Datah Ransomware er en Makop-klon

Mens vi analyserede nye malware-eksempler, stødte vi på en ransomware-variant tilknyttet Makop-familien, kendt som Datah. Denne ransomware krypterer filer og genererer en løsesumseddel med navnet "+README-WARNING+.txt", der indeholder kontaktoplysninger og instruktioner. Derudover ændrer Datah filnavne.

Datah ændrer filnavne ved at tilføje offerets id, datahelper@onionmail.org e-mailadresse og ".datah" udvidelsen. For eksempel ændres "1.jpg" til "1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah," og "2.png" til "2.png.[2AF20FA3].[datahelper@ onionmail.org].datah," og så videre.

Løsesedlen underretter offeret om kryptering af deres filer, men sikrer, at filstrukturen forbliver uændret. Den understreger, at inddrivelse udelukkende er mulig ved at betale løsesummen til de trusselsaktører, der er ansvarlige for krypteringen. De cyberkriminelle tilbyder en demonstration af deres dekrypteringsevne ved at tillade offeret at dekryptere to små filer som en test.

Kontaktoplysninger gives via en e-mailadresse (datahelper@onionmail.org) og et TOX ID. Notatet afsluttes med en kraftig advarsel mod at forsøge at ændre de krypterede filer uafhængigt, og advarer om, at enhver ændring kan resultere i tab af data og permanent tab af den private dekrypteringsnøgle, hvilket efterlader offeret med uoprettelige data.

Datah producerer en lang løsesum-notat

Den fulde tekst af den lange løsesumseddel genereret af Datah lyder som følger:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Hvad er de bedste måder at beskytte dine data mod Ransomware-angreb?

Beskyttelse af dine data mod ransomware-angreb er afgørende for at beskytte dine personlige og forretningsmæssige oplysninger. Her er nogle af de bedste praksisser for at hjælpe med at mindske risikoen for ransomware:

Regelmæssige sikkerhedskopier: Oprethold regelmæssige sikkerhedskopier af dine vigtige data på offline eller skybaseret lager. Dette sikrer, at selvom dine filer er krypteret med ransomware, kan du gendanne dem fra backup uden at skulle betale løsesummen.

Opdater software: Hold dit operativsystem, antivirussoftware og alle applikationer opdateret med de seneste sikkerhedsrettelser og opdateringer. Sårbarheder i forældet software kan udnyttes af ransomware-angribere.

Uddan medarbejdere: Giver omfattende træning i cybersikkerhedsbevidsthed til medarbejdere for at hjælpe dem med at genkende phishing-e-mails, ondsindede links og andre potentielle ransomware-angrebsvektorer. Tilskynd til en kultur af skepsis over for uopfordrede e-mails og vedhæftede filer.

Brug antivirus- og antimalwaresoftware: Installer velrenommeret antivirus- og antimalwaresoftware på alle enheder, og sørg for, at de opdateres regelmæssigt. Disse værktøjer kan hjælpe med at opdage og forhindre ransomware-infektioner.

Implementer netværkssikkerhedsforanstaltninger: Brug firewalls, systemer til registrering af indtrængen og andre netværkssikkerhedsforanstaltninger til at overvåge og beskytte mod uautoriseret adgang og ondsindet aktivitet på dit netværk.

Begræns brugertilladelser: Begræns brugertilladelser til kun dem, der er nødvendige for deres jobroller. Dette kan hjælpe med at forhindre ransomware i at spredes sideværts på tværs af dit netværk i tilfælde af, at en brugers system kompromitteres.

Aktiver e-mailfiltrering: Implementer e-mailfiltreringsløsninger for at blokere phishing-e-mails og ondsindede vedhæftede filer, før de når brugernes indbakker. Dette kan betydeligt reducere sandsynligheden for ransomware-infektioner via e-mail.

Deaktiver Remote Desktop Protocol (RDP): Hvis det ikke er nødvendigt for forretningsdrift, kan du overveje at deaktivere RDP eller implementere yderligere sikkerhedsforanstaltninger såsom multi-faktor-godkendelse for at forhindre uautoriseret adgang via RDP.