A HorrorDead Ransomware leállítása és eltávolítása
A kiberfenyegetések folyamatosan fejlődő világában megjelent egy új, HorrorDead nevű zsarolóprogram, amely újabb összetettséget ad az adatvédelmi kihívásoknak. A zsarolóprogramok a tervek szerint titkosítják az áldozat rendszerén lévő fájlokat, és túszként tartják őket, amíg váltságdíjat nem fizetnek a visszafejtésért. A HorrorDead ezt a hírhedt játékkönyvet követi, de néhány egyedi fordulattal.
Table of Contents
Hogyan működik a HorrorDead
A rendszer megfertőzésekor a HorrorDead titkosítja a fájlokat, és egy adott kiterjesztést fűz a fájlnevükhöz: ".encrypted@HorrorDeadBot". Például egy "1.jpg" nevű fájl "1.jpg.encrypted@HorrorDeadBot" lesz, a "2.png" pedig "2.png.encrypted@HorrorDeadBot" lesz. A titkosítási folyamat befejezése után a HorrorDead megváltoztatja az asztal háttérképét, hogy a váltságdíj üzenetét oroszul jelenítse meg.
A Váltságdíj-jegyzet
A tipikus ransomware-től eltérően a HorrorDead váltságdíj-jegyzete azt állítja, hogy ez egy tréfa, annak ellenére, hogy valójában titkosítja a fájlokat. Az üzenet arra figyelmeztet, hogy a kártevő terjesztése az Orosz Föderáció büntető törvénykönyve szerint bűncselekmény. Megemlít egy szöveges fájlt, amelynek tartalmaznia kell egy visszafejtő letöltésére vonatkozó utasításokat, de ezt a fájlt nem találtuk a tesztek során. Bár a feljegyzés ragaszkodik ahhoz, hogy a visszafejtő biztonságos, nincs okunk megbízni ebben az információban. Határozottan nem javasoljuk a számítógépes bűnözők által javasolt fájlok letöltését.
A HorrorDead váltságdíj-jegyzete a következőképpen szól oroszul:
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА,
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Здравствуйте! Если вы видите данное сообщение, или у вас появился текстовый файл, зто значит, что ваша система,
заражена вирусом HorrorDead Ransomware, а все ваши файлы зашнфрованы AES-256, ключом шифрования.
Для того, чтобы расшифровать ваши файлы, следуйте инструкции:
1. Перейдите в Telegram
2. Напишите, в поиске @HorrorDeadBot, или выйдите из Telegram, перейдите по ссылке hxxps://t.me./HorrorDeadBot
3. Нажмите на кнопку Старт (по английски, будет написано Start).
4. Нажмите на кнопку 'Получит дешифроватор'
5. Скачайте дешифратор (он точно без вирусов), если не вернте, закиньте данный дешифратор, на VirusTotal.
6. Расшифруйте свои файлы.
7. Готово
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
A visszafejtés valósága
A zsarolóprogramokkal kapcsolatos kiterjedt tapasztalatunk egy komor valóságot tár fel: a visszafejtés a támadók segítsége nélkül általában lehetetlen. Még ha a váltságdíjigényt teljesítik is, az adatok helyreállítása nem garantált. A kiberbűnözők gyakran még fizetés után sem tudnak működőképes visszafejtőt biztosítani. A váltságdíj kifizetése támogatja az illegális tevékenységeket, és nem biztosítja az adatok helyreállítását.
Eltávolítás és helyreállítás
A HorrorDead további titkosításának megakadályozása érdekében el kell távolítani a fertőzött rendszerből. Sajnos a ransomware eltávolítása nem állítja vissza a már feltört fájlokat. A legjobb megoldás a fájlok helyreállítása a fertőzés előtt készített biztonsági másolatból. Az adatok rendszeres biztonsági mentése több, különálló helyre, például távoli szerverekre és leválasztott tárolóeszközökre, kulcsfontosságú az adatbiztonság szempontjából.
A legutóbbi zsarolóprogramok, például a Pomochit, az OceanSpy, a ZILLA és a LostInfo hasonló mintát követnek: titkosítják a fájlokat, és váltságdíjat követelnek a visszafejtésért. A fő különbségek ezen ransomware típusok között az általuk használt (szimmetrikus vagy aszimmetrikus) kriptográfiai algoritmusokban és a követelt váltságdíj összegében rejlenek.
Fertőzési módszerek
A zsarolóvírusok általában adathalász és szociális manipulációs taktikák révén terjednek, gyakran közönséges fájloknak álcázva vagy legális szoftverekkel együtt. A fertőzést okozó vektorok közé tartoznak a rosszindulatú mellékletek vagy linkek a spam e-mailekben, a megtévesztő letöltések, a backdoor/loader típusú trójai programok és a hamis szoftverfrissítések. Egyes rosszindulatú programok akár önmagukban is terjedhetnek a helyi hálózatokon és cserélhető tárolóeszközökön keresztül.
Védelmi intézkedések
A ransomware fertőzések elleni védelem érdekében elengedhetetlen az éberség. Legyen óvatos a bejövő e-mailekkel és üzenetekkel, különösen azokkal, amelyek kétes mellékleteket vagy hivatkozásokat tartalmaznak. Mindig hivatalos és megbízható forrásból töltsön le szoftvert, és kerülje az illegális aktiválási eszközök vagy harmadik féltől származó frissítések használatát. Egy megbízható víruskereső program frissítése és a rendszeres rendszerellenőrzés szintén segíthet az olyan fenyegetések észlelésében és eltávolításában, mint a HorrorDead.
Ha számítógépét megfertőzte a HorrorDead, futtasson egy vizsgálatot egy frissített kártevőirtó programmal, hogy megszüntesse ezt a zsarolóprogramot, és megvédje a rendszert a további károktól.
