Datah Ransomware yra Makop klonas

Analizuodami naujus kenkėjiškų programų pavyzdžius, aptikome išpirkos reikalaujančios programos variantą, susijusį su Makop šeima, žinomu kaip Datah. Ši išpirkos reikalaujanti programa užšifruoja failus ir generuoja išpirkos raštelį pavadinimu „+README-WARNING+.txt“, kuriame yra kontaktinė informacija ir instrukcijos. Be to, Datah keičia failų pavadinimus.

„Datah“ keičia failų pavadinimus pridėdama aukos ID, datahelper@onionmail.org el. pašto adresą ir plėtinį „.datah“. Pavyzdžiui, „1.jpg“ pakeičiama į „1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah“, o „2.png“ į „2.png.[2AF20FA3].[datahelper@ onionmail.org].datah“ ir pan.

Išpirkos raštelyje aukai pranešama apie jų failų šifravimą, tačiau užtikrinama, kad failo struktūra išliks nepakitusi. Jame pabrėžiama, kad susigrąžinimas įmanomas tik sumokėjus išpirką už šifravimą atsakingiems grėsmės veikėjams. Kibernetiniai nusikaltėliai demonstruoja savo iššifravimo galimybes, leisdami aukai kaip testą iššifruoti du nedidelius failus.

Kontaktiniai duomenys pateikiami el. pašto adresu (datahelper@onionmail.org) ir TOX ID. Pastaba baigiama griežtu įspėjimu nebandyti keisti užšifruotų failų atskirai, įspėjant, kad dėl bet kokių pakeitimų gali būti prarasti duomenys ir visam laikui prarastas privatus iššifravimo raktas, o aukai gali likti neatkuriami duomenys.

„Datah“ gamina ilgas išpirkos pastabas

Visas Datah sugeneruotas ilgos išpirkos rašto tekstas skamba taip:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Kokie yra geriausi būdai apsaugoti savo duomenis nuo Ransomware atakų?

Duomenų apsauga nuo išpirkos reikalaujančių programų atakų yra labai svarbi norint apsaugoti asmeninę ir verslo informaciją. Štai keletas geriausių praktikų, padedančių sumažinti išpirkos reikalaujančių programų riziką:

Įprastos atsarginės kopijos: reguliariai kurkite svarbių duomenų atsargines kopijas neprisijungus arba debesyje pagrįstoje saugykloje. Tai užtikrina, kad net jei jūsų failai yra užšifruoti naudojant išpirkos reikalaujančią programinę įrangą, galite atkurti juos iš atsarginės kopijos nemokėdami išpirkos.

Atnaujinkite programinę įrangą: atnaujinkite operacinę sistemą, antivirusinę programinę įrangą ir visas programas naudodami naujausius saugos pataisymus ir naujinimus. Išpirkos reikalaujantys užpuolikai gali išnaudoti pasenusios programinės įrangos spragas.

Mokykite darbuotojus: suteikite darbuotojams išsamius kibernetinio saugumo informuotumo mokymus, kad jie atpažintų sukčiavimo el. laiškus, kenkėjiškas nuorodas ir kitus galimus išpirkos programų atakų vektorius. Skatinkite skepticizmo kultūrą nepageidaujamų el. laiškų ir priedų atžvilgiu.

Naudokite antivirusinę ir kenkėjiškų programų programinę įrangą: visuose įrenginiuose įdiekite patikimą antivirusinę ir kenkėjiškų programų programinę įrangą ir užtikrinkite, kad jos būtų reguliariai atnaujinamos. Šie įrankiai gali padėti aptikti išpirkos reikalaujančias programas ir jų išvengti.

Įdiekite tinklo saugos priemones: naudokite ugniasienes, įsilaužimo aptikimo sistemas ir kitas tinklo saugos priemones, kad stebėtumėte ir apsaugotumėte nuo neteisėtos prieigos ir kenkėjiškos veiklos tinkle.

Apriboti vartotojo teises: apribokite vartotojo teises, tik tuos, kurių reikia jų pareigoms atlikti. Tai gali padėti išvengti išpirkos reikalaujančios programinės įrangos išplitimo į šoną jūsų tinkle, jei vieno vartotojo sistema būtų pažeista.

Įgalinti el. pašto filtravimą: įdiekite el. pašto filtravimo sprendimus, kad užblokuotumėte sukčiavimo el. laiškus ir kenkėjiškus priedus, kol jie pasiekia vartotojų gautuosius. Tai gali žymiai sumažinti išpirkos reikalaujančių programų užkrėtimo el. paštu tikimybę.

Išjungti nuotolinio darbalaukio protokolą (RDP): jei verslo operacijoms nereikia, apsvarstykite galimybę išjungti KPP arba įdiegti papildomas saugos priemones, pvz., kelių veiksnių autentifikavimą, kad išvengtumėte neteisėtos prieigos per KPP.