Что такое программа-вымогатель G-STARS?

G-STARS Ransomware, также известная как Phobos, представляет собой вредоносную программу, подпадающую под категорию программ-вымогателей. Этот тип вредоносного ПО предназначен для шифрования данных в системе жертвы, а затем требует оплаты от жертвы в обмен на ключ дешифрования.

В ходе различных исследований, проведенных экспертами по компьютерной безопасности, они столкнулись с программой-вымогателем G-STARS (Phobos) при анализе новых сообщений на сайте VirusTotal. Когда эта программа-вымогатель заражает машину, она шифрует файлы и изменяет их имена. К исходным именам файлов добавляется уникальный идентификатор, адрес электронной почты киберпреступников и расширение «.G-STARS». Например, файл с первоначальным названием «1.jpg» будет отображаться как «1.jpg.id[9ECFA84E-3442].[ support.antimalware@onionmail.com ].G-STARS». Затем программа-вымогатель создает заметки о выкупе как в текстовом файле («info.txt»), так и во всплывающем окне («into.hta»).

Записка о выкупе программы-вымогателя G-STARS

Записи о выкупе, оставленные G-STARS (Фобос), содержат аналогичную информацию. Они сообщают жертве, что их файлы зашифрованы, и дают указание связаться с злоумышленниками, используя несколько способов связи. Кроме того, в заметках утверждается, что конфиденциальная информация из скомпрометированной сети, такая как данные сотрудников и клиентов, финансовые данные и производственные документы, была похищена. Злоумышленники угрожают увеличить размер выкупа и слить украденный контент, если жертва не свяжется с ними. Они также предостерегают от переименования зашифрованных файлов или использования сторонних инструментов восстановления, так как это может сделать данные незашифрованными.

Примечание гласит следующее:

Привет, мой дорогой друг. Все ваши файлы были зашифрованы!

К несчастью для вас, из-за серьезной уязвимости в ИТ-безопасности вас могут атаковать: ваши файлы были зашифрованы. Единственный способ восстановить файлы — приобрести для вас инструмент расшифровки и уникальный ключ.
Если вы хотите восстановить свои файлы, напишите нам на этот адрес электронной почты: support.antimalware@onionmail.com В случае отсутствия ответа в течение 24 часов напишите нам на этот адрес электронной почты: support.antimalware@msgden.com
Наш онлайн-оператор доступен в мессенджере Telegram: @Files_decrypt или hxxps://t.me/Files_decrypt
Если нет ответа от нашей почты, вы можете установить программу ICQ на свой ПК здесь hxxps://icq.com/windows/ или на смартфон из Appstore/Google Play Market ищите «ICQ»
Напишите в нашу аську @Ransomware_Decrypt hxxps://icq.im/Ransomware_Decrypt/ Или скачайте (Сессионный) мессенджер (hxxps://getsession.org) в мессенджере: 0569a7c0949434c9c4464cf2423f66d046e3e08654e4164404b1dc23783096d31 3
Вы должны добавить этот идентификатор - и мы завершим нашу конвертацию.
Или скачайте Tox Chat (hxxps://tox.chat/download.html') в мессенджере: C20A4B4AC30BBF70E7F2340FC0F97B08FA58B6E041557ABBF29EAF82FED0C47D79239FA26B51 Вы должны добавить этот ID 9ECFA84E-3442 и написать нам.

Обратите внимание, что вы никогда не сможете восстановить свои данные без оплаты. Проверьте свою электронную почту в папке «Спам» или «Нежелательная почта», если вы не получили ответ более 6 часов.
Свяжитесь с нами в ближайшее время, потому что те, чьи данные не просочились в наш блог с пресс-релизами, и цена, которую им придется заплатить, значительно возрастет.

Ваши данные
Конфиденциальные данные в вашей системе были СКАЧАНЫ.
Если вы НЕ ХОТИТЕ, чтобы ваши конфиденциальные данные были ОПУБЛИКОВАНЫ, вы должны действовать быстро.

Данные включают:
Персональные данные сотрудников, CV, DL, SSN.
Полная карта сети, включая учетные данные для локальных и удаленных служб.
Частная финансовая информация, включая: данные клиентов, счета, бюджеты, годовые отчеты, банковские выписки.
Производственная документация, в том числе: дейтаграммы, схемы, чертежи в формате SolidWorks
И более...

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Мы всегда готовы к сотрудничеству и найдем лучший способ решить вашу проблему.
Чем быстрее вы напишете - тем выгоднее будут для вас условия.
Наша компания дорожит своей репутацией. Мы даем все гарантии расшифровки ваших файлов.

Основываясь на обширных исследованиях программ-вымогателей, обычно трудно расшифровать файлы без помощи злоумышленников. Даже если выкуп будет уплачен, жертвы могут не получить ключи или инструменты дешифрования, что делает восстановление данных неопределенным. Выплата выкупа также поддерживает незаконную деятельность, поэтому это не рекомендуется.

Предотвращение и удаление программ-вымогателей G-STARS

Чтобы предотвратить дальнейшее шифрование с помощью программы-вымогателя G-STARS (Phobos), необходимо удалить ее из операционной системы. Однако удаление не восстановит уже скомпрометированные файлы. Единственным надежным решением является восстановление данных из резервной копии, если она была создана заранее и сохранена в другом месте. Настоятельно рекомендуется хранить резервные копии в нескольких местах, например на удаленных серверах и отключенных устройствах хранения, для обеспечения безопасности данных.

Программы-вымогатели, в том числе G-STARS (Phobos), часто распространяются с помощью тактики фишинга и социальной инженерии. Общие методы включают в себя загрузку с диска, вредоносные вложения и ссылки в спам-сообщениях, онлайн-мошенничество, вредоносную рекламу, сомнительные источники загрузки, незаконные инструменты активации программ и поддельные обновления. Некоторые программы-вымогатели также могут самостоятельно распространяться через локальные сети и съемные устройства хранения данных.

Эти вредоносные программы могут маскироваться под обычные файлы, такие как исполняемые файлы, архивы, документы, JavaScript и прочее. Как только опасный файл открывается, запускается цепочка заражения, ведущая к загрузке и установке программы-вымогателя в системе жертвы.

В заключение, G-STARS Ransomware, или Phobos, представляет собой опасную угрозу, которая шифрует файлы и требует выкуп за их расшифровку. Крайне важно принимать превентивные меры, такие как хранение резервных копий в нескольких местах и осторожность при взаимодействии с электронной почтой, загрузками и веб-сайтами, чтобы не стать жертвой такого вредоносного ПО.