SWIFT Ransomware låser infiserte systemer

Mens vi analyserte nye skadevareprøver, identifiserte vi en løsepengevarevariant knyttet til Proton-familien, kalt SWIFT. Ved å infiltrere en datamaskin, krypterer og endrer SWIFT navnene på filene, endrer skrivebordsbakgrunnen og genererer en løsepengenotat med tittelen "#SWIFT-Help.txt."

For å endre filnavn legger SWIFT til e-postadressen swift_1@tutamail.com og legger til utvidelsen ".SWIFT". Den forvandler for eksempel "1.jpg" til "1.jpg.[swift_1@tutamail.com].SWIFT," og "2.png" blir "2.png.[swift_1@tutamail.com].SWIFT," og så videre.

Løsepengene begynner med en beskrivelse av situasjonen, og hevder at angriperne har brukt AES- og ECC-algoritmer for å kryptere og beslaglegge alle offerets filer, noe som gjør filgjenoppretting umulig uten deres dekrypteringstjeneste.

Deretter skisserer notatet gjenopprettingstrinnene, legger vekt på nettkriminelles økonomiske motiver og foreslår utveksling av betaling for dekrypteringsprogramvare og dataødeleggelse. For å demonstrere deres evner, anbefaler gruppen å sende en uviktig fil under 1 MB for dekryptering som bevis på deres forpliktelse til å oppfylle løftene sine.

Kontaktdetaljer, for eksempel e-postadressen (swift_1@tutamail.com) og Telegram-ID (@swift_support), er gitt, med en alternativ e-postadresse (swift@onionmail.com) foreslått hvis det ikke er noe svar innen 24 timer. Offeret blir bedt om å inkludere sin personlige ID i e-postemnet.

Avslutningsvis fraråder notatet å søke bistand fra gjenvinningsselskaper, og advarer mot potensiell utnyttelse av mellommenn for profitt. I tillegg advares offeret om ikke å utsette betalingen og å avstå fra å slette eller endre krypterte filer for å unngå komplikasjoner med dekrypteringsprosessen.

SWIFT løsepengenotat i sin helhet

Den fullstendige teksten til SWIFT løsepengenota er som følger:

SWIFT
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

Hvilke garantier?
Du kan sende oss en uviktig fil på mindre enn 1 MG. Vi dekrypterer den som garanti.
Hvis vi ikke sender deg dekrypteringsprogramvaren eller sletter stjålne data, vil ingen betale oss i fremtiden, så vi vil holde løftet vårt.

Hvordan kontakte oss?
Vår e-postadresse: swift_1@tutamail.com
Vår telegram-ID: @swift_support
Hvis du ikke får svar innen 24 timer, ta kontakt på denne e-posten: swift@onionmail.com
Skriv din personlige ID i emnet for e-posten.

Din personlige ID: -

Advarsler!

Ikke gå til gjenvinningsselskaper, de er bare mellommenn som vil tjene penger på deg og jukse deg.
De forhandler i all hemmelighet med oss, kjøper dekrypteringsprogramvare og vil selge den til deg mange ganger dyrere, ellers vil de bare lure deg.

Ikke nøl lenge. Jo raskere du betaler, jo lavere er prisen.

Ikke slett eller modifiser krypterte filer, det vil føre til problemer med dekryptering av filer.

Hvordan kan du beskytte dataene dine mot ransomware?

Å beskytte dataene dine mot løsepengeprogramvare krever en proaktiv og flerlags tilnærming. Her er noen viktige trinn du kan ta for å beskytte dataene dine mot løsepenge-angrep:

Sikkerhetskopier regelmessig:
Sikkerhetskopier viktige data regelmessig, og sørg for at sikkerhetskopier lagres offline eller på et separat, sikkert sted. Dette kan hjelpe deg med å gjenopprette filene dine hvis de er kryptert med løsepengeprogramvare.

Bruk pålitelig sikkerhetsprogramvare:
Installer og oppdater jevnlig anerkjent antivirus- og anti-malware-programvare. Denne programvaren kan oppdage og blokkere kjente ransomware-trusler.

Hold programvaren oppdatert:
Oppdater operativsystemet, programvaren og applikasjonene regelmessig. Programvareoppdateringer inkluderer ofte sikkerhetsoppdateringer som kan bidra til å beskytte mot sårbarheter som utnyttes av løsepengeprogramvare.

Utdanne og trene ansatte:
Lær ansatte på beste praksis for sikkerhet, inkludert hvordan de gjenkjenner phishing-e-poster og mistenkelige koblinger. Menneskelige feil er et vanlig inngangspunkt for ransomware-angrep.

Bruk e-postsikkerhetstiltak:
Implementer e-postfiltreringsløsninger for å blokkere phishing-e-poster og ondsinnede vedlegg. Vær forsiktig når du klikker på lenker eller laster ned vedlegg fra ukjente eller uventede kilder.

Begrens brukerrettigheter:
Begrens brukertilgang til minimumsnivået som er nødvendig for jobbfunksjonene deres. Dette kan bidra til å begrense virkningen av et løsepenge-angrep ved å redusere antallet filer som er tilgjengelige for potensielle trusler.

Nettverkssegmentering:
Segmenter nettverket ditt for å isolere kritiske systemer og sensitive data. Dette kan forhindre rask spredning av løsepengevare over hele nettverket ditt.