Ransomware 777 szyfruje dane ofiar

Badając nowe próbki plików, nasz zespół natknął się na oprogramowanie ransomware o nazwie 777, które jest powiązane z rodziną ransomware GlobeImposter.

Po uruchomieniu szkodliwe oprogramowanie szyfrowało pliki i dołączało do ich nazw rozszerzenie „.777”. Na przykład plik o nazwie „1.jpg” zmieni się na „1.jpg.777”, a plik „2.png” zostanie przekształcony na „2.png.777”. Następnie wygenerowano żądanie okupu zatytułowane „how_to_back_files.html”.

Wiadomość ransomware, przypisana do 777 (GlobeImposter), powiadamia ofiarę, że jej pliki zostały zaszyfrowane i podkreśla konieczność posiadania narzędzia deszyfrującego, które znajduje się w posiadaniu atakujących.

Ofiarze udostępniane są instrukcje umożliwiające skontaktowanie się z cyberprzestępcami i przesłanie zaszyfrowanego pliku tekstowego lub obrazu w celu weryfikacji odszyfrowania. Po tym kroku osoby atakujące udzielą wskazówek dotyczących procesu płatności za narzędzie odszyfrowujące.

Uwaga ostrzega przed działaniami, które mogą skutkować trwałą utratą danych, w tym usuwaniem oprogramowania ransomware, uruchamianiem oprogramowania zabezpieczającego i próbami ręcznego odszyfrowania. Ponadto ofiarę ostrzega się, że narzędzia do odzyskiwania używane przez inne ofiary nie są kompatybilne z tą konkretną infekcją i dlatego nie można ich stosować zamiennie.

Żądanie okupu 777 obiecuje odszyfrowanie jednego pliku

Pełny tekst żądania okupu 777 brzmi następująco:

YOUR PERSONAL ID

ENGLISH
YOUR FILES ARE ENCRYPTED!
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

To recover data you need decryptor.
To get the decryptor you should:

Send 1 test image or text file decodoperator1@aol.com,decodoperator1.1@aol.com.
In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files

After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!

Only decodoperator1@aol.com,decodoperator1.1@aol.com can decrypt your files
Don't trust anyone except decodoperator1@aol.com,decodoperator1.1@aol.com
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

Jak najlepiej chronić swoje dane przed atakami ransomware?

Ochrona danych przed atakami ransomware wymaga połączenia środków zapobiegawczych i strategii proaktywnych. Oto kilka najlepszych praktyk:

Regularnie twórz kopie zapasowe swoich danych: Upewnij się, że Twoje dane są regularnie tworzone i bezpiecznie przechowywane. Obejmuje to zarówno lokalne kopie zapasowe, jak i kopie zapasowe poza siedzibą firmy lub w chmurze. Regularnie testuj swoje kopie zapasowe, aby mieć pewność, że w przypadku ataku uda im się je pomyślnie przywrócić.

Aktualizuj oprogramowanie: regularnie aktualizuj swój system operacyjny, aplikacje i programy antywirusowe, aby załatać znane luki. Cyberprzestępcy często wykorzystują nieaktualne oprogramowanie do wdrażania oprogramowania ransomware.

Wdróż oprogramowanie zabezpieczające: zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich urządzeniach i aktualizuj je. Rozważ zastosowanie rozwiązań do wykrywania i reagowania na punktach końcowych (EDR), które mogą wykrywać zagrożenia oprogramowaniem ransomware i reagować na nie w czasie rzeczywistym.

Włącz ochronę zapory sieciowej: Użyj zapory sieciowej do monitorowania i kontrolowania przychodzącego i wychodzącego ruchu sieciowego. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi do sieci i blokowaniu złośliwych działań.

Używaj silnego uwierzytelniania: wdrażaj uwierzytelnianie wieloskładnikowe (MFA) lub zasady silnych haseł, aby zapobiec nieautoryzowanemu dostępowi do systemów i kont.

Ogranicz uprawnienia użytkowników: Ogranicz uprawnienia użytkownika tylko do niezbędnego poziomu wymaganego do wykonywania jego funkcji zawodowych. Może to pomóc zminimalizować skutki infekcji oprogramowaniem ransomware, ograniczając zdolność złośliwego oprogramowania do bocznego rozprzestrzeniania się w sieci.

Monitoruj aktywność sieciową: wdrażaj narzędzia do monitorowania sieci, aby wykrywać nietypową lub podejrzaną aktywność w sieci. Może to pomóc zidentyfikować potencjalne infekcje ransomware na wczesnym etapie i zapobiec dalszym szkodom.