Το Secles Ransomware χρησιμοποιεί μεγάλη σημείωση λύτρων
Το Secles, μια μορφή κακόβουλου λογισμικού που έχει σχεδιαστεί για την κρυπτογράφηση δεδομένων, εντοπίστηκε από την ερευνητική μας ομάδα κατά τη διάρκεια μιας συνήθους εξέτασης νέων δειγμάτων αρχείων. Τα κακόβουλα προγράμματα που κρυπτογραφούν αρχεία και απαιτούν λύτρα για αποκρυπτογράφηση κατηγοριοποιούνται ως ransomware.
Κατά την εκτέλεση ενός δείγματος Secles στο σύστημα δοκιμών μας, προχώρησε στην κρυπτογράφηση αρχείων, αλλάζοντας τα ονόματά τους προσθέτοντας ένα μοναδικό αναγνωριστικό που έχει εκχωρηθεί στο θύμα, το όνομα χρήστη Telegram των εγκληματιών στον κυβερνοχώρο και μια επέκταση ".secles". Για παράδειγμα, ένα αρχείο με την αρχική επισήμανση "1.jpg" μετατράπηκε σε "1.jpg.id[DYz8jzMo].[t.me_secles1bot].secles."
Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το ransomware Secles δημιούργησε ένα μήνυμα λύτρων με τίτλο "ReadMe.txt". Αυτό το σημείωμα προτρέπει το θύμα να επικοινωνήσει με τους εισβολείς για να ξεκινήσει τη διαδικασία επαναφοράς (αποκρυπτογράφησης) των δεδομένων τους. Σε περίπτωση που τα παρεχόμενα στοιχεία επικοινωνίας καταστούν παρωχημένα, το θύμα λαμβάνει οδηγίες να εξερευνήσει μια εναλλακτική μέθοδο επικοινωνίας μέσω του παρεχόμενου ιστότοπου του δικτύου Tor.
Η αποκρυπτογράφηση των αρχείων εξαρτάται από τη συμμόρφωση με τις απαιτήσεις για λύτρα, αλλά προτού πραγματοποιήσει οποιεσδήποτε πληρωμές, δίνεται στο θύμα η επιλογή να δοκιμάσει τη διαδικασία ανάκτησης σε δύο κρυπτογραφημένα αρχεία. Το μήνυμα προειδοποιεί για την τροποποίηση ή τη διαγραφή των επηρεαζόμενων δεδομένων, καθώς τέτοιες ενέργειες μπορεί να διαταράξουν τη διαδικασία αποκρυπτογράφησης ή να την καταστήσουν ανέφικτη.
Το Secles Ransom Note παρέχει σύνδεσμο κρεμμυδιού
Το πλήρες κείμενο του εκτενούς σημειώματος για τα λύτρα του Secles έχει ως εξής:
to recover your data install telgram messanger at @seclesbot ( hxxps://t.me/secleslbot ) you will talk with support using the bot , admin will be monitoring if for any reason bot is not avaiable you can find link and id of new bot at our onion site 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion you will need to install for browser for onion sites ( hxxps://www.torproject.org/download/ ) you dont need to install for if our telegram bot is working, the bot gets banned once a while
you id is : -
you will get two sample decryption (decoding) before any payment for free this is strong ransomware, any day you waste without paying is one business day you waste our price is reasonable,the wasted days will cost you more
some notes:
1-although illegal and bad but this is business,you are our client after infection and we will treat you respectfully like a client2-Μην διαγράφετε αρχεία στο c:\secles, εάν θέλετε να εγκαταστήσετε ξανά τα windows πάρτε ένα αντίγραφο ασφαλείας του φακέλου (μην χάνετε χρόνο προσπαθώντας να βγάλετε οτιδήποτε από αυτά, είναι κρυπτογραφημένα χωρίς δημόσιο κλειδί και δεν μπορούν να διαβαστούν χωρίς το ιδιωτικό μας κλειδιά)
