Глубокая программа-вымогатель заблокирует вашу систему
Просматривая последние отправленные файлы, наши исследователи наткнулись на программу-вымогатель, известную как Deep, которая принадлежит семейству программ-вымогателей Phobos. Deep (Фобос) шифрует данные, а затем требует оплаты в обмен на ключ дешифрования.
В нашей тестовой системе этот вирус-вымогатель шифровал файлы и изменял их имена. Исходные имена файлов были дополнены уникальным идентификатором, присвоенным жертве, адресом электронной почты киберпреступников и расширением «.deep». Например, файл с первоначальным названием «1.jpg» будет выглядеть как «1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep».
После завершения процесса шифрования были созданы заметки о выкупе, которые отображались как во всплывающем окне с надписью «info.hta», так и в текстовом файле с именем «info.txt».
В текстовом файле, связанном с программой-вымогателем Deep (Phobos), указано, что файлы жертвы зашифрованы, и содержится призыв обратиться к злоумышленникам за помощью в расшифровке.
Всплывающее окно предоставляет дополнительную информацию о заражении программой-вымогателем, объясняя, что восстановление данных может быть достигнуто только путем уплаты выкупа в криптовалюте Биткойн. Прежде чем совершить платеж, жертва имеет возможность протестировать процесс расшифровки, отправив киберпреступникам до трех зашифрованных файлов с соблюдением определенных требований.
Заметка завершается предупреждениями против переименования зашифрованных файлов или попыток использования стороннего программного обеспечения для восстановления, поскольку это может привести к безвозвратной потере данных. Кроме того, обращение за помощью к третьим лицам может привести к увеличению финансовых потерь.
В заметке о программе-вымогателе Deep используется шаблон Phobos
Полный текст записки о выкупе, созданной программой-вымогателем Deep, выглядит следующим образом:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего компьютера. Если вы хотите их восстановить, напишите нам на почту Captain-america@tuta.io.
Напишите этот идентификатор в заголовке вашего сообщения -
Если вы не получили ответ в течение 24 часов, свяжитесь с нами через аккаунт Telegram.org: @HostUppp.
За расшифровку придется платить в биткойнах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов должен быть не более 4Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.
Как такие программы-вымогатели, как Deep, могут попасть в вашу систему?
Программы-вымогатели, такие как Deep, могут проникнуть в вашу систему различными способами, часто используя уязвимости или используя тактику социальной инженерии. Вот несколько распространенных способов проникновения программ-вымогателей в вашу систему:
- Фишинговые электронные письма. Киберпреступники отправляют убедительные, но вредоносные электронные письма, которые кажутся исходящими из надежных источников. Эти электронные письма могут содержать вложения или ссылки, которые при открытии запускают код вымогателя в вашей системе.
- Вредоносные веб-сайты. Посещение взломанных или вредоносных веб-сайтов может вызвать попутную загрузку, при которой программа-вымогатель автоматически загружается и запускается в вашей системе без вашего ведома.
- Зараженное программное обеспечение или файлы. Загрузка программного обеспечения или файлов из ненадежных источников, особенно пиратского или взломанного программного обеспечения, увеличивает риск заражения программами-вымогателями. Эти файлы могут содержать скрытое вредоносное ПО.
- Использование уязвимостей. Программы-вымогатели могут воспользоваться уязвимостями программного обеспечения в вашей операционной системе или приложениях. Если вы не обновите программное обеспечение и не установите исправления безопасности, ваша система станет уязвимой для таких атак.
- Атаки по протоколу удаленного рабочего стола (RDP). Если у вас включен RDP и вы используете слабые или легко угадываемые пароли, злоумышленники могут получить удаленный доступ к вашей системе и установить программу-вымогатель.
- Вредоносная реклама. Киберпреступники могут размещать вредоносную рекламу на законных веб-сайтах. Нажатие на эти объявления или даже простое посещение взломанного сайта может привести к заражению программой-вымогателем.
- Социальная инженерия. Злоумышленники могут выдавать себя за сотрудников службы технической поддержки или других заслуживающих доверия лиц, чтобы обманом заставить вас загрузить или запустить программу-вымогатель.
- USB и съемные носители. Вредоносное ПО может распространяться через зараженные USB-накопители или другие съемные носители. Подключение зараженного устройства может привести к появлению в вашей системе программы-вымогателя.