Datah Ransomware é um clone do Makop

Ao analisar novas amostras de malware, encontramos uma variante de ransomware afiliada à família Makop, conhecida como Datah. Este ransomware encripta ficheiros e gera uma nota de resgate denominada "+README-WARNING+.txt", contendo detalhes de contacto e instruções. Além disso, Datah altera os nomes dos arquivos.

Datah modifica os nomes dos arquivos adicionando o ID da vítima, o endereço de e-mail datahelper@onionmail.org e a extensão “.datah”. Por exemplo, ele muda "1.jpg" para "1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah" e "2.png" para "2.png.[2AF20FA3].[datahelper@ cebolamail.org].datah" e assim por diante.

A nota de resgate notifica a vítima sobre a criptografia de seus arquivos, mas garante que a estrutura do arquivo permanece inalterada. Enfatiza que a recuperação só é possível mediante o pagamento do resgate aos agentes da ameaça responsáveis pela criptografia. Os cibercriminosos oferecem uma demonstração de sua capacidade de descriptografia, permitindo que a vítima descriptografe dois pequenos arquivos como teste.

Os detalhes de contato são fornecidos através de um endereço de e-mail (datahelper@onionmail.org) e um TOX ID. A nota termina com um forte aviso contra a tentativa de modificar os ficheiros encriptados de forma independente, alertando que quaisquer alterações podem resultar na perda de dados e na perda permanente da chave privada de desencriptação, deixando a vítima com dados irrecuperáveis.

Datah produz longa nota de resgate

O texto completo da longa nota de resgate gerada por Datah é o seguinte:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Quais são as melhores maneiras de proteger seus dados contra ataques de ransomware?

Proteger seus dados contra ataques de ransomware é crucial para proteger suas informações pessoais e comerciais. Aqui estão algumas das melhores práticas para ajudar a mitigar o risco de ransomware:

Backups regulares: mantenha backups regulares de seus dados importantes em armazenamento offline ou baseado em nuvem. Isso garante que mesmo que seus arquivos sejam criptografados por ransomware, você poderá restaurá-los do backup sem ter que pagar o resgate.

Atualizar software: mantenha seu sistema operacional, software antivírus e todos os aplicativos atualizados com os patches e atualizações de segurança mais recentes. Vulnerabilidades em software desatualizado podem ser exploradas por invasores de ransomware.

Eduque os funcionários: forneça treinamento abrangente de conscientização sobre segurança cibernética aos funcionários para ajudá-los a reconhecer e-mails de phishing, links maliciosos e outros possíveis vetores de ataque de ransomware. Incentive uma cultura de ceticismo em relação a e-mails e anexos não solicitados.

Use software antivírus e antimalware: instale software antivírus e antimalware confiável em todos os dispositivos e certifique-se de que sejam atualizados regularmente. Essas ferramentas podem ajudar a detectar e prevenir infecções por ransomware.

Implemente medidas de segurança de rede: Utilize firewalls, sistemas de detecção de intrusões e outras medidas de segurança de rede para monitorar e proteger contra acesso não autorizado e atividades maliciosas em sua rede.

Restringir permissões de usuário: Limite as permissões de usuário apenas às necessárias para suas funções. Isso pode ajudar a evitar que o ransomware se espalhe lateralmente pela sua rede caso o sistema de um usuário seja comprometido.

Habilite a filtragem de e-mail: implemente soluções de filtragem de e-mail para bloquear e-mails de phishing e anexos maliciosos antes que eles cheguem às caixas de entrada dos usuários. Isso pode reduzir significativamente a probabilidade de infecções por ransomware por e-mail.

Desabilitar o protocolo de área de trabalho remota (RDP): se não for necessário para operações comerciais, considere desabilitar o RDP ou implementar medidas de segurança adicionais, como autenticação multifator, para evitar acesso não autorizado via RDP.