumentu faktury”, który jest właśnie plikiem ransomware. Fakt, że TorrentLocker używa Dropboxa utrudnia jego wykrywanie, gdyż witryna ta jest legalna.

Poniżej kierunki ataków cyberprzestępców w oparciu o Smart Protection Network firmy Trend Micro.

Pojawia się oprogramowanie przestępcze oparte na języku Python

W końcu lutego dało się zauważyć aktywność dwu programów opartych na Pythonie. Ich nazwy to PyL33t (wykryty przez Trend Micro jako Ransom_PYLEET.A) i Pickles (Wykryty przez Trend Micro jako Ransom_CRYPPYT.A).

Kultura internetowa zdaje się wywierać wpływ na program PyL33t. Można to wywnioskować z jego napisanego czcionką Comic Sans wezwania do zapłaty haraczu oraz faktu, że aplikacja używa portu 1337 i rozszerzenia .d4nk, które dodaje do zainfekowanych plików. Jak tylko PyL33t jest załadowany i uruchomiony na komputerze ofiary, zaszyfruje pliki używające rozszerzenia .docx, .jpg i .xlxs.

Pickles to kolejna niewinnie brzmiąca nazwa. Określa ona inny niebezpieczny program również oparty na języku Python. Gdy program ten zaatakuje komputer, szyfruje pliki i nadaje im rozszerzenie .EnCrYpTeD. Tapeta komputera zaczyna wyglądać jak powyżej i widnieje na niej wezwanie do uregulowania „należności” READ_ME_TO_DECRYPT.TXT. Żądanie jest dość duże i opiewa na 1 bitcoin, co równa się 1200 USD. Plik deszyfrujący też jest załączony do „przesyłki”, ale wymaga znajomości hasła.

Opis programu

Threat Finder Ransomware oznacza przestępczą infekcję Twojego urządzenia. The Threat Finder Ransomware jest używany przez stronę trzecią, by zainfekować komputer ofiary i zaoferować jego zwrot za określoną opłatą. Program ten dokonuje tego ataku przez zaszyfrowanie plików zawirusowanej jednostki za pomocą zaawansowanych technik. Ofiara nie będzie miała dostępu do swoich danych zanim nie zapłaci wysokiego okupu. Badacze tego zjawiska radzą, by w momencie zainstalowania na Twoim dysku tej złośliwej aplikacji zrobić wszystko, by ją natychmiast usunąć i przywrócić pliki z wykorzystaniem ich kopii zapasowej. W tym momencie nie ma możliwości odszyfrowania plików bez specjalnego klucza. Z drugiej strony zapłacenie okupu tylko zachęca twórców tych przestępczych programów do kontynuowania nielegalnego procederu. Dlatego najlepszy sposób na tego typu praktyki to podejmowanie odpowiednich kroków prewencyjnych Trzeba po prostu nauczyć się regularnie tworzyć kopie zapasowe swoich wrażliwych danych i zainstalować godny zaufania, aktualny antywirusowy software.

W jaki sposób The Threat Finder Ransomware atakuje komputer użytkownika?

Program ten może zostać zainstalowany przez inną aplikację, na przykład przez wprowadzanego “tylnymi drzwiami” Trojana. Umożliwia to postronnej jednostce uzyskać dostęp do danego komputera. Threat Finder Ransomware jest szczególnie powiązany z programem Bedep Trojan, znanym także jako Backdoor:Win32/Bedep. The Theat Finder Ransomware to uszkodzony plik DLL, który może być załadowany na naszym urządzeniu przez inny program tego samego typu. Jak tylko Threat Finder Ransomeware wejdzie na nasz komputer, tworzy specjalny zapis w rejestrze Windowsa, dzięki któremu Threat Finder Ransomeware uruchomi się automatycznie, jak tylko dojdzie do włączenia zainfekowanego komputera. Wówczas program wrzuca na komputer ofiary kilka plików graficznych, zmieniając też jednocześnie wygląd pulpitu. Zrzucone pliki graficzne zawierają żądanie do zapłaty okupu.

