Программа-вымогатель ADMON заблокирует вашу систему
Изучая отправленные файлы новых вредоносных программ, наша команда исследователей вредоносных программ наткнулась на программу-вымогатель ADMON, обладающую отличительными характеристиками. Этот вымогатель шифрует файлы и изменяет их имена, добавляя расширение «.ADMON». Кроме того, он оставляет записку о выкупе с надписью «RESTORE_FILES_INFO.txt».
Например, файл с исходным названием «1.jpg» будет преобразован в «1.jpg.ADMON», а «2.png» станет «2.png.ADMON» и так далее.
Записка о выкупе служит для информирования жертв о масштабах атаки на их сеть. В нем говорится, что их компьютеры и серверы были заблокированы, а их личные данные были похищены злоумышленниками. Украденные данные охватывают различные типы, такие как контракты, информация о клиентах, финансовые данные, записи кадров, базы данных и многое другое.
Чтобы заставить жертв выполнить свои требования, злоумышленники угрожают публично раскрыть все полученные данные, если жертвы не установят контакт в течение трех дней. В заключение в записке приводятся инструкции о том, как связаться с злоумышленниками, и излагаются преимущества, которые получат жертвы, если они подчинятся. Эти преимущества включают полную расшифровку их машин, удаление их данных с серверов злоумышленников, рекомендации по укреплению их сетевого периметра и гарантию полной конфиденциальности в отношении инцидента.
ADMON использует слишком длинную записку о выкупе
Полный текст записки о выкупе ADMON выглядит следующим образом:
Что случилось?
Ваша сеть подверглась АТАКЕ, ваши компьютеры и серверы были ЗАБЛОКИРОВАНЫ,
Ваши личные данные были СКАЧАНЫ:
- Контракты
- Данные клиентов
- Финансы
- HR
- Базы данных
- И еще другие…
Что это значит?
А это значит, что скоро средства массовой информации, ваши партнеры и клиенты УЗНАЮТ о вашей ПРОБЛЕМЕ.
Как этого можно избежать?
Чтобы избежать этой проблемы,
Вы должны СВЯЗАТЬСЯ С НАМИ не позднее, чем в течение 3 ДНЕЙ и заключить ДОГОВОР о восстановлении данных и устранении нарушений.Что, если я не свяжусь с вами в течение 3 дней?
Если вы не свяжетесь с нами в ближайшие 3 ДНЯ, мы начнем публикацию ДАННЫХ.
Мы разместим информацию о взломе вашей компании в нашем твиттере hxxps://twitter.com/RobinHoodLeaks или hxxps://www.gettr.com/user/robinhoodleaks
ВСЕ КЛИНТЫ УЗНАЮТ О ВАШЕМ ВЗЛОМЕ И УТЕЧКЕ ДАННЫХ!!! РЕПУТАЦИЯ ВАШЕЙ КОМПАНИИ БУДЕТ СИЛЬНО ПОТЕРЯНА!Я могу справиться с этим сам
Это ваше ПРАВО, но в этом случае все ваши данные будут опубликованы для публичного ИСПОЛЬЗОВАНИЯ.
Я не боюсь твоих угроз!
Это не угроза, а алгоритм наших действий.
Если у вас есть сотни миллионов НЕЖЕЛАЕМЫХ долларов, вам нечего БОЯТЬСЯ.
Это ТОЧНАЯ СУММА денег, которую вы потратите на восстановление и выплаты из-за ПУБЛИКАЦИИ.
Вы подвергаете себя огромным штрафам с судебными исками и правительством, если мы оба не придем к соглашению.
Мы видели это раньше, когда дела с многомиллионными затратами на штрафы и судебные иски,
не говоря уже о репутации компании и потере доверия клиентов, а также о том, что СМИ безостановочно требуют ответов.Вы меня убедили!
Тогда вам нужно СВЯЗАТЬСЯ С НАМИ, есть несколько способов сделать это.
---Безопасный метод---
а) Загрузите клиент qTOX: hxxps://tox.chat/download.html
б) Установите клиент qTOX и зарегистрируйте аккаунт
в) Добавьте наш qTOX ID: 671263E7BC06103C77146A5ABB802A63 F53A42B4C4766329A5F04D2660C99A3611635CC36B3A
г) Напишите нам расширение ваших зашифрованных файлов .ADMONНаша ПРЯМАЯ ПОДДЕРЖКА готова ПОМОЧЬ ВАМ в этом чате.
Что я получу в случае соглашения
Вы ПОЛУЧИТЕ полную РАСШИФРОВКУ ваших машин в сети, УДАЛЕНИЕ ваших данных с наших серверов,
РЕКОМЕНДАЦИИ по защите сетевого периметра.И ПОЛНАЯ КОНФИДЕНЦИАЛЬНОСТЬ ОБ ПРОИСШЕСТВИИ.
Как программы-вымогатели, такие как ADMON, распространяются в Интернете?
Вот некоторые из наиболее распространенных методов, используемых для распространения программ-вымогателей, таких как ADMON:
- Фишинговые электронные письма: Киберпреступники рассылают вводящие в заблуждение электронные письма, которые кажутся законными, часто выдавая себя за доверенные организации или отдельных лиц. Эти электронные письма могут содержать вредоносные вложения или ссылки на веб-сайты, на которых размещаются программы-вымогатели. Как только пользователи взаимодействуют с этими элементами, программа-вымогатель загружается и запускается в их системах.
- Вредоносные веб-сайты. Злоумышленники могут создавать вредоносные веб-сайты или компрометировать законные для распространения программ-вымогателей. Ничего не подозревающие пользователи могут посетить эти веб-сайты или нажать на вредоносную рекламу, что приведет к автоматической загрузке и установке программы-вымогателя на их устройства.
- Наборы эксплойтов: Киберпреступники могут использовать наборы эксплойтов, которые представляют собой инструменты, использующие уязвимости в программном обеспечении или операционных системах. Когда пользователи посещают скомпрометированные веб-сайты, набор эксплойтов сканирует их систему на наличие уязвимостей и развертывает программу-вымогатель, если обнаруживается подходящая уязвимость.
- Атаки на протокол удаленного рабочего стола (RDP): программы-вымогатели также могут распространяться с использованием слабых или плохо защищенных RDP-соединений. Злоумышленники могут получить несанкционированный доступ к системе через RDP и вручную установить программу-вымогатель или использовать автоматизированные инструменты для ее развертывания.
Важно отметить, что методы распространения программ-вымогателей со временем меняются по мере того, как киберпреступники меняют свою тактику. Чтобы оставаться в безопасности, крайне важно поддерживать актуальное программное обеспечение безопасности, проявлять осторожность при открытии вложений электронной почты или переходе по ссылкам, регулярно обновлять операционную систему и приложения, а также применять надежные методы обеспечения безопасности, такие как использование сложных паролей и включение двухфакторной аутентификации. аутентификация.