Deep Ransomware užblokuos jūsų sistemą

Peržiūrėdami neseniai pateiktus failus, mūsų tyrėjai susidūrė su išpirkos reikalaujančia programa, žinoma kaip Deep, kuri priklauso Phobos išpirkos reikalaujančių programų šeimai. Deep (Phobos) veikia šifruodama duomenis ir reikalaudama mokėjimo mainais už iššifravimo raktą.

Mūsų bandomojoje sistemoje ši išpirkos reikalaujanti programa užšifravo failus ir pakeitė jų pavadinimus. Pradiniai failų pavadinimai buvo papildyti unikaliu aukai priskirtu identifikatoriumi, kibernetinių nusikaltėlių el. pašto adresu ir plėtiniu „.deep“. Pavyzdžiui, failas iš pradžių pavadintas „1.jpg“ būtų rodomas kaip „1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep“.

Kai šifravimo procesas buvo baigtas, buvo sukurti išpirkos užrašai ir rodomi iššokančiame lange „info.hta“ ir tekstiniame faile pavadinimu „info.txt“.

Tekstiniame faile, susijusiame su „Deep“ („Phobos“) išpirkos programa, teigiama, kad aukos failai buvo užšifruoti, ir raginama susisiekti su užpuolikais dėl pagalbos iššifruojant.

Iššokančiame lange pateikiama papildomos informacijos apie išpirkos reikalaujančią infekciją, paaiškinant, kad duomenis atkurti galima tik sumokėjus išpirką Bitcoin kriptovaliuta. Prieš atlikdamas mokėjimą, auka turi galimybę išbandyti iššifravimo procesą, nusiųsdama kibernetiniams nusikaltėliams iki trijų užšifruotų failų pagal tam tikras specifikacijas.

Pastaba baigiama įspėjimais nepervardyti šifruotų failų arba nebandyti naudoti trečiosios šalies atkūrimo programinės įrangos, nes tai gali sukelti nuolatinį duomenų praradimą. Be to, pagalbos kreipimasis į trečiąsias šalis gali padidinti finansinius nuostolius.

Deep Ransomware Note naudoja Phobos šabloną

Visas „Deep ransomware“ sugeneruotas išpirkos rašto tekstas skamba taip:

Visi jūsų failai buvo užšifruoti!

Visi failai buvo užšifruoti dėl kompiuterio saugumo problemos. Jei norite juos atkurti, rašykite mums el.paštu captain-america@tuta.io
Įrašykite šį ID savo pranešimo pavadinime -
Jei negaunate atsakymo per 24 valandas, susisiekite su mumis naudodami Telegram.org paskyrą: @HostUppp
Turite mokėti už iššifravimą Bitcoinais. Kaina priklauso nuo to, kaip greitai mums rašysite. Po apmokėjimo atsiųsime įrankį, kuris iššifruos visus failus.

Nemokamas iššifravimas kaip garantija
Prieš mokėdami galite atsiųsti mums iki 3 failų nemokamai iššifruoti. Bendras failų dydis turi būti mažesnis nei 4 Mb (nearchyvuoti), o failuose neturi būti vertingos informacijos. (duomenų bazės, atsarginės kopijos, dideli „Excel“ lapai ir kt.)

Kaip gauti Bitcoins
Lengviausias būdas nusipirkti bitkoinų yra „LocalBitcoins“ svetainė. Turite užsiregistruoti, paspausti „Pirkti bitkoinus“ ir pasirinkti pardavėją pagal mokėjimo būdą ir kainą.
hxxps://localbitcoins.com/buy_bitcoins
Čia taip pat galite rasti kitų vietų, kur galite nusipirkti Bitcoins, ir pradedančiųjų vadovą:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dėmesio!
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Jūsų failų iššifravimas su trečiųjų šalių pagalba gali padidinti kainą (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.

Kaip „Ransomware“ kaip „Deep“ gali patekti į jūsų sistemą?

Išpirkos reikalaujančios programos, tokios kaip „Deep“, gali įsiskverbti į jūsų sistemą įvairiomis priemonėmis, dažnai išnaudodamos pažeidžiamumą arba naudodamos socialinės inžinerijos taktiką. Štai keletas bendrų būdų, kaip išpirkos reikalaujančios programos gali patekti į jūsų sistemą:

• Sukčiavimo el. laiškai: kibernetiniai nusikaltėliai siunčia įtikinamus, bet kenkėjiškus el. laiškus, kurie atrodo iš patikimų šaltinių. Šiuose el. laiškuose gali būti priedų arba nuorodų, kurias atidarius jūsų sistemoje paleidžiamas išpirkos reikalaujančios programos kodas.
• Kenkėjiškos svetainės: apsilankymas pažeistose ar kenkėjiškose svetainėse gali suaktyvinti atsisiuntimus, kai išpirkos reikalaujančios programos automatiškai atsisiunčiamos ir paleidžiamos jūsų sistemoje be jūsų žinios.
• Užkrėsta programinė įranga arba failai: atsisiunčiant programinę įrangą ar failus iš nepatikimų šaltinių, ypač piratinės ar nulaužtos programinės įrangos, padidėja išpirkos reikalaujančių programų užsikrėtimo rizika. Šiuose failuose gali būti paslėptų kenkėjiškų programų.
• Pažeidžiamumų išnaudojimas: Ransomware gali pasinaudoti jūsų operacinės sistemos ar programų programinės įrangos spragomis. Jei neatnaujinsite programinės įrangos ir nepritaikysite saugos pataisų, jūsų sistema tampa jautri tokioms atakoms.
• Nuotolinio darbalaukio protokolo (RDP) atakos: jei įjungėte RDP ir naudojate silpnus arba lengvai atspėjamus slaptažodžius, užpuolikai gali nuotoliniu būdu pasiekti jūsų sistemą ir įdiegti išpirkos reikalaujančias programas.
• Piktnaudžiavimas: kibernetiniai nusikaltėliai gali patalpinti kenkėjišką reklamą teisėtose svetainėse. Spustelėjus šiuos skelbimus ar net apsilankius pažeistoje svetainėje, gali užsikrėsti išpirkos reikalaujančios programos.
• Socialinė inžinerija: užpuolikai gali apsimesti techninės pagalbos personalu ar kitais patikimais asmenimis, kad apgaule išviliotų jus atsisiųsti arba paleisti išpirkos reikalaujančią programinę įrangą.
• USB ir keičiama laikmena: kenkėjiška programa gali plisti per užkrėstus USB diskus ar kitas keičiamas laikmenas. Įjungus užkrėstą įrenginį, jūsų sistemoje gali atsirasti išpirkos reikalaujančių programų.