Πώς να σταματήσετε και να αφαιρέσετε το HorrorDead Ransomware
Στο συνεχώς εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο, εμφανίστηκε ένα νέο πρόγραμμα ransomware με το όνομα HorrorDead, προσθέτοντας άλλο ένα επίπεδο πολυπλοκότητας στις προκλήσεις προστασίας δεδομένων. Το Ransomware, εκ του σχεδιασμού, κρυπτογραφεί αρχεία στο σύστημα του θύματος, κρατώντας τα όμηρα μέχρι να πληρωθούν λύτρα για την αποκρυπτογράφηση. Το HorrorDead ακολουθεί αυτό το διαβόητο βιβλίο, αλλά με μερικές μοναδικές ανατροπές.
Table of Contents
Πώς λειτουργεί το HorrorDead
Όταν μολύνει ένα σύστημα, το HorrorDead κρυπτογραφεί τα αρχεία και προσθέτει μια συγκεκριμένη επέκταση στα ονόματα των αρχείων τους: ".encrypted@HorrorDeadBot." Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" γίνεται "1.jpg.encrypted@HorrorDeadBot" και το "2.png" αλλάζει σε "2.png.encrypted@HorrorDeadBot". Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, το HorrorDead αλλάζει την ταπετσαρία της επιφάνειας εργασίας για να εμφανίσει ένα μήνυμα λύτρων στα ρωσικά.
Το Σημείωμα για τα Λύτρα
Σε αντίθεση με το τυπικό ransomware, το σημείωμα λύτρων του HorrorDead ισχυρίζεται ότι είναι φάρσα, παρά το γεγονός ότι κρυπτογραφεί αρχεία. Το μήνυμα προειδοποιεί ότι η διάδοση αυτού του κακόβουλου λογισμικού αποτελεί ποινικό αδίκημα σύμφωνα με τον ποινικό κώδικα της Ρωσικής Ομοσπονδίας. Αναφέρει ένα αρχείο κειμένου που πρέπει να περιέχει οδηγίες για τη λήψη ενός αποκρυπτογραφητή, αλλά αυτό το αρχείο δεν βρέθηκε κατά τις δοκιμές μας. Αν και η σημείωση επιμένει ότι ο αποκρυπτογραφητής είναι ασφαλής, δεν υπάρχει λόγος να εμπιστευόμαστε αυτές τις πληροφορίες. Σας συμβουλεύουμε ανεπιφύλακτα να μην κάνετε λήψη οποιωνδήποτε αρχείων προτείνονται από εγκληματίες του κυβερνοχώρου.
Το σημείωμα λύτρων HorrorDead έχει ως εξής στα ρωσικά:
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА,
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Здравствуйте! Если вы видите данное сообщение, или у вас появился текстовый файл, зто значит, что ваша система,
заражена вирусом HorrorDead Ransomware, а все ваши файлы зашнфрованы AES-256, ключом шифрования.
Для того, чтобы расшифровать ваши файлы, следуйте инструкции:
1. Перейдите в Telegram
2. Напишите, в поиске @HorrorDeadBot, или выйдите из Telegram, перейдите по ссылке hxxps://t.me./HorrorDeadBot
3. Нажмите на кнопку Старт (по английски, будет написано Start).
4. Нажмите на кнопку 'Получит дешифроватор'
5. Скачайте дешифратор (он точно без вирусов), если не вернте, закиньте данный дешифратор, на VirusTotal.
6. Расшифруйте свои файлы.
7. Готово
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Η πραγματικότητα της αποκρυπτογράφησης
Η εκτεταμένη εμπειρία μας με το ransomware αποκαλύπτει μια ζοφερή πραγματικότητα: η αποκρυπτογράφηση χωρίς τη βοήθεια των εισβολέων είναι γενικά αδύνατη. Ακόμη και αν ικανοποιηθούν οι απαιτήσεις για λύτρα, η ανάκτηση δεδομένων δεν είναι εγγυημένη. Οι εγκληματίες του κυβερνοχώρου συχνά αποτυγχάνουν να παρέχουν λειτουργικούς αποκρυπτογραφητές, ακόμη και μετά την πληρωμή. Η πληρωμή των λύτρων υποστηρίζει παράνομες δραστηριότητες και δεν διασφαλίζει την ανάκτηση δεδομένων.
Αφαίρεση και ανάκτηση
Για να αποφευχθεί περαιτέρω κρυπτογράφηση από το HorrorDead, πρέπει να αφαιρεθεί από το μολυσμένο σύστημα. Δυστυχώς, η κατάργηση του ransomware δεν θα επαναφέρει τα ήδη παραβιασμένα αρχεία. Η καλύτερη λύση είναι να ανακτήσετε αρχεία από ένα αντίγραφο ασφαλείας που δημιουργήθηκε πριν από τη μόλυνση. Η τακτική δημιουργία αντιγράφων ασφαλείας δεδομένων σε πολλαπλές, ξεχωριστές τοποθεσίες, όπως απομακρυσμένους διακομιστές και αποσυνδεδεμένες συσκευές αποθήκευσης, είναι ζωτικής σημασίας για την ασφάλεια των δεδομένων.
Πρόσφατα παραδείγματα ransomware όπως το Pomochit, το OceanSpy, το ZILLA και το LostInfo ακολουθούν ένα παρόμοιο μοτίβο: κρυπτογράφηση αρχείων και απαίτηση λύτρων για αποκρυπτογράφηση. Οι κύριες διαφορές μεταξύ αυτών των τύπων ransomware έγκεινται στους κρυπτογραφικούς αλγόριθμους που χρησιμοποιούν (συμμετρικοί ή ασύμμετροι) και στο απαιτούμενο ποσό λύτρων.
Μέθοδοι μόλυνσης
Το Ransomware συνήθως εξαπλώνεται μέσω phishing και τακτικών κοινωνικής μηχανικής, που συχνά μεταμφιέζονται ως συνηθισμένα αρχεία ή συνοδεύονται από νόμιμο λογισμικό. Οι φορείς μόλυνσης περιλαμβάνουν κακόβουλα συνημμένα ή συνδέσμους σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, παραπλανητικές λήψεις, trojan τύπου backdoor/loader και πλαστές ενημερώσεις λογισμικού. Ορισμένα κακόβουλα προγράμματα μπορούν ακόμη και να αυτοδιαδοθούν μέσω τοπικών δικτύων και αφαιρούμενων συσκευών αποθήκευσης.
Μέτρα Προστασίας
Για την προστασία από μολύνσεις ransomware, είναι απαραίτητη η επαγρύπνηση. Να είστε προσεκτικοί με τα εισερχόμενα email και μηνύματα, ειδικά αυτά με αμφίβολα συνημμένα ή συνδέσμους. Πάντα να κάνετε λήψη λογισμικού από επίσημες και αξιόπιστες πηγές και να αποφεύγετε τη χρήση παράνομων εργαλείων ενεργοποίησης ή ενημερώσεων τρίτων. Η ενημέρωση ενός αξιόπιστου προγράμματος προστασίας από ιούς και η εκτέλεση τακτικών σαρώσεων συστήματος μπορεί επίσης να βοηθήσει στον εντοπισμό και την αφαίρεση απειλών όπως το HorrorDead.
Εάν ο υπολογιστής σας έχει μολυνθεί από το HorrorDead, εκτελέστε μια σάρωση με ένα ενημερωμένο πρόγραμμα προστασίας από κακόβουλο λογισμικό για να εξαλείψετε αυτό το ransomware και να προστατέψετε το σύστημά σας από περαιτέρω βλάβη.
