Kaip sustabdyti ir pašalinti „HorrorDead Ransomware“.
Nuolat besikeičiančioje kibernetinių grėsmių aplinkoje atsirado nauja išpirkos reikalaujanti programa, pavadinta „HorrorDead“, kuri duomenų apsaugos iššūkius dar labiau supainiojo. Išpirkos reikalaujančios programos pagal dizainą užšifruoja aukos sistemoje esančius failus ir laiko juos įkaitais, kol bus sumokėta išpirka už iššifravimą. „HorrorDead“ seka šią liūdnai pagarsėjusią žaidimų knygą, tačiau su tam tikrais unikaliais posūkiais.
Table of Contents
Kaip veikia „HorrorDead“.
Užkrėtus sistemą, „HorrorDead“ užšifruoja failus ir prie jų pavadinimų prideda konkretų plėtinį: „.encrypted@HorrorDeadBot“. Pavyzdžiui, failas pavadinimu „1.jpg“ tampa „1.jpg.encrypted@HorrorDeadBot“, o „2.png“ pakeičiamas į „2.png.encrypted@HorrorDeadBot“. Kai šifravimo procesas bus baigtas, HorrorDead pakeičia darbalaukio foną, kad būtų rodomas išpirkos pranešimas rusų kalba.
Išpirkos užrašas
Skirtingai nuo įprastų išpirkos programų, „HorrorDead“ išpirkos rašte teigiama, kad tai yra pokštas, nepaisant to, kad failai iš tikrųjų šifruojami. Pranešime įspėjama, kad šios kenkėjiškos programos platinimas yra baudžiamasis nusikaltimas pagal Rusijos Federacijos baudžiamąjį kodeksą. Jame minimas tekstinis failas, kuriame turėtų būti instrukcijos, kaip atsisiųsti iššifruotoją, tačiau atliekant bandymus šis failas nerastas. Nors pastaboje teigiama, kad iššifravimo priemonė yra saugi, nėra jokios priežasties pasitikėti šia informacija. Primygtinai nerekomenduojame atsisiųsti jokių kibernetinių nusikaltėlių siūlomų failų.
„HorrorDead“ išpirkos raštelis rusiškai skamba taip:
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА,
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Здравствуйте! Если вы видите данное сообщение, или у вас появился текстовый файл, зто значит, что ваша система,
заражена вирусом HorrorDead Ransomware, а все ваши файлы зашнфрованы AES-256, ключом шифрования.
Для того, чтобы расшифровать ваши файлы, следуйте инструкции:
1. Перейдите в Telegram
2. Напишите, в поиске @HorrorDeadBot, или выйдите из Telegram, перейдите по ссылке hxxps://t.me./HorrorDeadBot
3. Нажмите на кнопку Старт (по английски, будет написано Start).
4. Нажмите на кнопку 'Получит дешифроватор'
5. Скачайте дешифратор (он точно без вирусов), если не вернте, закиньте данный дешифратор, на VirusTotal.
6. Расшифруйте свои файлы.
7. Готово
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Iššifravimo realybė
Mūsų didelė patirtis su išpirkos reikalaujančiomis programomis atskleidžia niūrią realybę: iššifruoti be užpuolikų pagalbos paprastai neįmanoma. Net jei išpirkos reikalavimai yra patenkinti, duomenų atkūrimas negarantuojamas. Kibernetiniai nusikaltėliai dažnai nesugeba pateikti funkcinių iššifratorių, net ir sumokėję. Išpirkos mokėjimas palaiko nelegalią veiklą ir neužtikrina duomenų atkūrimo.
Pašalinimas ir atkūrimas
Norint išvengti tolesnio HorrorDead šifravimo, jis turi būti pašalintas iš užkrėstos sistemos. Deja, pašalinus išpirkos reikalaujančią programinę įrangą, jau pažeisti failai nebus atkurti. Geriausias sprendimas yra atkurti failus iš atsarginės kopijos, padarytos prieš užkrėtimą. Reguliarus duomenų atsarginių kopijų kūrimas keliose atskirose vietose, pvz., nuotoliniuose serveriuose ir atjungtuose saugojimo įrenginiuose, yra labai svarbus duomenų saugumui.
Naujausi išpirkos programų pavyzdžiai, tokie kaip „Pomochit“, „OceanSpy“, „ZILLA“ ir „LostInfo“, yra panašūs: šifruojami failai ir reikalaujama išpirkos už iššifravimą. Pagrindiniai skirtumai tarp šių išpirkos reikalaujančių programų tipų yra jų naudojami kriptografiniai algoritmai (simetriški arba asimetriniai) ir reikalaujama išpirkos suma.
Infekcijos metodai
Ransomware dažniausiai plinta per sukčiavimo ir socialinės inžinerijos taktiką, dažnai užmaskuojama kaip įprasti failai arba kartu su teisėta programine įranga. Infekcijos vektoriai apima kenkėjiškus priedus arba nuorodas el. laiškuose, apgaulingus atsisiuntimus, užpakalinių durų/kroviklio tipo Trojos arklius ir netikrus programinės įrangos naujinius. Kai kurios kenkėjiškos programos gali netgi savaime plisti per vietinius tinklus ir išimamus saugojimo įrenginius.
Apsaugos priemonės
Norint apsisaugoti nuo ransomware infekcijų, būtinas budrumas. Būkite atsargūs su gaunamais el. laiškais ir žinutėmis, ypač su abejotinais priedais ar nuorodomis. Visada atsisiųskite programinę įrangą iš oficialių ir patikimų šaltinių ir nenaudokite neteisėtų aktyvinimo įrankių ar trečiųjų šalių naujinimų. Patikimos antivirusinės programos atnaujinimas ir reguliarus sistemos nuskaitymas taip pat gali padėti aptikti ir pašalinti tokias grėsmes kaip „HorrorDead“.
Jei jūsų kompiuteris yra užkrėstas HorrorDead, paleiskite nuskaitymą naudodami atnaujintą anti-kenkėjiškų programų programą, kad pašalintumėte šią išpirkos reikalaujančią programą ir apsaugotumėte sistemą nuo tolesnės žalos.
