Как остановить и удалить программу-вымогатель наличными

В сфере киберугроз появилась еще одна угроза, известная как Cash Ransomware. Эта вредоносная программа, разработанная тем же злоумышленником, что и Cash RAT (троян удаленного доступа) и MintStealer, предназначена для шифрования данных и требования оплаты за расшифровку. Cash Ransomware добавляет к именам зашифрованных файлов расширение «.CashRansomware», преобразуя «1.jpg» в «1.jpg.CashRansomware» и «2.png» в «2.png.CashRansomware».

Подробности записки о выкупе

Cash Ransomware создает три записки с требованием выкупа: обои рабочего стола, всплывающее окно и HTML-файл с именем «Cash Ransomware.html». Эти заметки, хотя и разные по внешнему виду, содержат одну и ту же важную информацию:

• Уведомление о том, что файлы зашифрованы.
• Требует выкуп за расшифровку данных.
• Предупреждения о действиях, которые могут помешать восстановлению данных.

В сообщениях указывается, что файлы были зашифрованы с использованием криптографических алгоритмов XChaCha20, Poly1305 и AES-256-GCM. Жертвам предлагается заплатить 80 долларов США в криптовалюте Monero (XMR) за расшифровку. Кроме того, в примечаниях предостерегается от перезапуска устройства или запуска антивирусных программ, поскольку эти действия могут сделать файлы недешифруемыми. Отключение от сети также не рекомендуется, поскольку это может затруднить переговоры и усилия по восстановлению.

Примечание Cash Ransomware выглядит следующим образом:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Анализ программ-вымогателей наличными

Основываясь на обширном опыте исследования заражений программами-вымогателями, становится очевидным, что расшифровка без участия злоумышленников редко возможна. Уплата выкупа не гарантирует восстановление данных, поскольку киберпреступники часто не предоставляют ключ дешифрования даже после выполнения их требований. Поэтому настоятельно не рекомендуется выполнять требования о выкупе, поскольку это только подпитывает преступную деятельность.

Интересно, что сумма выкупа, которую требует Cash Ransomware, относительно невелика, что вызывает подозрения. Программы-вымогатели обычно требуют от домашних пользователей суммы от трех до четырех цифр (в долларах США). Когда выкуп необычно мал, злоумышленники могут не беспокоиться об отправке жертвам инструментов восстановления, предполагая, что программы-вымогатели могут использоваться для получения дохода или тестирования нового программного обеспечения/методов.

Смягчение и предотвращение

Чтобы предотвратить дальнейшее шифрование, Cash Ransomware необходимо удалить из операционной системы. Однако это не восстановит уже затронутые файлы. Восстановление возможно только из резервной копии, что подчеркивает важность хранения резервных копий в нескольких местах (например, на удаленных серверах, отключенных устройствах хранения).

Примечательные примеры программ-вымогателей

LockBit 5, Risen, Cronus, Lynx и HorrorDead — недавние примеры программ-вымогателей, которые функционируют одинаково, шифруя данные и требуя плату за расшифровку. Программы-вымогатели различаются в первую очередь используемыми криптографическими алгоритмами (симметричными или асимметричными) и размером выкупа, который варьируется в зависимости от цели (домашние пользователи или крупные организации, такие как корпорации и организации).

Векторы инфекции

Cash Ransomware предлагается как RaaS (Ransomware-as-a-Service), то есть разработчики продают его киберпреступникам. Следовательно, метод распространения может варьироваться. Как правило, вредоносное ПО распространяется посредством фишинга и социальной инженерии, часто замаскированного под законный контент или связанного с ним. Вредоносными файлами могут быть исполняемые файлы, архивы, документы, JavaScript и т. д., цепочка скачивания/установки которых запускается при открытии зараженного файла.

К распространенным методам распространения вредоносного ПО относятся:

• Трояны-загрузчики/бэкдоры.
• Попутные загрузки.
• Сомнительные источники загрузки (например, бесплатные сайты, P2P-сети).
• Вредоносные вложения/ссылки в спам-рассылках.
• Мошенничество в Интернете.
• Инструменты нелегальной активации ПО («взлома»).
• Фейковые обновления.

Кроме того, некоторые вредоносные программы могут самостоятельно распространяться через локальные сети и съемные носители.

Меры защиты

Для защиты от заражения программами-вымогателями:

• Скачивайте только с официальных и проверенных каналов.
• Активируйте и обновляйте программы, используя оригинальные функции/инструменты.
• Относитесь к входящим письмам и сообщениям с осторожностью.
• Не открывайте подозрительные вложения и ссылки.
• Сохраняйте бдительность во время просмотра, чтобы избежать мошеннического контента.
• Установите и регулярно обновляйте надежное антивирусное программное обеспечение.
• Выполняйте регулярное сканирование системы для обнаружения и удаления угроз.

Если ваш компьютер заражен программой-вымогателем Cash Ransomware, рекомендуется запустить сканирование с помощью программы защиты от вредоносных программ, чтобы автоматически устранить угрозу. Будьте в безопасности и защитите свои данные, следуя этим рекомендациям.