Datah Ransomware is een Makop-kloon

Bij het analyseren van nieuwe malwaremonsters kwamen we een ransomwarevariant tegen die gelieerd is aan de Makop-familie, bekend als Datah. Deze ransomware versleutelt bestanden en genereert een losgeldbrief met de naam "+README-WARNING+.txt", met daarin contactgegevens en instructies. Bovendien verandert Datah bestandsnamen.

Datah wijzigt bestandsnamen door de ID van het slachtoffer, het e-mailadres datahelper@onionmail.org en de extensie ".datah" toe te voegen. Het verandert bijvoorbeeld "1.jpg" in "1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah" en "2.png" in "2.png.[2AF20FA3].[datahelper@ uienmail.org].datah", enzovoort.

De losgeldbrief informeert het slachtoffer over de versleuteling van zijn bestanden, maar verzekert dat de bestandsstructuur ongewijzigd blijft. Het benadrukt dat herstel uitsluitend mogelijk is door het losgeld te betalen aan de dreigingsactoren die verantwoordelijk zijn voor de versleuteling. De cybercriminelen bieden een demonstratie van hun decoderingsvermogen door het slachtoffer als test twee kleine bestanden te laten decoderen.

Contactgegevens worden verstrekt via een e-mailadres (datahelper@onionmail.org) en een TOX-ID. De nota eindigt met een krachtige waarschuwing tegen pogingen om de gecodeerde bestanden onafhankelijk te wijzigen, waarbij wordt gewaarschuwd dat eventuele wijzigingen kunnen resulteren in gegevensverlies en het permanente verlies van de privésleutel voor decodering, waardoor het slachtoffer met onherstelbare gegevens achterblijft.

Datah produceert een lange losgeldbrief

De volledige tekst van de lange losgeldbrief gegenereerd door Datah luidt als volgt:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Wat zijn de beste manieren om uw gegevens te beschermen tegen ransomware-aanvallen?

Het beschermen van uw gegevens tegen ransomware-aanvallen is van cruciaal belang voor het beschermen van uw persoonlijke en zakelijke informatie. Hier zijn enkele van de beste praktijken om het risico op ransomware te helpen beperken:

Regelmatige back-ups: maak regelmatig back-ups van uw belangrijke gegevens op offline of cloudgebaseerde opslag. Dit zorgt ervoor dat zelfs als uw bestanden zijn gecodeerd door ransomware, u ze vanaf een back-up kunt herstellen zonder dat u losgeld hoeft te betalen.

Update software: Houd uw besturingssysteem, antivirussoftware en alle applicaties up-to-date met de nieuwste beveiligingspatches en updates. Kwetsbaarheden in verouderde software kunnen worden uitgebuit door ransomware-aanvallers.

Werknemers opleiden: Bied uitgebreide cybersecurity-bewustzijnstraining aan werknemers om hen te helpen phishing-e-mails, kwaadaardige links en andere potentiële ransomware-aanvalsvectoren te herkennen. Stimuleer een cultuur van scepsis ten aanzien van ongevraagde e-mails en bijlagen.

Gebruik antivirus- en antimalwaresoftware: Installeer betrouwbare antivirus- en antimalwaresoftware op alle apparaten en zorg ervoor dat deze regelmatig worden bijgewerkt. Deze tools kunnen ransomware-infecties helpen detecteren en voorkomen.

Implementeer netwerkbeveiligingsmaatregelen: Maak gebruik van firewalls, inbraakdetectiesystemen en andere netwerkbeveiligingsmaatregelen om ongeoorloofde toegang en kwaadwillige activiteiten op uw netwerk te bewaken en er bescherming tegen te bieden.

Beperk gebruikersmachtigingen: Beperk gebruikersmachtigingen tot alleen de machtigingen die nodig zijn voor hun functie. Dit kan helpen voorkomen dat ransomware zich lateraal over uw netwerk verspreidt in het geval dat het systeem van een gebruiker wordt gehackt.

Schakel e-mailfiltering in: Implementeer e-mailfilteroplossingen om phishing-e-mails en kwaadaardige bijlagen te blokkeren voordat ze de inbox van gebruikers bereiken. Dit kan de kans op ransomware-infecties via e-mail aanzienlijk verkleinen.

Schakel Remote Desktop Protocol (RDP) uit: Als dit niet nodig is voor de bedrijfsvoering, overweeg dan om RDP uit te schakelen of aanvullende beveiligingsmaatregelen te implementeren, zoals multi-factor authenticatie om ongeautoriseerde toegang via RDP te voorkomen.