Ransomware Secles wykorzystuje długi list z żądaniem okupu

Secles, forma złośliwego oprogramowania służącego do szyfrowania danych, została zidentyfikowana przez nasz zespół badawczy podczas rutynowego badania nowych próbek plików. Złośliwe programy szyfrujące pliki i żądające okupu za odszyfrowanie są klasyfikowane jako oprogramowanie ransomware.

Po uruchomieniu próbki Secles w naszym systemie testowym przystąpił do szyfrowania plików, zmieniając ich nazwy poprzez dodanie unikalnego identyfikatora przypisanego ofierze, nazwy użytkownika Telegramu cyberprzestępcy i rozszerzenia „.secles”. Na przykład plik pierwotnie oznaczony jako „1.jpg” został przekształcony w „1.jpg.id[DYz8jzMo].[t.me_secles1bot].secles”.

Po zakończeniu procesu szyfrowania ransomware Secles wygenerowało wiadomość z żądaniem okupu zatytułowaną „ReadMe.txt”. W tej notatce nawołuje się ofiarę do nawiązania kontaktu z atakującymi w celu zainicjowania procesu przywracania (odszyfrowywania) jej danych. W przypadku, gdy podane dane kontaktowe staną się nieaktualne, ofiara jest proszona o zbadanie alternatywnej metody komunikacji za pośrednictwem udostępnionej witryny sieci Tor.

Odszyfrowanie plików jest uzależnione od spełnienia żądań okupu, ale przed dokonaniem jakichkolwiek płatności ofiara ma możliwość przetestowania procesu odzyskiwania na dwóch zaszyfrowanych plikach. Komunikat ostrzega przed modyfikowaniem lub usuwaniem danych, ponieważ takie działania mogą zakłócić proces deszyfrowania lub sprawić, że będzie on niewykonalny.

List okupu Secles zawiera łącze cebulowe

Pełny tekst obszernej notatki Seclesa z żądaniem okupu brzmi następująco:

to recover your data install telgram messanger at @seclesbot ( hxxps://t.me/secleslbot ) you will talk with support using the bot , admin will be monitoring if for any reason bot is not avaiable you can find link and id of new bot at our onion site 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion you will need to install for browser for onion sites ( hxxps://www.torproject.org/download/ ) you dont need to install for if our telegram bot is working, the bot gets banned once a while

you id is : -

you will get two sample decryption (decoding) before any payment for free this is strong ransomware, any day you waste without paying is one business day you waste our price is reasonable,the wasted days will cost you more

some notes:
1-although illegal and bad but this is business,you are our client after infection and we will treat you respectfully like a client

2-nie usuwaj plików w c:\secles, jeśli chcesz ponownie zainstalować windwos, wykonaj kopię zapasową folderu (nie marnuj czasu na próby wydobycia czegokolwiek z nich, są one zaszyfrowane bez klucza publicznego i nie można ich odczytać bez naszego prywatnego Klucze)

3-nie baw się zaszyfrowanymi plikami, zrób kopię zapasową, jeśli chcesz tracić trochę czasu na zabawę z nimi

4-jeśli weźmiesz pośrednika, zajmij się nim bezpośrednio, wybierz takiego, który cieszy się dobrą reputacją, zawsze zapewniamy deszyfrator po dokonaniu płatności i prosimy tylko o jedną płatność, jeśli weźmiesz przypadkowego pośrednika z Internetu, może on zabrać ci pieniądze i nie zapłacić jako i zniknąć lub okłamać cię

5-policja nie może ci pomóc, jesteśmy doświadczonymi hakerami i nie zostawiamy śladów, nawet gdybyśmy to zrobili, policja nie będzie ryzykować milionowych exploitów dnia zerowego za złapanie nas, zamiast tego mają pewność, że nigdy nie zostaniesz zapłać nam, a stracisz swoje dane

6-jeśli niektóre z Twoich plików nie mają naszego rozszerzenia, ale nie otwierają się, wszystkie inne pliki są szyfrowane i zostaną odszyfrowane normalnie, po prostu nie zmieniono ich nazw, aby uzyskać nasze rozszerzenie

Jakie proaktywne środki możesz podjąć, aby chronić się przed oprogramowaniem ransomware?

Aby wzmocnić swoją ochronę przed atakami oprogramowania ransomware, rozważ wdrożenie następujących proaktywnych środków:

Regularne kopie zapasowe danych:
Wykonuj regularne kopie zapasowe najważniejszych danych i dbaj o ich bezpieczne przechowywanie.
Korzystaj z rozwiązań do tworzenia kopii zapasowych zarówno w siedzibie firmy, jak i poza nią, aby zapobiec utracie danych w przypadku ataku oprogramowania ransomware.

Zaktualizuj oprogramowanie i systemy:
Aktualizuj swój system operacyjny, oprogramowanie antywirusowe i wszystkie aplikacje, aby łatać luki w zabezpieczeniach.
Włącz automatyczne aktualizacje, jeśli to możliwe, aby zachować ochronę przed znanymi lukami w zabezpieczeniach.

Szkolenie w zakresie świadomości bezpieczeństwa:
Edukuj pracowników w zakresie najlepszych praktyk w zakresie cyberbezpieczeństwa, podkreślając znaczenie nieklikania podejrzanych linków i pobierania załączników z nieznanych źródeł.

Bezpieczeństwo poczty e-mail:
Stosuj systemy filtrowania poczty e-mail, aby wykrywać i blokować próby phishingu i złośliwe załączniki.
Zachęcaj pracowników, aby zachowywali ostrożność w przypadku komunikacji e-mailowej, zwłaszcza tej zawierającej prośby o podanie poufnych informacji lub zawierającej nieoczekiwane łącza.

Segmentacja sieci:
Wdrożyć segmentację sieci, aby ograniczyć boczne przemieszczanie się oprogramowania ransomware w sieci.
Izoluj krytyczne systemy i wrażliwe dane od mniej bezpiecznych obszarów sieci.

Biała lista aplikacji:
Użyj białej listy aplikacji, aby zezwolić na uruchamianie w swoich systemach wyłącznie zatwierdzonych programów, zapobiegając uruchamianiu nieautoryzowanego i potencjalnie złośliwego oprogramowania.