Программа-вымогатель ADMON заблокирует вашу систему

Изучая отправленные файлы новых вредоносных программ, наша команда исследователей вредоносных программ наткнулась на программу-вымогатель ADMON, обладающую отличительными характеристиками. Этот вымогатель шифрует файлы и изменяет их имена, добавляя расширение «.ADMON». Кроме того, он оставляет записку о выкупе с надписью «RESTORE_FILES_INFO.txt».

Например, файл с исходным названием «1.jpg» будет преобразован в «1.jpg.ADMON», а «2.png» станет «2.png.ADMON» и так далее.

Записка о выкупе служит для информирования жертв о масштабах атаки на их сеть. В нем говорится, что их компьютеры и серверы были заблокированы, а их личные данные были похищены злоумышленниками. Украденные данные охватывают различные типы, такие как контракты, информация о клиентах, финансовые данные, записи кадров, базы данных и многое другое.

Чтобы заставить жертв выполнить свои требования, злоумышленники угрожают публично раскрыть все полученные данные, если жертвы не установят контакт в течение трех дней. В заключение в записке приводятся инструкции о том, как связаться с злоумышленниками, и излагаются преимущества, которые получат жертвы, если они подчинятся. Эти преимущества включают полную расшифровку их машин, удаление их данных с серверов злоумышленников, рекомендации по укреплению их сетевого периметра и гарантию полной конфиденциальности в отношении инцидента.

ADMON использует слишком длинную записку о выкупе

Полный текст записки о выкупе ADMON выглядит следующим образом:

Что случилось?

Ваша сеть подверглась АТАКЕ, ваши компьютеры и серверы были ЗАБЛОКИРОВАНЫ,
Ваши личные данные были СКАЧАНЫ:

• Контракты
• Данные клиентов
• Финансы
• HR
• Базы данных
• И еще другие…

Что это значит?

А это значит, что скоро средства массовой информации, ваши партнеры и клиенты УЗНАЮТ о вашей ПРОБЛЕМЕ.

Как этого можно избежать?

Чтобы избежать этой проблемы,
Вы должны СВЯЗАТЬСЯ С НАМИ не позднее, чем в течение 3 ДНЕЙ и заключить ДОГОВОР о восстановлении данных и устранении нарушений.

Что, если я не свяжусь с вами в течение 3 дней?

Если вы не свяжетесь с нами в ближайшие 3 ДНЯ, мы начнем публикацию ДАННЫХ.
Мы разместим информацию о взломе вашей компании в нашем твиттере hxxps://twitter.com/RobinHoodLeaks или hxxps://www.gettr.com/user/robinhoodleaks
ВСЕ КЛИНТЫ УЗНАЮТ О ВАШЕМ ВЗЛОМЕ И УТЕЧКЕ ДАННЫХ!!! РЕПУТАЦИЯ ВАШЕЙ КОМПАНИИ БУДЕТ СИЛЬНО ПОТЕРЯНА!

Я могу справиться с этим сам

Это ваше ПРАВО, но в этом случае все ваши данные будут опубликованы для публичного ИСПОЛЬЗОВАНИЯ.

Я не боюсь твоих угроз!

Это не угроза, а алгоритм наших действий.
Если у вас есть сотни миллионов НЕЖЕЛАЕМЫХ долларов, вам нечего БОЯТЬСЯ.
Это ТОЧНАЯ СУММА денег, которую вы потратите на восстановление и выплаты из-за ПУБЛИКАЦИИ.
Вы подвергаете себя огромным штрафам с судебными исками и правительством, если мы оба не придем к соглашению.
Мы видели это раньше, когда дела с многомиллионными затратами на штрафы и судебные иски,
не говоря уже о репутации компании и потере доверия клиентов, а также о том, что СМИ безостановочно требуют ответов.

Вы меня убедили!

Тогда вам нужно СВЯЗАТЬСЯ С НАМИ, есть несколько способов сделать это.

---Безопасный метод---

а) Загрузите клиент qTOX: hxxps://tox.chat/download.html
б) Установите клиент qTOX и зарегистрируйте аккаунт
в) Добавьте наш qTOX ID: 671263E7BC06103C77146A5ABB802A63 F53A42B4C4766329A5F04D2660C99A3611635CC36B3A
г) Напишите нам расширение ваших зашифрованных файлов .ADMON

Наша ПРЯМАЯ ПОДДЕРЖКА готова ПОМОЧЬ ВАМ в этом чате.

Что я получу в случае соглашения

Вы ПОЛУЧИТЕ полную РАСШИФРОВКУ ваших машин в сети, УДАЛЕНИЕ ваших данных с наших серверов,
РЕКОМЕНДАЦИИ по защите сетевого периметра.

И ПОЛНАЯ КОНФИДЕНЦИАЛЬНОСТЬ ОБ ПРОИСШЕСТВИИ.

Как программы-вымогатели, такие как ADMON, распространяются в Интернете?

Вот некоторые из наиболее распространенных методов, используемых для распространения программ-вымогателей, таких как ADMON:

• Фишинговые электронные письма: Киберпреступники рассылают вводящие в заблуждение электронные письма, которые кажутся законными, часто выдавая себя за доверенные организации или отдельных лиц. Эти электронные письма могут содержать вредоносные вложения или ссылки на веб-сайты, на которых размещаются программы-вымогатели. Как только пользователи взаимодействуют с этими элементами, программа-вымогатель загружается и запускается в их системах.
• Вредоносные веб-сайты. Злоумышленники могут создавать вредоносные веб-сайты или компрометировать законные для распространения программ-вымогателей. Ничего не подозревающие пользователи могут посетить эти веб-сайты или нажать на вредоносную рекламу, что приведет к автоматической загрузке и установке программы-вымогателя на их устройства.
• Наборы эксплойтов: Киберпреступники могут использовать наборы эксплойтов, которые представляют собой инструменты, использующие уязвимости в программном обеспечении или операционных системах. Когда пользователи посещают скомпрометированные веб-сайты, набор эксплойтов сканирует их систему на наличие уязвимостей и развертывает программу-вымогатель, если обнаруживается подходящая уязвимость.
• Атаки на протокол удаленного рабочего стола (RDP): программы-вымогатели также могут распространяться с использованием слабых или плохо защищенных RDP-соединений. Злоумышленники могут получить несанкционированный доступ к системе через RDP и вручную установить программу-вымогатель или использовать автоматизированные инструменты для ее развертывания.

Важно отметить, что методы распространения программ-вымогателей со временем меняются по мере того, как киберпреступники меняют свою тактику. Чтобы оставаться в безопасности, крайне важно поддерживать актуальное программное обеспечение безопасности, проявлять осторожность при открытии вложений электронной почты или переходе по ссылкам, регулярно обновлять операционную систему и приложения, а также применять надежные методы обеспечения безопасности, такие как использование сложных паролей и включение двухфакторной аутентификации. аутентификация.