PetyaX Ransomware blokuje pliki za pomocą szyfrowania na poziomie wojskowym i żąda bitcoinów
Nowy szczep ransomware znany jako PetyaX krąży, atakując ofiary poprzez szyfrowanie ich plików i żądanie okupu w Bitcoinach w zamian za klucz deszyfrujący. To złośliwe oprogramowanie wykorzystuje silne metody szyfrowania i grozi trwałą utratą danych każdemu, kto odmawia spełnienia jego żądań.
Table of Contents
Czym jest ransomware PetyaX?
PetyaX to złośliwy program typu ransomware, który szyfruje dane na komputerze ofiary i dodaje do nazw plików rozszerzenie „.petyax”. Na przykład plik pierwotnie nazwany „1.jpg” zostałby przemianowany na „1.jpg.petyax”, a „2.png” stałoby się „2.png.petyax”. Po zakończeniu tego procesu zmiany pliku złośliwe oprogramowanie umieszcza notatkę z żądaniem okupu w pliku HTML zatytułowanym „note.html”.
W tej notatce znajdują się szczegółowe informacje dotyczące sposobu zapłaty okupu oraz ostrzeżenia ofiar przed konsekwencjami niezastosowania się do instrukcji.
Wewnątrz notatki o okupie PetyaX
Notatka o okupie w formacie HTML stwierdza, że pliki zostały zaszyfrowane przy użyciu algorytmu kryptograficznego AES-256, powszechnie znanego i wysoce bezpiecznego standardu szyfrowania. Atakujący ostrzegają, że każda próba modyfikacji zaszyfrowanych plików, użycia nieoficjalnych narzędzi do deszyfrowania lub usunięcia oprogramowania ransomware może skutkować trwałą utratą danych.
Kwota okupu została ustalona na 300 dolarów amerykańskich, płatnych w Bitcoinach. Ofiarom powiedziano, że jest to jedyny sposób na otrzymanie klucza deszyfrującego potrzebnego do przywrócenia ich danych.
Treść listu z żądaniem okupu wygląda następująco:
PetyaX
Files Encrypted
Your files have been encrypted
All of your personal documents, photos, videos, and other important files have been encrypted with AES-256 encryption and are currently inaccessible.
Do not attempt to decrypt your files with third-party software or recovery tools. This could permanently corrupt your data and make recovery impossible.
Decryption Fee: $300 USD (payable in Bitcoin)
After payment is confirmed, we will provide the decryption key that will restore access to all your files. If we don't hear from you, your decryption key will be permanently deleted.
If you cannot find the original PetyaX file, it might mean that your antivirus has deleted it. Our decryptor is inside that app to recover your files, so we recommend contacting us to get back the file.
YOUR COMPUTER ID
-Contact us with your Computer ID to arrange payment:
Email: 7n9045b54789h@firemail.cc
Session: 05d72b4b256fbf6b78b64259a042ba8d336f118dda3a68055e9f02c03dee73b86cEmail services, like Gmail, may prevent our emails from reaching you. To ensure you receive our messages, please consider using an alternative email platform such as Cock.li, Proton Mail, or another provider of your choice. If email isn't a viable option, you can also reach us via the Session App.
For your security, do not attempt to modify or remove this ransomware. Doing so may result in permanent loss of your data.
Czy zaszyfrowane pliki można odzyskać bez płacenia?
W większości przypadków ransomware, w tym PetyaX, odszyfrowanie zainfekowanych plików jest niemal niemożliwe bez prywatnego klucza deszyfrującego posiadanego przez atakujących. O ile badacze bezpieczeństwa nie złamali ransomware lub nie odkryli luki w jego procesie szyfrowania, istnieje niewiele alternatyw.
Jednak płacenie okupu nie jest zalecane. Nawet jeśli płatność zostanie dokonana, cyberprzestępcy często wstrzymują narzędzie deszyfrujące lub wysyłają niefunkcjonalne. Ponadto wysyłanie pieniędzy jedynie napędza dalszą działalność przestępczą i zwiększa ryzyko przyszłych ataków.
Aby zapobiec dalszemu szyfrowaniu lub rozprzestrzenianiu się, ransomware musi zostać natychmiast usunięty z systemu. Niestety, samo usunięcie nie przywróci zablokowanych plików. Jedyną niezawodną metodą odzyskiwania jest przywrócenie plików z kopii zapasowej utworzonej przed infekcją.
Zdecydowanie zaleca się przechowywanie kopii zapasowych w kilku bezpiecznych lokalizacjach, w tym na odłączonych dyskach zewnętrznych i w chmurze, aby zapewnić ochronę przed tego typu zagrożeniami.
W jaki sposób PetyaX infekuje systemy?
PetyaX zazwyczaj rozprzestrzenia się za pomocą oszukańczych metod, takich jak e-maile phishingowe i taktyki socjotechniczne. Złośliwe ładunki są często maskowane jako legalne pliki lub dołączane do pozornie bezpiecznych pobrań. Metody infekcji obejmują:
- Archiwa takie jak pliki ZIP i RAR
- Pliki wykonywalne (.exe, .run)
- Dokumenty Microsoft Office i PDF
- Pliki JavaScript
- Pobieranie plików z zainfekowanych witryn internetowych
- Malvertising i fałszywe monity o aktualizacje
- Trojany i tylne drzwi
- Sieci udostępniania plików typu peer-to-peer i niezweryfikowane źródła pobierania
- Nielegalne cracki i aktywatory oprogramowania
- Zainfekowane dyski flash USB i zewnętrzne urządzenia pamięci masowej
Niektóre odmiany oprogramowania ransomware mogą rozprzestrzeniać się w sieciach lokalnych, infekując wiele urządzeń w krótkim czasie.
Jak chronić się przed PetyaX i podobnymi zagrożeniami
Aby zminimalizować ryzyko infekcji ransomware, użytkownicy powinni przyjąć silne praktyki bezpieczeństwa. Obejmują one:
- Zachowaj ostrożność podczas przeglądania i unikania podejrzanych witryn lub reklam
- Podchodzenie ze sceptycyzmem do nieoczekiwanych wiadomości e-mail, zwłaszcza tych zawierających załączniki lub linki
- Pobieranie oprogramowania i aktualizacji wyłącznie z oficjalnych, zweryfikowanych źródeł
- Unikanie pirackiego oprogramowania i nielegalnych narzędzi aktywacyjnych
- Aktualizowanie systemu operacyjnego, aplikacji i oprogramowania antywirusowego
- Regularne skanowanie zabezpieczeń w celu wczesnego wykrywania zagrożeń
- Utrzymywanie częstych kopii zapasowych przechowywanych w bezpiecznych, odizolowanych lokalizacjach
Jeśli Twoje urządzenie zostało już naruszone przez PetyaX, ważne jest, aby przeprowadzić pełne skanowanie przy użyciu zaufanego rozwiązania antywirusowego, aby wyeliminować infekcję. Chociaż powstrzyma to ransomware przed dalszymi szkodami, odzyskanie zaszyfrowanych plików nadal będzie wymagało wykonalnej kopii zapasowej.
