Oprogramowanie ransomware ATCK szyfruje dane ofiar

Po zbadaniu ustalono, że złośliwe oprogramowanie ATCK należy do rodziny ransomware Dharma. Szkodnik ten szyfruje pliki po infiltracji, generuje dwie notatki z żądaniem okupu („info.txt” i wyskakujące okienko) oraz modyfikuje nazwy plików.

Zmieniając nazwy plików, ATCK dodaje do nazw plików identyfikator ofiary, adres e-mail i rozszerzenie „.ATCK”. Na przykład „1.jpg” zmieni się na „1.jpg.id-9ECFA84E.[atttackattack@tutamail.com].ATCK”, a „2.png” zmieni się na „2.png.id-9ECFA84E.[atttackattack@tutamail. com].ATCK”.

Notatka z żądaniem okupu zaczyna się od stwierdzenia, że wszystkie pliki zostały zaszyfrowane, ale zapewnia ofiarę, że można je odzyskać. Podaje adres e-mail, attackattack@tutamail.com, do kontaktu, wraz z konkretnym identyfikatorem. Jeśli w ciągu 12 godzin nie otrzymamy odpowiedzi, zalecamy skorzystanie z innego adresu e-mail: attackattack@cock.li.

Osoby atakujące oferują odszyfrowanie maksymalnie trzech plików, każdy o rozmiarze poniżej 3 MB i niezawierający cennych danych, takich jak bazy danych czy kopie zapasowe.

Zawarte są instrukcje dotyczące uzyskania Bitcoinów do zapłaty wraz z ostrzeżeniem przed zmianą nazwy zaszyfrowanych plików lub próbą odszyfrowania za pomocą nieautoryzowanego oprogramowania, ponieważ może to skutkować trwałą utratą danych lub zwiększonym żądaniem okupu.

Pełna treść żądania okupu ATCK

Pełny tekst dłuższego żądania okupu sporządzonego przez ATCK brzmi następująco:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: attackattack@tutamail.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:attackattack@cock.li
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Jak zminimalizować ryzyko utraty danych w wyniku oprogramowania ransomware?

Minimalizowanie ryzyka utraty danych przez oprogramowanie ransomware wymaga wdrożenia kombinacji środków zapobiegawczych i strategii proaktywnych. Oto kilka skutecznych kroków, które możesz podjąć:

Regularne kopie zapasowe: twórz regularne i automatyczne kopie zapasowe najważniejszych danych. Upewnij się, że kopie zapasowe są przechowywane w trybie offline lub w osobnej lokalizacji sieciowej, która nie jest bezpośrednio dostępna z głównych systemów. Dzięki temu możesz przywrócić swoje dane bez płacenia okupu w przypadku ataku.

Aktualizuj oprogramowanie i łataj luki w zabezpieczeniach: aktualizuj całe oprogramowanie, w tym systemy operacyjne i aplikacje, za pomocą najnowszych poprawek zabezpieczeń. Luki w nieaktualnym oprogramowaniu mogą zostać wykorzystane przez osoby atakujące oprogramowanie ransomware.

Korzystaj z oprogramowania antywirusowego i ochrony punktów końcowych: wdrażaj renomowane oprogramowanie antywirusowe i rozwiązania do ochrony punktów końcowych na wszystkich urządzeniach. Narzędzia te mogą wykrywać i blokować znane zagrożenia oprogramowaniem ransomware.

Ogranicz uprawnienia użytkownika: Ogranicz prawa dostępu użytkowników w oparciu o zasadę najmniejszych uprawnień. Użytkownicy powinni mieć dostęp wyłącznie do zasobów niezbędnych do wykonywania ich obowiązków służbowych, co ogranicza wpływ oprogramowania ransomware w przypadku naruszenia bezpieczeństwa systemu.

Wdrażaj filtrowanie poczty e-mail i bezpieczeństwo sieciowe: korzystaj z rozwiązań filtrujących pocztę e-mail, aby blokować złośliwe załączniki i łącza w wiadomościach e-mail. Podobnie należy wdrożyć mechanizmy kontroli bezpieczeństwa sieci, aby uniemożliwić użytkownikom dostęp do złośliwych witryn internetowych, które mogą rozpowszechniać oprogramowanie ransomware.