Το Datah Ransomware είναι ένας κλώνος Makop

Κατά την ανάλυση νέων δειγμάτων κακόβουλου λογισμικού, συναντήσαμε μια παραλλαγή ransomware που σχετίζεται με την οικογένεια Makop, γνωστή ως Datah. Αυτό το ransomware κρυπτογραφεί αρχεία και δημιουργεί μια σημείωση λύτρων με το όνομα "+README-WARNING+.txt", που περιέχει στοιχεία επικοινωνίας και οδηγίες. Επιπλέον, το Datah αλλάζει τα ονόματα αρχείων.

Το Datah τροποποιεί τα ονόματα αρχείων προσθέτοντας το αναγνωριστικό του θύματος, τη διεύθυνση email datahelper@onionmail.org και την επέκταση ".datah". Για παράδειγμα, αλλάζει το "1.jpg" σε "1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah" και το "2.png" σε "2.png.[2AF20FA3].[datahelper@ onionmail.org].datah" και ούτω καθεξής.

Το σημείωμα λύτρων ειδοποιεί το θύμα για την κρυπτογράφηση των αρχείων του, αλλά διασφαλίζει ότι η δομή του αρχείου παραμένει αμετάβλητη. Τονίζει ότι η ανάκτηση είναι δυνατή μόνο με την πληρωμή των λύτρων στους φορείς απειλών που είναι υπεύθυνοι για την κρυπτογράφηση. Οι κυβερνοεγκληματίες προσφέρουν μια επίδειξη της ικανότητας αποκρυπτογράφησης επιτρέποντας στο θύμα να αποκρυπτογραφήσει δύο μικρά αρχεία ως δοκιμή.

Τα στοιχεία επικοινωνίας παρέχονται μέσω μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου (datahelper@onionmail.org) και ενός TOX ID. Το σημείωμα ολοκληρώνεται με μια ισχυρή προειδοποίηση κατά της προσπάθειας ανεξάρτητης τροποποίησης των κρυπτογραφημένων αρχείων, προειδοποιώντας ότι τυχόν αλλαγές θα μπορούσαν να οδηγήσουν σε απώλεια δεδομένων και μόνιμη απώλεια του ιδιωτικού κλειδιού αποκρυπτογράφησης, αφήνοντας το θύμα με μη ανακτήσιμα δεδομένα.

Η Datah παράγει μακροσκελή σημείωση λύτρων

Το πλήρες κείμενο του μακροσκελούς σημειώματος λύτρων που δημιουργήθηκε από την Datah έχει ως εξής:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Ποιοι είναι οι καλύτεροι τρόποι για να προστατεύσετε τα δεδομένα σας από επιθέσεις ransomware;

Η προστασία των δεδομένων σας από επιθέσεις ransomware είναι ζωτικής σημασίας για την προστασία των προσωπικών και επιχειρηματικών σας πληροφοριών. Ακολουθούν μερικές από τις βέλτιστες πρακτικές για να μετριαστεί ο κίνδυνος ransomware:

Τακτικά αντίγραφα ασφαλείας: Διατηρήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας σε αποθήκευση εκτός σύνδεσης ή σε cloud. Αυτό διασφαλίζει ότι ακόμα κι αν τα αρχεία σας είναι κρυπτογραφημένα από ransomware, μπορείτε να τα επαναφέρετε από αντίγραφα ασφαλείας χωρίς να χρειάζεται να πληρώσετε τα λύτρα.

Ενημέρωση λογισμικού: Διατηρήστε το λειτουργικό σας σύστημα, το λογισμικό προστασίας από ιούς και όλες τις εφαρμογές ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και ενημερώσεις. Τα τρωτά σημεία σε απαρχαιωμένο λογισμικό μπορούν να αξιοποιηθούν από εισβολείς ransomware.

Εκπαίδευση εργαζομένων: Παρέχετε ολοκληρωμένη εκπαίδευση ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο στους υπαλλήλους για να τους βοηθήσετε να αναγνωρίζουν μηνύματα ηλεκτρονικού ψαρέματος, κακόβουλους συνδέσμους και άλλους πιθανούς φορείς επιθέσεων ransomware. Ενθαρρύνετε μια κουλτούρα σκεπτικισμού απέναντι σε ανεπιθύμητα email και συνημμένα.

Χρήση λογισμικού προστασίας από ιούς και κακόβουλου λογισμικού: Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από ιούς και λογισμικό προστασίας από κακόβουλο λογισμικό σε όλες τις συσκευές και βεβαιωθείτε ότι ενημερώνονται τακτικά. Αυτά τα εργαλεία μπορούν να βοηθήσουν στον εντοπισμό και την πρόληψη μολύνσεων από ransomware.

Εφαρμογή Μέτρων Ασφάλειας Δικτύου: Χρησιμοποιήστε τείχη προστασίας, συστήματα ανίχνευσης εισβολών και άλλα μέτρα ασφάλειας δικτύου για την παρακολούθηση και την προστασία από μη εξουσιοδοτημένη πρόσβαση και κακόβουλη δραστηριότητα στο δίκτυό σας.

Περιορισμός δικαιωμάτων χρήστη: Περιορίστε τα δικαιώματα χρήστη μόνο σε εκείνα που είναι απαραίτητα για τους ρόλους εργασίας τους. Αυτό μπορεί να βοηθήσει στην αποτροπή της πλευρικής εξάπλωσης του ransomware στο δίκτυό σας σε περίπτωση που το σύστημα ενός χρήστη παραβιαστεί.

Ενεργοποίηση φιλτραρίσματος email: Εφαρμόστε λύσεις φιλτραρίσματος email για να αποκλείσετε μηνύματα ηλεκτρονικού ψαρέματος και κακόβουλα συνημμένα πριν φτάσουν στα εισερχόμενα των χρηστών. Αυτό μπορεί να μειώσει σημαντικά την πιθανότητα μολύνσεων από ransomware μέσω email.

Απενεργοποίηση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν δεν απαιτείται για επιχειρηματικές λειτουργίες, εξετάστε το ενδεχόμενο να απενεργοποιήσετε το RDP ή να εφαρμόσετε πρόσθετα μέτρα ασφαλείας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων, για να αποτρέψετε τη μη εξουσιοδοτημένη πρόσβαση μέσω RDP.