Как остановить и удалить программу-вымогатель HorrorDead
В постоянно меняющемся мире киберугроз появилась новая программа-вымогатель под названием HorrorDead, которая еще больше усложнила задачу защиты данных. Программа-вымогатель по своему замыслу шифрует файлы в системе жертвы, удерживая их в заложниках до тех пор, пока за расшифровку не будет заплачен выкуп. HorrorDead следует этой печально известной книге, но с некоторыми уникальными особенностями.
Table of Contents
Как работает HorrorDead
При заражении системы HorrorDead шифрует файлы и добавляет к их именам определенное расширение: «.encrypted@HorrorDeadBot». Например, файл с именем «1.jpg» становится «1.jpg.encrypted@HorrorDeadBot», а «2.png» меняется на «2.png.encrypted@HorrorDeadBot». После завершения процесса шифрования HorrorDead меняет обои рабочего стола, чтобы отображать сообщение о выкупе на русском языке.
Записка о выкупе
В отличие от обычных программ-вымогателей, в записке о выкупе HorrorDead утверждается, что это розыгрыш, несмотря на то, что на самом деле файлы шифруются. В сообщении предупреждается, что распространение этого вредоносного ПО является уголовным преступлением, предусмотренным Уголовным кодексом Российской Федерации. Там упоминается текстовый файл, который должен содержать инструкцию по загрузке расшифровщика, но в ходе наших тестов этот файл не был найден. Хотя в записке и утверждается, что расшифровщик безопасен, оснований доверять этой информации нет. Мы настоятельно не рекомендуем скачивать любые файлы, предложенные киберпреступниками.
Записка о выкупе HorrorDead на русском языке звучит следующим образом:
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА,
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Здравствуйте! Если вы видите данное сообщение, или у вас появился текстовый файл, зто значит, что ваша система,
заражена вирусом HorrorDead Ransomware, а все ваши файлы зашнфрованы AES-256, ключом шифрования.
Для того, чтобы расшифровать ваши файлы, следуйте инструкции:
1. Перейдите в Telegram
2. Напишите, в поиске @HorrorDeadBot, или выйдите из Telegram, перейдите по ссылке hxxps://t.me./HorrorDeadBot
3. Нажмите на кнопку Старт (по английски, будет написано Start).
4. Нажмите на кнопку 'Получит дешифроватор'
5. Скачайте дешифратор (он точно без вирусов), если не вернте, закиньте данный дешифратор, на VirusTotal.
6. Расшифруйте свои файлы.
7. Готово
ВНИМАНИЕ! ДАННЫЙ ПРОЕКТ, ЯВЛЯЕТСЯ ШУТОЧНЫМ. РАСПРОСТРАНЕНИЕ,
И ТИРАЖИРОВАНИЕ ДАННОГО ЕХЕ-ФАЙЛА
НЕСЕТ ЗА СОБОЙ УГОЛОВНУКО ОТВЕТСТВЕННОСТЬ ЛО СТАТЬЕ 272 И 273 УК РФ.
Реальность расшифровки
Наш обширный опыт работы с программами-вымогателями показывает мрачную реальность: расшифровка без помощи злоумышленников, как правило, невозможна. Даже если требования о выкупе будут выполнены, восстановление данных не гарантировано. Киберпреступники часто не предоставляют функциональные дешифраторы даже после оплаты. Уплата выкупа поддерживает незаконную деятельность и не гарантирует восстановление данных.
Удаление и восстановление
Чтобы предотвратить дальнейшее шифрование HorrorDead, его необходимо удалить из зараженной системы. К сожалению, удаление программы-вымогателя не восстановит уже скомпрометированные файлы. Лучшее решение — восстановить файлы из резервной копии, сделанной до заражения. Регулярное резервное копирование данных в несколько отдельных мест, например на удаленные серверы и отключенные устройства хранения, имеет решающее значение для безопасности данных.
Недавние примеры программ-вымогателей, такие как Pomochit, OceanSpy, ZILLA и LostInfo, следуют аналогичной схеме: шифрование файлов и требование выкупа за расшифровку. Основные различия между этими типами программ-вымогателей заключаются в используемых ими криптографических алгоритмах (симметричных или асимметричных) и требуемой сумме выкупа.
Методы заражения
Программы-вымогатели обычно распространяются с помощью методов фишинга и социальной инженерии, часто маскируясь под обычные файлы или в комплекте с законным программным обеспечением. Векторы заражения включают вредоносные вложения или ссылки в спам-сообщениях, мошеннические загрузки, трояны типа бэкдор/загрузчик и поддельные обновления программного обеспечения. Некоторые вредоносные программы могут даже самораспространяться через локальные сети и съемные носители.
Меры защиты
Для защиты от заражения программами-вымогателями необходима бдительность. Будьте осторожны с входящими электронными письмами и сообщениями, особенно с сомнительными вложениями или ссылками. Всегда загружайте программное обеспечение из официальных и надежных источников и избегайте использования незаконных инструментов активации или сторонних обновлений. Обновление надежной антивирусной программы и регулярное сканирование системы также могут помочь обнаружить и удалить такие угрозы, как HorrorDead.
Если ваш компьютер заражен HorrorDead, запустите сканирование с помощью обновленной антивирусной программы, чтобы устранить эту программу-вымогатель и защитить вашу систему от дальнейшего вреда.