Zasady postępowania z Threat Finder Ransomware

TFR zasadniczo uniemożliwia użytkownikowi komputera dostęp do urządzenia. Kiedy ofiara próbuje używać komputera pojawia się na całej powierzchni jego ekranu wiadomość z żądaniem okupu. Skutki działania tego „złośnika” to kombinacja rozwiązania typu „lock screen” z uszkodzeniami plików. Jest kilka jego wariantów różniących się nieco między sobą rodzajem lock screenów i wezwań do zapłaty.

Omawiany software, po zainstalowaniu, nadaje zawirusowanym plikom następujące rozszerzenia:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, css, dbf, dcr, der, dng, doc, docm, docx. Dwg, dxf, dxg, eps, erf, htm, indd. Jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odc, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pdf, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, sr2, srf, srw, wallt, wb2, wmv, wpd, wps, x3f, xlk, xls, xlsb, xlsm and xlsx.

Prawdopodobieństwo, że TFR zaszyfruje nasze firmowe i osobiste pliki jest dość wysokie zważywszy na to, jakie formaty plików bierze sobie na cel. Jak tylko programowi uda się zainfekować pliki ustanawia on połączenie ze zdalnym serwerem. TFR łączy się ze zdalną lokalizacją 65.49.8.104 używając portu TCP 443 celem przesłania zainfekowanych danych do zdalnego serwera.

Wykrycie ataku tego programu nie jest trudne. Jest w zasadzie oczywiste, bo tracisz wtedy dostęp do swoich plików lub PC. Niestety, użytkownik nie uzyska dostępu do swoich plików bez klucza odszyfrowującego. Ofiary szczególnie zdesperowane mogą zapłacić okup. Ale jeśli dane są dla nas tak ważne, że jesteśmy w stanie zapłacić ten zbójecko wysoki haracz, to rozsądnie byłoby zainwestować w odpowiednio mniej kosztowny zewnętrzny dysk twardy lub „chmurowy” backup dla swoich plików. Żeby zapobiec atakom Threat Finder Ransomware, powinieneś stosować się do zasad bezpieczeństwa związanych z korzystaniem z witryn internetowych, jak również kupić renomowany, zaktualizowany o najnowsze typy zagrożeń  program antywirusowy.

Odzyskiwanie  danych zaszyfrowanych przez wirusa Ransomware na macierzy RAID to nie lada wyzwanie, ale tak się składa, że ​​to nasza specjalność. Posiadamy zespół doświadczonych specjalistów, którzy potrafią odzyskać zaszyfrowane dane z RAID w warunkach laboratoryjnych. 

Musisz pamiętać o najważniejszej zasadzie – nie próbuj samodzielnie odzyskiwać zaszyfrowanych danych z RAID! 

Każde działanie osoby, która nie została przeszkolona w zakresie odzyskiwania danych z macierzy RAID może doprowadzić do bezpowrotnej utraty danych

JAKIE SĄ KONSEKWENCJE SAMODZIELNEGO ODZYSKIWANIA ZASZYFROWANYCH DANYCH Z RAID?

Jeśli spróbujesz samodzielnie, oto co może się zdarzyć:

Uszkodzisz kolejne dyski . Czas odzyskiwania i odbudowy bazy danych będzie dłuższy.
Zastąpisz dane – w najgorszym przypadku odzyskanie danych nie będzie możliwe.
Jeśli problem już się pojawił – odłącz serwer od zasilania i skontaktuj się z naszym zespołem. Nie skanuj dysków ani nie używaj opcji automatycznej naprawy! Odzyskiwanie zaszyfrowanych danych przez oprogramowanie ransomware przez nieprzeszkoloną osobę to błędne koło!

Po co zatrudniać ekspertów do odzyskiwania zaszyfrowanych danych z macierzy RAID?

To nie jest ta sama procedura, co odzyskiwanie danych ze zwykłego dysku. RAID ma zupełnie inną strukturę. Prawie żaden specjalista nie ma wiedzy niezbędnej do wykonywania tych czynności.

Odzyskiwanie danych RAID to specjalizacja porównywalna z neurochirurgią czaszki. Aby wykonać zadanie, potrzebujesz doświadczenia i umiejętności. To nasza specjalizacja, dlatego mamy tak wysoką skuteczność w tym obszarze – prawie 100%.

Jeśli masz problem z RAID – skontaktuj się z nami.