Datah Ransomware to klon Makop

Analizując nowe próbki złośliwego oprogramowania, natknęliśmy się na wariant ransomware powiązany z rodziną Makop, znany jako Datah. To ransomware szyfruje pliki i generuje notatkę z żądaniem okupu o nazwie „+README-WARNING+.txt”, zawierającą dane kontaktowe i instrukcje. Dodatkowo Datah zmienia nazwy plików.

Datah modyfikuje nazwy plików, dodając identyfikator ofiary, adres e-mail datahelper@onionmail.org i rozszerzenie „.datah”. Na przykład zmienia „1.jpg” na „1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah” i „2.png” na „2.png.[2AF20FA3].[datahelper@ Cebulamail.org].datah” i tak dalej.

Notatka z żądaniem okupu powiadamia ofiarę o zaszyfrowaniu jej plików, ale zapewnia, że struktura plików pozostaje niezmieniona. Podkreśla, że odzyskanie danych jest możliwe wyłącznie poprzez zapłacenie okupu podmiotom zagrażającym odpowiedzialnym za szyfrowanie. Cyberprzestępcy demonstrują swoje możliwości deszyfrowania, umożliwiając ofierze w ramach testu odszyfrowanie dwóch małych plików.

Dane kontaktowe można uzyskać za pośrednictwem adresu e-mail (datahelper@onionmail.org) i identyfikatora TOX. Notatka kończy się mocnym ostrzeżeniem przed samodzielnymi próbami modyfikowania zaszyfrowanych plików, ostrzegając, że wszelkie zmiany mogą spowodować utratę danych i trwałą utratę prywatnego klucza deszyfrującego, pozostawiając ofierze nieodwracalne dane.

Datah przedstawia długi list z żądaniem okupu

Pełny tekst długiego żądania okupu wygenerowanego przez Datah brzmi następująco:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Jakie są najlepsze sposoby ochrony danych przed atakami ransomware?

Ochrona danych przed atakami oprogramowania ransomware ma kluczowe znaczenie dla ochrony informacji osobistych i biznesowych. Oto niektóre z najlepszych praktyk, które pomogą ograniczyć ryzyko oprogramowania ransomware:

Regularne kopie zapasowe: twórz regularne kopie zapasowe ważnych danych w pamięci masowej offline lub w chmurze. Dzięki temu nawet jeśli Twoje pliki zostaną zaszyfrowane przez oprogramowanie ransomware, będziesz mógł je przywrócić z kopii zapasowej bez konieczności płacenia okupu.

Aktualizuj oprogramowanie: aktualizuj swój system operacyjny, oprogramowanie antywirusowe i wszystkie aplikacje, korzystając z najnowszych poprawek i aktualizacji zabezpieczeń. Luki w nieaktualnym oprogramowaniu mogą zostać wykorzystane przez osoby atakujące oprogramowanie ransomware.

Edukuj pracowników: zapewnij pracownikom kompleksowe szkolenie w zakresie świadomości cyberbezpieczeństwa, aby pomóc im rozpoznać wiadomości e-mail phishingowe, złośliwe linki i inne potencjalne wektory ataku oprogramowania ransomware. Promuj kulturę sceptycyzmu wobec niechcianych e-maili i załączników.

Używaj oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem: Zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich urządzeniach i upewnij się, że są one regularnie aktualizowane. Narzędzia te mogą pomóc w wykrywaniu infekcji ransomware i zapobieganiu im.

Wdrażaj środki bezpieczeństwa sieci: korzystaj z zapór sieciowych, systemów wykrywania włamań i innych środków bezpieczeństwa sieci, aby monitorować i chronić przed nieautoryzowanym dostępem i złośliwą aktywnością w sieci.

Ogranicz uprawnienia użytkowników: Ogranicz uprawnienia użytkowników tylko do tych, które są niezbędne do ich ról zawodowych. Może to pomóc w zapobieganiu bocznemu rozprzestrzenianiu się oprogramowania ransomware w sieci w przypadku naruszenia bezpieczeństwa systemu jednego użytkownika.

Włącz filtrowanie wiadomości e-mail: wdrażaj rozwiązania do filtrowania wiadomości e-mail, aby blokować wiadomości e-mail typu phishing i złośliwe załączniki, zanim dotrą one do skrzynek odbiorczych użytkowników. Może to znacznie zmniejszyć prawdopodobieństwo infekcji ransomware za pośrednictwem poczty elektronicznej.

Wyłącz protokół Remote Desktop Protocol (RDP): Jeśli nie jest to wymagane do celów biznesowych, rozważ wyłączenie protokołu RDP lub wdrożenie dodatkowych środków bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe, aby zapobiec nieautoryzowanemu dostępowi za pośrednictwem protokołu RDP.