Что такое программа-вымогатель ChocVM?
Недавно появился новый вариант программы-вымогателя под названием ChocVM, связанный с семейством Makop. Это вредоносное программное обеспечение шифрует файлы, изменяет обои рабочего стола, изменяет имена файлов и оставляет характерную записку о выкупе в файле с именем «+README-WARNING+.txt».
Table of Contents
Шифрование и переименование файлов
ChocVM использует уникальный подход к переименованию файлов путем добавления строки случайных символов, адреса электронной почты «xakep@dark-forum.ru» и расширения файла «.chocolate». Например, файл вида «1.jpg» преобразуется в «1.jpg.[2AF20FA3].[xakep@dark-forum.ru].шоколад».
Обзор записки о выкупе ChocVM
В записке о выкупе, оставленной ChocVM, поясняется, что файлы жертвы были зашифрованы без изменения файловой структуры. Чтобы восстановить доступ к своим файлам, жертвы должны заплатить выкуп. Злоумышленник подчеркивает, что это коммерческая сделка, не проявляя заботы об интересах жертвы. Своеобразное предложение предлагается бесплатно расшифровать два небольших файла с простыми расширениями, предоставив контактную информацию через адреса электронной почты: xakep@dark-forum.ru или hackr@dark-forum.ru.
Записка о выкупе выглядит следующим образом:
::: Greetings ChocVM :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailboxes: xakep@dark-forum.ru or hackr@dark-forum.ru.5.
В: Как будет проходить процесс расшифровки после оплаты?
О: После оплаты мы вышлем Вам нашу программу сканер-декодер и подробную инструкцию по использованию. С помощью этой программы вы сможете расшифровать все ваши зашифрованные файлы..6.
Вопрос: Если я не хочу платить таким плохим людям, как вы?
О: Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, ведь приватный ключ есть только у нас. На практике – время гораздо ценнее денег.:::ОСТЕРЕГАТЬСЯ:::
НЕ пытайтесь изменить зашифрованные файлы самостоятельно!
Если вы попытаетесь использовать стороннее программное обеспечение для восстановления данных или антивирусные решения - сделайте резервную копию всех зашифрованных файлов!
Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
Подробности о выплате выкупа
После оплаты злоумышленник обязуется предоставить программу расшифровки вместе с подробными инструкциями по расшифровке файлов. В примечании прямо предостерегается от попыток самостоятельного восстановления файлов, утверждая, что любые такие действия могут повредить закрытый ключ и привести к необратимой потере данных.
Анализ угроз программ-вымогателей: обзор
Когда люди становятся жертвами атак программ-вымогателей, они вынуждены платить киберпреступникам за инструменты расшифровки. Обычно альтернативы включают поиск бесплатных инструментов расшифровки в Интернете или использование резервных копий данных. Однако платить выкуп настоятельно не рекомендуется из-за неопределенности относительно надежности киберпреступников в предоставлении обещанных инструментов расшифровки.
Немедленные действия против программ-вымогателей
Быстрое устранение программ-вымогателей со скомпрометированных устройств имеет решающее значение, поскольку вредоносное ПО может инициировать дальнейшее шифрование и распространиться по локальным сетям, что приведет к шифрованию файлов на взаимосвязанных компьютерах.
Пейзаж программ-вымогателей
Атаки программ-вымогателей могут различаться по способам доставки и целям, но постоянное требование оплаты в обмен на расшифровку данных, переименование файлов и представление требования выкупа остается. Примеры других вариантов программ-вымогателей включают BO Team, Cdmx и Tprc.
Понимание заражений программами-вымогателями: причины и профилактика
Методы заражения
Программы-вымогатели часто проникают в системы через обманные электронные письма, содержащие вредоносные вложения или ссылки. Неосторожные пользователи могут случайно инициировать загрузку и выполнение, щелкнув эти ссылки или открыв вложения. Трояны — еще один инструмент, используемый для доставки вредоносных программ, включая программы-вымогатели. Злоумышленники также используют такие каналы, как P2P-сети, вредоносную рекламу, уязвимости программного обеспечения, пиратское программное обеспечение и многое другое.
Защитные меры
Чтобы защититься от заражения программами-вымогателями, пользователям рекомендуется устанавливать регулярные обновления операционной системы и установленных приложений. Использование надежного антивирусного или вредоносного программного обеспечения, осторожность при работе с электронными письмами из неизвестных источников, избегание рискованных веб-сайтов и отказ от загрузки файлов из ненадежных источников являются важными профилактическими мерами.
Борьба с инфекцией ChocVM
Если компьютер уже заражен ChocVM, рекомендуется использовать антивирусную программу для автоматического удаления этой угрозы-вымогателя.