Co to jest oprogramowanie ransomware ChocVM?
Niedawno pojawił się nowy wariant oprogramowania ransomware o nazwie ChocVM, powiązany z rodziną Makop. To złośliwe oprogramowanie szyfruje pliki, zmienia tapety pulpitu, nazwy plików i pozostawia charakterystyczną notatkę z żądaniem okupu w pliku o nazwie „+README-WARNING+.txt”.
Table of Contents
Szyfrowanie plików i zmiana nazwy
ChocVM stosuje unikalne podejście do zmiany nazw plików, dodając ciąg losowych znaków, adres e-mail „xakep@dark-forum.ru” i rozszerzenie pliku „.chocolate”. Na przykład plik taki jak „1.jpg” przekształca się w „1.jpg.[2AF20FA3].[xakep@dark-forum.ru].chocolate”.
Omówienie żądania okupu ChocVM
Notatka z żądaniem okupu pozostawiona przez ChocVM wyjaśnia, że pliki ofiary zostały zaszyfrowane bez zmiany struktury plików. Aby odzyskać dostęp do swoich plików, ofiary muszą zapłacić okup. Napastnik podkreśla, że jest to transakcja biznesowa i nie wykazuje dbałości o interesy ofiary. Specjalna oferta polega na darmowym odszyfrowaniu dwóch małych plików z prostymi rozszerzeniami, podając dane kontaktowe za pośrednictwem adresów e-mail: xakep@dark-forum.ru lub hackr@dark-forum.ru.
Notatka z żądaniem okupu brzmi następująco:
::: Greetings ChocVM :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailboxes: xakep@dark-forum.ru or hackr@dark-forum.ru.5.
P: Jak będzie przebiegał proces odszyfrowywania po dokonaniu płatności?
Odp.: Po dokonaniu płatności wyślemy Ci nasz program skanera-dekodera i szczegółowe instrukcje użytkowania. Za pomocą tego programu będziesz mógł odszyfrować wszystkie zaszyfrowane pliki..6.
P: Jeśli nie chcę płacić takim złym ludziom jak ty?
Odp.: Jeśli nie będziesz współpracować z naszym serwisem - dla nas nie ma to znaczenia. Ale stracisz swój czas i dane, ponieważ tylko my mamy klucz prywatny. W praktyce czas jest o wiele cenniejszy niż pieniądze.:::STRZEC SIĘ:::
NIE PRÓBUJ samodzielnie zmieniać zaszyfrowanych plików!
Jeżeli do odzyskania danych będziesz próbował skorzystać z oprogramowania innych firm lub rozwiązań antywirusowych - prosimy o wykonanie kopii zapasowej wszystkich zaszyfrowanych plików!
Wszelkie zmiany w zaszyfrowanych plikach mogą wiązać się z uszkodzeniem klucza prywatnego i w efekcie utratą wszelkich danych.
Szczegóły dotyczące płatności okupu
Po dokonaniu płatności osoba atakująca zobowiązuje się dostarczyć program deszyfrujący wraz ze szczegółowymi instrukcjami deszyfrowania plików. Notatka wyraźnie ostrzega przed próbami samodzielnego przywracania plików, twierdząc, że wszelkie tego typu działania mogą spowodować uszkodzenie klucza prywatnego i skutkować nieodwracalną utratą danych.
Wgląd w zagrożenia ransomware: przegląd
Kiedy ludzie padają ofiarą ataków oprogramowania ransomware, są zmuszani do płacenia cyberprzestępcom za narzędzia deszyfrujące. Zazwyczaj alternatywą jest wyszukiwanie bezpłatnych narzędzi do odszyfrowywania w Internecie lub korzystanie z kopii zapasowych danych. Jednak zdecydowanie odradza się płacenie okupu ze względu na niepewność co do wiarygodności cyberprzestępców w dostarczaniu obiecanych narzędzi deszyfrujących.
Natychmiastowe działania przeciwko ransomware
Szybkie wyeliminowanie oprogramowania ransomware z zaatakowanych urządzeń ma kluczowe znaczenie, ponieważ złośliwe oprogramowanie może inicjować dalsze szyfrowanie i rozprzestrzeniać się w sieciach lokalnych, prowadząc do szyfrowania plików na połączonych ze sobą komputerach.
Krajobraz oprogramowania ransomware
Ataki ransomware mogą różnić się metodami i celami, ale nadal występuje stałe żądanie zapłaty w zamian za odszyfrowanie danych, zmianę nazwy plików i przedstawienie notatki z żądaniem okupu. Przykłady innych wariantów oprogramowania ransomware obejmują BO Team, Cdmx i Tprc.
Zrozumienie infekcji ransomware: przyczyny i zapobieganie
Metody infekcji
Ransomware często infiltruje systemy poprzez zwodnicze e-maile zawierające złośliwe załączniki lub łącza. Nieostrożni użytkownicy mogą nieumyślnie zainicjować pobieranie i uruchamianie, klikając te linki lub otwierając załączniki. Trojany to kolejne narzędzie wykorzystywane do dostarczania szkodliwych ładunków, w tym oprogramowania ransomware. Podmioty zagrażające wykorzystują również kanały, takie jak sieci P2P, złośliwe reklamy, luki w zabezpieczeniach oprogramowania, pirackie oprogramowanie i nie tylko.
Środki ochronne
Aby zabezpieczyć się przed infekcjami oprogramowaniem ransomware, zaleca się użytkownikom instalowanie regularnych aktualizacji systemu operacyjnego i zainstalowanych aplikacji. Stosowanie renomowanego oprogramowania antywirusowego lub chroniącego przed złośliwym oprogramowaniem, zachowanie ostrożności w przypadku wiadomości e-mail z nieznanych źródeł, unikanie ryzykownych stron internetowych i powstrzymywanie się od pobierania plików z niezaufanych źródeł to podstawowe środki zapobiegawcze.
Radzenie sobie z infekcją ChocVM
Jeśli komputer jest już zainfekowany ChocVM, zaleca się użycie programu chroniącego przed złośliwym oprogramowaniem w celu automatycznego usunięcia tego zagrożenia ransomware.
