Pres Ransomware: Опасная угроза от семейства Dharma
Table of Contents
Понимание Pres Ransomware
Pres ransomware — это угрожающее дополнение к семейству Dharma ransomware . Как и его предшественники, Pres шифрует файлы жертв и требует выкуп в обмен на их восстановление. Что делает этот вариант особенно идентифицируемым, так это способ, которым он переименовывает зашифрованные файлы. Он добавляет уникальный идентификатор жертвы, контактный адрес электронной почты и расширение «.pres» к каждому имени файла. Например, файл, изначально названный «document.pdf», после шифрования будет отображаться как «document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres».
Наряду с шифрованием файлов Pres отображает всплывающее сообщение с требованием выкупа и помещает текстовый файл с именем "info.txt" в зараженные каталоги. Сообщение сообщает жертвам, что их файлы были зашифрованы, и содержит инструкции по связи с злоумышленниками по электронной почте. Жертвы должны отправить свой уникальный идентификатор на один из двух адресов электронной почты: helpreserve@onionmail.org или helpreserve@cyberfear.com.
Чего хотят нападающие
Записка с требованием выкупа пытается казаться полезной и даже обнадеживающей. В ней утверждается, что файлы жертвы могут быть восстановлены, и предлагается бесплатно расшифровать до трех небольших, неконфиденциальных файлов в качестве доказательства. Однако эти файлы-образцы не должны превышать в общей сложности 3 МБ и не могут включать резервные копии, базы данных или большие электронные таблицы. Записка также предупреждает, что переименование файлов или использование сторонних инструментов восстановления может привести к необратимому ущербу.
В классической тактике психологической манипуляции злоумышленники советуют не привлекать третьих лиц, утверждая, что это может повысить стоимость выкупа. Это делается для того, чтобы изолировать жертву и повысить ее доверие к обещаниям злоумышленников, несмотря на высокий риск не получить никакого инструмента дешифрования после оплаты.
Вот что говорится в записке о выкупе:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Как работают Pres и другие программы-вымогатели
Программы-вымогатели, такие как Pres, предназначены для удержания данных пользователей в заложниках, шифруя их с помощью сильных алгоритмов. После шифрования файлы становятся непригодными для использования, если их не расшифровать с помощью уникального ключа, которым обладают только злоумышленники. Жертвы обычно оказываются перед сложным выбором: заплатить выкуп и надеяться, что злоумышленники сдержат свое слово, или попытаться восстановить данные другими способами.
Pres ransomware не останавливается только на шифровании файлов. Он также удаляет Volume Shadow Copies (используемые Windows для резервного копирования), отключает брандмауэр, чтобы избежать обнаружения, и пытается поддерживать устойчивость, копируя себя в скрытое место в системе и изменяя реестр Windows. Эти тактики призваны гарантировать, что вымогатель может работать даже после перезагрузки системы и противостоять попыткам удаления.
Риски уплаты выкупа
Хотя выплата выкупа может показаться самым быстрым путем к восстановлению, это азартная игра без гарантированного вознаграждения. Злоумышленники могут забрать деньги и исчезнуть или предоставить неисправный или частичный ключ дешифрования. Более того, выплата только подстегнет дальнейшую активность киберпреступников и сделает программы-вымогатели более прибыльными и привлекательными для злоумышленников.
В большинстве случаев восстановление без резервных копий или официальных инструментов дешифрования крайне затруднено. К сожалению, резервные копии, хранящиеся на подключенных или зараженных устройствах, также могут быть скомпрометированы. Поэтому эффективные методы резервного копирования, такие как хранение копий на отключенных внешних дисках или защищенных облачных сервисах, имеют решающее значение.
Как распространяется Pres Ransomware
Заражения Pres ransomware обычно являются результатом слабой безопасности Remote Desktop Protocol (RDP) . Киберпреступники часто используют плохо защищенные RDP-сервисы, используя атаки методом подбора или атаки по словарю для получения несанкционированного доступа. Попав внутрь, они вручную запускают ransomware.
Другие методы заражения включают фишинговые письма, содержащие вредоносные вложения или ссылки, скрытые загрузки с ненадежных сайтов, пиратское программное обеспечение, связанное с вредоносным ПО, и обманчивую рекламу. Пользователи также могут столкнуться с программами-вымогателями через P2P-сети или поддельные запросы на обновление ПО. Вредоносное ПО обычно маскируется под легитимную программу или документ, обманывая пользователей, чтобы активировать заражение.
Как оставаться защищенным
Предотвращение программ-вымогателей, таких как Pres, начинается с разумного поведения в сети и надежных мер кибербезопасности. Избегайте загрузки программного обеспечения с неофициальных сайтов, держитесь подальше от пиратских программ или генераторов ключей и никогда не включайте макросы в незнакомых документах Office. Будьте особенно осторожны с вложениями электронной почты или ссылками из неизвестных источников, даже если они кажутся срочными или важными.
Регулярно обновляйте операционную систему и программное обеспечение, чтобы устранить известные уязвимости. Используйте надежные антивирусные инструменты, включающие функции защиты в реальном времени. Регулярно создавайте резервные копии важных данных и храните их в безопасных, отключенных местах.
Заключительные мысли
Pres ransomware — еще один пример того, насколько изощренными и разрушительными стали современные угрозы вымогателей. Он сочетает в себе техническую скрытность с социальными манипуляциями, чтобы заставить жертв платить выкупы, которые могут даже не привести к восстановлению файлов. Оставаясь начеку, следуя лучшим практикам кибербезопасности и поддерживая надежные резервные копии, пользователи и организации могут значительно снизить свои риски, связанные с этими цифровыми схемами вымогательства.
