Jak zatrzymać i usunąć oprogramowanie Ransomware HorrorDead
W stale zmieniającym się krajobrazie cyberzagrożeń pojawił się nowy program ransomware o nazwie HorrorDead, który dodaje kolejny poziom złożoności wyzwaniom związanym z ochroną danych. Ransomware z założenia szyfruje pliki w systemie ofiary, przetrzymując je jako zakładników do czasu zapłaty okupu za odszyfrowanie. HorrorDead podąża za tym cieszącym się złą sławą podręcznikiem, ale z pewnymi unikalnymi zwrotami akcji.
Table of Contents
Jak działa HorrorDead
Po zainfekowaniu systemu HorrorDead szyfruje pliki i dodaje do ich nazw określone rozszerzenie: „.encrypted@HorrorDeadBot”. Na przykład plik o nazwie „1.jpg” zmienia się na „1.jpg.encrypted@HorrorDeadBot”, a plik „2.png” zmienia się na „2.png.encrypted@HorrorDeadBot”. Po zakończeniu procesu szyfrowania HorrorDead zmienia tapetę pulpitu, aby wyświetlić wiadomość z żądaniem okupu w języku rosyjskim.
Notatka o okupie
W przeciwieństwie do typowego oprogramowania ransomware, HorrorDead w żądaniu okupu twierdzi, że jest to żart, mimo że faktycznie szyfruje pliki. Komunikat ostrzega, że rozpowszechnianie tego złośliwego oprogramowania stanowi przestępstwo w rozumieniu kodeksu karnego Federacji Rosyjskiej. Wspomina się o pliku tekstowym, który powinien zawierać instrukcje dotyczące pobrania deszyfratora, ale plik ten nie został znaleziony podczas naszych testów. Chociaż w notatce wskazano, że program odszyfrowujący jest bezpieczny, nie ma powodu, aby ufać tym informacjom. Zdecydowanie odradzamy pobieranie jakichkolwiek plików sugerowanych przez cyberprzestępców.
Notatka z żądaniem okupu HorrorDead brzmi po rosyjsku następująco:
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА,
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Здравствуйте! Если вы видите данное сообщение, или у вас появился текстовый файл, зто значит, что ваша система,
заражена вирусом HorrorDead Ransomware, а все ваши файлы зашнфрованы AES-256, ключом шифрования.
Для того, чтобы расшифровать ваши файлы, следуйте инструкции:
1. Перейдите в Telegram
2. Напишите, в поиске @HorrorDeadBot, или выйдите из Telegram, перейдите по ссылке hxxps://t.me./HorrorDeadBot
3. Нажмите на кнопку Старт (по английски, будет написано Start).
4. Нажмите на кнопку 'Получит дешифроватор'
5. Скачайте дешифратор (он точно без вирусов), если не вернте, закиньте данный дешифратор, на VirusTotal.
6. Расшифруйте свои файлы.
7. Готово
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Rzeczywistość deszyfrowania
Nasze rozległe doświadczenie z oprogramowaniem ransomware ukazuje ponurą rzeczywistość: odszyfrowanie bez pomocy osób atakujących jest zazwyczaj niemożliwe. Nawet jeśli żądania okupu zostaną spełnione, odzyskanie danych nie jest gwarantowane. Cyberprzestępcy często nie udostępniają funkcjonalnych narzędzi deszyfrujących, nawet po dokonaniu płatności. Zapłata okupu wspiera nielegalne działania i nie gwarantuje odzyskania danych.
Usuwanie i odzyskiwanie
Aby zapobiec dalszemu szyfrowaniu przez HorrorDead, należy go usunąć z zainfekowanego systemu. Niestety usunięcie ransomware nie przywróci już zainfekowanych plików. Najlepszym rozwiązaniem jest odzyskanie plików z kopii zapasowej wykonanej przed infekcją. Regularne tworzenie kopii zapasowych danych w wielu oddzielnych lokalizacjach, takich jak zdalne serwery i odłączone urządzenia pamięci masowej, ma kluczowe znaczenie dla bezpieczeństwa danych.
Najnowsze przykłady ransomware, takie jak Pomochit, OceanSpy, ZILLA i LostInfo, działają według podobnego schematu: szyfrowanie plików i żądanie okupu za odszyfrowanie. Główne różnice między tymi typami ransomware polegają na wykorzystywanych przez nie algorytmach kryptograficznych (symetrycznych lub asymetrycznych) oraz żądanej wysokości okupu.
Metody infekcji
Ransomware rozprzestrzenia się powszechnie poprzez phishing i socjotechnikę, często podszywając się pod zwykłe pliki lub w pakiecie z legalnym oprogramowaniem. Do wektorów infekcji zaliczają się złośliwe załączniki lub łącza w wiadomościach spamowych, oszukańcze pliki do pobrania, trojany typu backdoor/loader oraz fałszywe aktualizacje oprogramowania. Niektóre złośliwe oprogramowanie mogą nawet samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Środki ochrony
Aby chronić się przed infekcjami oprogramowaniem ransomware, niezbędna jest czujność. Zachowaj ostrożność w przypadku przychodzących e-maili i wiadomości, szczególnie tych zawierających podejrzane załączniki lub linki. Zawsze pobieraj oprogramowanie z oficjalnych i wiarygodnych źródeł i unikaj korzystania z nielegalnych narzędzi aktywacyjnych lub aktualizacji stron trzecich. Aktualizowanie niezawodnego programu antywirusowego i regularne skanowanie systemu może również pomóc w wykryciu i usunięciu zagrożeń takich jak HorrorDead.
Jeśli Twój komputer jest zainfekowany HorrorDead, przeprowadź skanowanie za pomocą zaktualizowanego programu chroniącego przed złośliwym oprogramowaniem, aby wyeliminować to oprogramowanie ransomware i chronić system przed dalszymi szkodami.
