Программа-вымогатель GhostLocker зашифрует файлы жертв
GhostLocker представляет собой программу-вымогатель, созданную киберпреступной группировкой GhostSec. Этот тип вредоносного ПО, отнесенный к категории программ-вымогателей, предназначен для шифрования данных и требования оплаты за их расшифровку.
В нашей тестовой среде GhostLocker шифровал файлы и добавлял к их именам расширение «.ghost». Например, исходный файл с именем «1.jpg» превратился в «1.jpg.ghost», а «2.png» стал «2.png.ghost», и этот шаблон был применен ко всем затронутым файлам.
По завершении процесса шифрования была отправлена записка с требованием выкупа, обычно называемая «lmao.html». Стоит отметить, что имя HTML-документа может отличаться.
Сообщение GhostLocker сообщает жертве, что ее файлы были зашифрованы с использованием криптографических алгоритмов RSA-2048 и AES-12, а конфиденциальные данные были похищены.
Чтобы расшифровать файлы, необходимо заплатить выкуп. Жертве предоставляется 48-часовое окно для связи с злоумышленниками, и несоблюдение этого срока приведет к увеличению суммы выкупа. Отказ выполнить требования киберпреступников приведет к уничтожению данных.
В примечании предостерегается от переименования зашифрованных файлов или использования сторонних инструментов восстановления, поскольку это может привести к безвозвратной потере данных. Жертву также предупреждают, что обращение за помощью к третьим лицам или властям приведет к потере данных и раскрытию украденного контента.
Записка о выкупе GhostLocker пытается показаться умной
Полный текст записки о выкупе, созданной внутри файла «lmao.html», выглядит следующим образом:
GhostLocker
Мы занимаемся дерьмом, потому что можемВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ украдены и зашифрованы
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР ШИФРОВАНИЯ: - (СОХРАНИТЕ ЭТО)Все ваши важные файлы были украдены и зашифрованы с помощью шифров военного уровня RSA-2048 и AES-128. Это означает, что как бы вы ни старались, единственный способ вернуть свои файлы — это работать с нами и следовать нашим требованиям.
У вас есть 48 часов (2 дня), чтобы связаться с нами. Если вы не попытаетесь связаться с нами в течение этого периода времени, сумма выкупа увеличится.
Если вы не заплатите выкуп, ваши файлы будут уничтожены навсегда.
Вы можете связаться с нами по следующим
Внимание
НЕ платите выкуп никому, кроме упомянутой здесь верхней контактной информации.
НЕ переименовывайте зашифрованные файлы
НЕ пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Любое вмешательство правоохранительных органов, групп по восстановлению данных или сторонних поставщиков средств безопасности приведет к безвозвратной потере данных и немедленному опубликованию данных.
Как программы-вымогатели могут проникнуть в вашу систему?
Программы-вымогатели могут проникнуть в вашу систему различными способами, и понимание этих точек входа имеет решающее значение для предотвращения таких атак. Вот несколько распространенных способов, с помощью которых программы-вымогатели могут получить доступ к вашей системе:
- Фишинговые электронные письма. Самый распространенный метод — фишинговые электронные письма. Вы можете получить электронное письмо, которое выглядит как законный источник, но содержит вредоносные вложения или ссылки. Открытие этих вложений или переход по этим ссылкам может привести к загрузке и запуску программы-вымогателя на вашем компьютере.
- Вредоносные веб-сайты. Посещение вредоносных или скомпрометированных веб-сайтов может подвергнуть вашу систему воздействию программ-вымогателей. Эти веб-сайты могут использовать уязвимости в вашем веб-браузере или плагинах для загрузки и запуска программ-вымогателей.
- Вредоносная реклама. Интернет-рекламу можно использовать для распространения программ-вымогателей. Киберпреступники могут размещать вредоносную рекламу на законных веб-сайтах, и если вы нажмете на них, вы можете случайно загрузить программу-вымогатель.
- Загрузка с диска. Некоторые веб-сайты предназначены для автоматической загрузки файлов на ваш компьютер без вашего согласия. Эти попутные загрузки могут установить программы-вымогатели, если ваша система не защищена должным образом.
- Уязвимости программного обеспечения. Устаревшее или необновленное программное обеспечение может иметь уязвимости безопасности, которыми могут воспользоваться программы-вымогатели. Крайне важно поддерживать вашу операционную систему, приложения и программное обеспечение безопасности в актуальном состоянии.
- Атаки на протокол удаленного рабочего стола (RDP). Киберпреступники могут использовать слабые или стандартные учетные данные RDP для получения удаленного доступа к вашему компьютеру. Оказавшись внутри, они могут внедрить программу-вымогатель.
- Вредоносные вложения. Программы-вымогатели могут распространяться через вредоносные вложения электронной почты, например зараженные документы Microsoft Office или исполняемые файлы. Эти вложения могут использовать уязвимости программного обеспечения или заставить вас запустить их.