Mi az a ChocVM Ransomware?
A közelmúltban megjelent egy új ransomware-változat, a ChocVM, amely a Makop családhoz kapcsolódik. Ez a rosszindulatú szoftver titkosítja a fájlokat, megváltoztatja az asztali háttérképeket, módosítja a fájlneveket, és jellegzetes váltságdíjat hagy maga után egy „+README-WARNING+.txt” nevű fájlban.
Table of Contents
Fájlok titkosítása és átnevezése
A ChocVM egyedi megközelítést alkalmaz a fájlok átnevezéséhez, véletlenszerű karakterláncok hozzáadásával, a „xakep@dark-forum.ru” e-mail címmel és a „.chocolate” fájlkiterjesztéssel. Például egy olyan fájl, mint az „1.jpg”, „1.jpg[2AF20FA3].[xakep@dark-forum.ru].chocolate”-vé alakul át.
A ChocVM Ransom Note áttekintése
A ChocVM által hagyott váltságdíj feljegyzés világossá teszi, hogy az áldozat fájljait a fájlszerkezet megváltoztatása nélkül titkosították. Az áldozatoknak váltságdíjat kell fizetniük, hogy visszaszerezzenek hozzáférést az aktáikhoz. A támadó hangsúlyozza, hogy ez egy üzleti tranzakció, amely nem mutatja aggodalmat az áldozat érdekei iránt. Különleges ajánlatot tesznek két kis, egyszerű kiterjesztésű fájl ingyenes visszafejtésére, elérhetőségi adatok megadásával a következő e-mail címeken: xakep@dark-forum.ru vagy hackr@dark-forum.ru.
A váltságdíj-levél a következőképpen hangzik:
::: Greetings ChocVM :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailboxes: xakep@dark-forum.ru or hackr@dark-forum.ru.5.
K: Hogyan folytatódik a visszafejtési folyamat a fizetés után?
V: Fizetés után elküldjük Önnek szkenner-dekódoló programunkat és részletes használati utasítást. Ezzel a programmal képes lesz az összes titkosított fájl visszafejtésére..6.
K: Ha nem akarok fizetni olyan rossz embereknek, mint te?
V: Ha nem kíván együttműködni szolgáltatásunkkal – számunkra ez nem számít. De elveszíti az idejét és az adatait, mert csak nekünk van a privát kulcsunk. A gyakorlatban - az idő sokkal értékesebb, mint a pénz.:::ÓVAKODIK:::
NE próbálja meg egyedül megváltoztatni a titkosított fájlokat!
Ha bármilyen harmadik féltől származó szoftvert próbál használni adatai visszaállítására vagy vírusirtó megoldásokra – kérjük, készítsen biztonsági másolatot minden titkosított fájlról!
A titkosított fájlok bármilyen változtatása a privát kulcs károsodását és ennek eredményeként az összes adat elvesztését vonhatja maga után.
Részletek a váltságdíj fizetéséről
Fizetéskor a támadó vállalja, hogy visszafejtő programot szállít a fájl visszafejtésére vonatkozó részletes utasításokkal együtt. A megjegyzés kifejezetten figyelmeztet a független fájl-visszaállítás megkísérlésére, azt állítva, hogy minden ilyen művelet károsíthatja a privát kulcsot, és visszafordíthatatlan adatvesztéshez vezethet.
Betekintés a zsarolóvírus-fenyegetésekbe: áttekintés
Amikor az egyének ransomware támadások áldozataivá válnak, arra kényszerítik őket, hogy fizessenek kiberbűnözőknek a visszafejtő eszközökért. Általában az alternatívák közé tartozik az ingyenes visszafejtő eszközök online keresése vagy az adatmentések használata. A váltságdíjak kifizetése azonban erősen ellenjavallt, mivel bizonytalanok a kiberbűnözők megbízhatósága a megígért visszafejtő eszközök szállításában.
Azonnali fellépés Ransomware ellen
A zsarolóvírusok gyors eltávolítása a feltört eszközökről kulcsfontosságú, mivel a rosszindulatú programok további titkosításokat kezdeményezhetnek, és a helyi hálózatokon keresztül terjedhetnek, ami az összekapcsolt számítógépeken lévő fájlok titkosításához vezet.
Ransomware táj
A zsarolóvírus-támadások szállítási módjukban és célpontjaiban eltérőek lehetnek, de továbbra is fennáll az állandó fizetési követelés az adatok visszafejtése, a fájlok átnevezése és a váltságdíj felmutatása ellenében. Más ransomware-változatok például a BO Team, a Cdmx és a Tprc.
A Ransomware fertőzések megértése: okok és megelőzés
Fertőzési módszerek
A zsarolóvírusok gyakran rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó megtévesztő e-maileken keresztül hatolnak be a rendszerekbe. Az óvatlan felhasználók véletlenül letöltést és végrehajtást kezdeményezhetnek, ha ezekre a hivatkozásokra kattintanak vagy a mellékleteket megnyitják. A trójaiak egy másik eszköz, amelyet rosszindulatú rakományok szállítására használnak, beleértve a zsarolóprogramokat is. A fenyegető szereplők olyan csatornákat is kihasználnak, mint a P2P hálózatok, rosszindulatú hirdetések, szoftversebezhetőségek, kalózszoftverek stb.
Védelmi intézkedések
A ransomware fertőzések elleni védelem érdekében a felhasználóknak azt tanácsoljuk, hogy telepítsenek rendszeres frissítéseket az operációs rendszerhez és a telepített alkalmazásokhoz. A jó hírű vírusirtó vagy kártevőirtó szoftver alkalmazása, az ismeretlen forrásból származó e-mailek körültekintése, a kockázatos webhelyek elkerülése, valamint a fájlok nem megbízható forrásból történő letöltése nélkülözhetetlen megelőző intézkedések.
A ChocVM fertőzés kezelése
Ha a számítógép már meg van fertőzve ChocVM-mel, ajánlott egy kártevő-elhárító programot használni a ransomware fenyegetés automatikus eltávolításához.