Το SWIFT Ransomware κλειδώνει μολυσμένα συστήματα

Κατά την ανάλυση νέων δειγμάτων κακόβουλου λογισμικού, εντοπίσαμε μια παραλλαγή ransomware που σχετίζεται με την οικογένεια Proton, που ονομάζεται SWIFT. Όταν διεισδύσει σε έναν υπολογιστή, το SWIFT κρυπτογραφεί και αλλάζει τα ονόματα των αρχείων, αλλάζει το φόντο της επιφάνειας εργασίας και δημιουργεί μια σημείωση λύτρων με τίτλο "#SWIFT-Help.txt".

Για να τροποποιήσετε τα ονόματα αρχείων, το SWIFT προσαρτά τη διεύθυνση email swift_1@tutamail.com και προσθέτει την επέκταση ".SWIFT". Για παράδειγμα, μετατρέπει το "1.jpg" σε "1.jpg.[swift_1@tutamail.com].SWIFT" και το "2.png" γίνεται "2.png.[swift_1@tutamail.com].SWIFT." και ούτω καθεξής.

Το σημείωμα λύτρων ξεκινά με μια περιγραφή της κατάστασης, υποστηρίζοντας ότι οι επιτιθέμενοι έχουν χρησιμοποιήσει αλγόριθμους AES και ECC για την κρυπτογράφηση και την κατάσχεση όλων των αρχείων του θύματος, καθιστώντας αδύνατη την ανάκτηση αρχείων χωρίς την υπηρεσία αποκρυπτογράφησης.

Στη συνέχεια, το σημείωμα περιγράφει τα βήματα ανάκτησης, δίνοντας έμφαση στα οικονομικά κίνητρα των εγκληματιών του κυβερνοχώρου και προτείνοντας την ανταλλαγή πληρωμής για λογισμικό αποκρυπτογράφησης και καταστροφή δεδομένων. Για να δείξουν τις δυνατότητές τους, η ομάδα συνιστά την αποστολή ενός ασήμαντου αρχείου κάτω από 1 MB για αποκρυπτογράφηση ως απόδειξη της δέσμευσής τους να εκπληρώσουν τις υποσχέσεις τους.

Παρέχονται στοιχεία επικοινωνίας, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου (swift_1@tutamail.com) και το αναγνωριστικό Telegram (@swift_support), με μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου (swift@onionmail.com) που προτείνεται εάν δεν υπάρξει απάντηση εντός 24 ωρών. Το θύμα λαμβάνει οδηγίες να συμπεριλάβει την προσωπική του ταυτότητα στο θέμα του email.

Συμπερασματικά, το σημείωμα συμβουλεύει να μην αναζητήσετε βοήθεια από εταιρείες ανάκτησης, προειδοποιώντας για πιθανή εκμετάλλευση από μεσάζοντες για κέρδος. Επιπλέον, το θύμα προειδοποιείται να μην καθυστερήσει την πληρωμή και να απόσχει από τη διαγραφή ή την τροποποίηση κρυπτογραφημένων αρχείων για την αποφυγή επιπλοκών με τη διαδικασία αποκρυπτογράφησης.

Πλήρης σημείωση SWIFT Ransom

Το πλήρες κείμενο του σημειώματος λύτρων SWIFT έχει ως εξής:

SWIFT
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

Τι εγγυήσεις;
Μπορείτε να μας στείλετε ένα ασήμαντο αρχείο μικρότερο από 1 MG, το αποκρυπτογραφούμε ως εγγύηση.
Εάν δεν σας στείλουμε το λογισμικό αποκρυπτογράφησης ή δεν διαγράψουμε κλεμμένα δεδομένα, κανείς δεν θα μας πληρώσει στο μέλλον, επομένως θα τηρήσουμε την υπόσχεσή μας.

Πώς να επικοινωνήσετε μαζί μας;
Η διεύθυνση ηλεκτρονικού ταχυδρομείου μας: swift_1@tutamail.com
Το αναγνωριστικό μας στο Telegram: @swift_support
Σε περίπτωση μη απάντησης εντός 24 ωρών, επικοινωνήστε με αυτό το email: swift@onionmail.com
Γράψτε την προσωπική σας ταυτότητα στο θέμα του email.