3-μην παίζετε με κρυπτογραφημένο αρχείο, πάρτε ένα αντίγραφο ασφαλείας εάν θέλετε να χάσετε λίγο χρόνο παίζοντας μαζί τους
4-αν πάρετε έναν μεσάζοντα, συναλλαγείτε απευθείας μαζί μας, πάρτε έναν με καλή φήμη, παρέχουμε πάντα αποκρυπτογράφηση μετά την πληρωμή και ζητάμε μόνο μία πληρωμή, εάν πάρετε έναν τυχαίο μεσάζοντα από το διαδίκτυο μπορεί να σας πάρει χρήματα και να μην πληρώσει ως και εξαφανίζονται ή σου λένε ψέματα
5-Η αστυνομία δεν μπορεί να σε βοηθήσει, είμαστε έμπειροι χάκερ και δεν αφήνουμε ίχνη πίσω μας, ακόμα κι αν το κάναμε, η αστυνομία δεν θα ρισκάρει με κατορθώματα εκατομμυρίων δολαρίων μηδενικής ημέρας για να μας συλλάβει, αντίθετα αυτό για το οποίο σιγουρεύονται είναι ότι ποτέ δεν πληρώστε μας και θα υποστείτε απώλεια των δεδομένων σας
6-αν ορισμένα από τα αρχεία σας δεν έχουν την επέκταση μας αλλά δεν ανοίγουν, είναι κρυπτογραφημένα όλα τα άλλα αρχεία και θα αποκρυπτογραφηθούν κανονικά, απλώς δεν έχουν μετονομαστεί για να λάβουν την επέκτασή μας
Ποια προληπτικά μέτρα μπορείτε να λάβετε για να προστατευτείτε από το Ransomware;
Για να ενισχύσετε την άμυνά σας έναντι επιθέσεων ransomware, σκεφτείτε να εφαρμόσετε τα ακόλουθα προληπτικά μέτρα:
Τακτικά αντίγραφα ασφαλείας δεδομένων:
Δημιουργήστε τακτικά αντίγραφα ασφαλείας των κρίσιμων δεδομένων σας και βεβαιωθείτε ότι αποθηκεύονται με ασφάλεια.
Χρησιμοποιήστε λύσεις δημιουργίας αντιγράφων ασφαλείας εντός και εκτός τοποθεσίας για να αποτρέψετε την απώλεια δεδομένων σε περίπτωση επίθεσης ransomware.
Ενημέρωση λογισμικού και συστημάτων:
Διατηρήστε το λειτουργικό σας σύστημα, το λογισμικό προστασίας από ιούς και όλες τις εφαρμογές ενημερωμένα για να επιδιορθώσετε ευπάθειες.
Ενεργοποιήστε τις αυτόματες ενημερώσεις όποτε είναι δυνατόν για να παραμείνετε προστατευμένοι από γνωστά ελαττώματα ασφαλείας.
Εκπαίδευση ευαισθητοποίησης για την ασφάλεια:
Εκπαιδεύστε τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, δίνοντας έμφαση στη σημασία του να μην κάνετε κλικ σε ύποπτους συνδέσμους ή να κάνετε λήψη συνημμένων από άγνωστες πηγές.
Ασφάλεια email:
Χρησιμοποιήστε συστήματα φιλτραρίσματος email για να εντοπίσετε και να αποκλείσετε απόπειρες phishing και κακόβουλα συνημμένα.
Ενθαρρύνετε τους υπαλλήλους να είναι προσεκτικοί με τις επικοινωνίες μέσω email, ειδικά αυτές που ζητούν ευαίσθητες πληροφορίες ή περιέχουν απροσδόκητους συνδέσμους.
Τμηματοποίηση δικτύου:
Εφαρμόστε τμηματοποίηση δικτύου για να περιορίσετε την πλευρική κίνηση του ransomware στο δίκτυό σας.
Απομονώστε κρίσιμα συστήματα και ευαίσθητα δεδομένα από λιγότερο ασφαλείς περιοχές του δικτύου σας.
Λευκή λίστα εφαρμογών:
Χρησιμοποιήστε τη λίστα επιτρεπόμενων εφαρμογών για να επιτρέψετε την εκτέλεση μόνο εγκεκριμένων προγραμμάτων στα συστήματά σας, αποτρέποντας την εκτέλεση μη εξουσιοδοτημένου και δυνητικά κακόβουλου λογισμικού.