Η προσωπική σας ταυτότητα: -

Προειδοποιήσεις!

Μην πηγαίνετε σε εταιρείες ανάκτησης, είναι απλώς μεσάζοντες που θα βγάλουν χρήματα από εσάς και θα σας εξαπατήσουν.
Διαπραγματεύονται κρυφά μαζί μας, αγοράζουν λογισμικό αποκρυπτογράφησης και θα σας το πουλήσουν πολλές φορές πιο ακριβά ή απλά θα σας εξαπατήσουν.

Μη διστάσετε για πολύ. Όσο πιο γρήγορα πληρώνετε, τόσο χαμηλότερη είναι η τιμή.

Μην διαγράφετε ή τροποποιείτε κρυπτογραφημένα αρχεία, θα οδηγήσει σε προβλήματα με την αποκρυπτογράφηση των αρχείων.

Πώς μπορείτε να προστατέψετε τα δεδομένα σας από Ransomware;

Η προστασία των δεδομένων σας από ransomware απαιτεί μια προληπτική και πολυεπίπεδη προσέγγιση. Ακολουθούν ορισμένα βασικά βήματα που μπορείτε να ακολουθήσετε για να προστατεύσετε τα δεδομένα σας από επιθέσεις ransomware:

Δημιουργία αντιγράφων ασφαλείας τακτικά:
Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας και βεβαιωθείτε ότι τα αντίγραφα ασφαλείας αποθηκεύονται εκτός σύνδεσης ή σε ξεχωριστή, ασφαλή τοποθεσία. Αυτό μπορεί να σας βοηθήσει να επαναφέρετε τα αρχεία σας εάν είναι κρυπτογραφημένα από ransomware.

Χρησιμοποιήστε αξιόπιστο λογισμικό ασφαλείας:
Εγκαταστήστε και ενημερώνετε τακτικά αξιόπιστο λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό. Αυτό το λογισμικό μπορεί να εντοπίσει και να αποκλείσει γνωστές απειλές ransomware.

Διατήρηση ενημερωμένου λογισμικού:
Ενημερώνετε τακτικά το λειτουργικό σας σύστημα, το λογισμικό και τις εφαρμογές σας. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν ενημερώσεις κώδικα ασφαλείας που μπορούν να βοηθήσουν στην προστασία από ευπάθειες που εκμεταλλεύονται ransomware.

Εκπαίδευση και εκπαίδευση εργαζομένων:
Εκπαιδεύστε τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφάλειας, συμπεριλαμβανομένου του τρόπου αναγνώρισης email ηλεκτρονικού ψαρέματος και ύποπτων συνδέσμων. Το ανθρώπινο σφάλμα είναι ένα κοινό σημείο εισόδου για επιθέσεις ransomware.

Χρησιμοποιήστε μέτρα ασφαλείας ηλεκτρονικού ταχυδρομείου:
Εφαρμόστε λύσεις φιλτραρίσματος email για να αποκλείσετε μηνύματα ηλεκτρονικού ψαρέματος και κακόβουλα συνημμένα. Να είστε προσεκτικοί όταν κάνετε κλικ σε συνδέσμους ή κάνετε λήψη συνημμένων από άγνωστες ή μη αναμενόμενες πηγές.

Περιορισμός δικαιωμάτων χρήστη:
Περιορίστε την πρόσβαση των χρηστών στο ελάχιστο επίπεδο που είναι απαραίτητο για τις λειτουργίες της εργασίας τους. Αυτό μπορεί να βοηθήσει στον περιορισμό του αντίκτυπου μιας επίθεσης ransomware μειώνοντας τον αριθμό των αρχείων που είναι προσβάσιμα σε πιθανές απειλές.

Τμηματοποίηση δικτύου:
Τμηματοποιήστε το δίκτυό σας για να απομονώσετε κρίσιμα συστήματα και ευαίσθητα δεδομένα. Αυτό μπορεί να αποτρέψει την ταχεία εξάπλωση του ransomware σε ολόκληρο το δίκτυό σας.