Программа-вымогатель Keylock использует длинную записку о выкупе

Наши исследователи определили Keylock как тип программы-вымогателя во время регулярной проверки новых файлов. Программа-вымогатель шифрует файлы, а затем требует плату за их расшифровку.

В нашей тестовой системе Keylock шифровал файлы и добавлял к их именам расширение «.keylock». Например, файл с первоначальным названием «1.jpg» стал «1.jpg.keylock», «2.png» превратился в «2.png.keylock» и так далее для всех затронутых файлов.

После завершения процесса шифрования была создана записка с требованием выкупа с заголовком «README-id-[имя пользователя].txt». Keylock также изменил обои рабочего стола.

Обои, предоставленные Keylock, направляют жертву к текстовому файлу. В примечании о выкупе в этом файле объясняется, что недоступные файлы были зашифрованы, и предполагается, что данные жертвы были похищены.

Чтобы восстановить данные, жертва должна получить уникальный ключ дешифрования, которым владеет злоумышленник. Для получения инструментов дешифрования необходимо заплатить неуказанный выкуп в криптовалюте Биткойн. Жертве дается 72 часа на то, чтобы связаться с киберпреступниками; невыполнение этого требования приведет к тому, что украденные данные компании будут раскрыты или проданы.

Прежде чем совершать какие-либо платежи, жертва имеет возможность протестировать процесс расшифровки, отправив злоумышленникам до трех зашифрованных файлов. Размер этих файлов не должен превышать 2 МБ и не должен содержать ценной информации.

В сообщении также предостерегается от переименования, изменения или удаления зашифрованных файлов, попыток расшифровки вручную или использования стороннего программного обеспечения для восстановления или антивирусных инструментов, поскольку эти действия могут привести к безвозвратной потере данных.

Записка о выкупе на ключ грозит утечкой через 72 часа после нападения

Полный текст записки о выкупе Keylock выглядит следующим образом:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы были зашифрованы с помощью надежных алгоритмов шифрования, изменены и теперь имеют расширение «.keylock»!
Файловая структура не повреждена. Не волнуйтесь, ваш уникальный ключ шифрования надежно хранится на нашем сервере, и ваши данные можно быстро и безопасно расшифровать.
Мы гарантируем, что вы сможете легко восстановить все ваши данные.
Мы даем вам полную инструкцию. И помогать вам до полного завершения процесса расшифровки.

Мы можем доказать, что можем расшифровать все ваши данные. Пожалуйста, просто отправьте нам 3 не важных небольших (~ 2 МБ) зашифрованных файла, которые случайным образом хранятся на вашем сервере. Также в каждую папку прикрепите оставленный нами README-id.txt.
Мы расшифруем эти файлы и отправим их вам в качестве доказательства. Обратите внимание, что файлы для бесплатной тестовой расшифровки не должны содержать ценной информации.

Если вы не начнете с нами диалог в течение 72 часов, мы будем вынуждены опубликовать ваши файлы в открытом доступе. Ваши клиенты и партнеры будут проинформированы об утечке данных.
Таким образом, ваша репутация будет испорчена. Если вы не отреагируете, мы будем вынуждены продать наиболее важную информацию, такую как базы данных и персональные данные, заинтересованным сторонам для получения некоторой прибыли.
Это просто бизнес.
Нам абсолютно плевать на вас и ваши сделки, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства – с нами никто сотрудничать не будет. Это не в наших интересах.

Если вы хотите расшифровать свои файлы, вам нужно будет заплатить в биткойнах.
Если вы хотите разрешить эту ситуацию, прикрепите к письму этот файл README-id.txt и напишите на ВСЕ эти 2 адреса электронной почты:

keychain@onionmail.org
keybranch@mailfence.com

Вы также можете написать нам в Telegram: hxxps://t.me/key_chain

ВАЖНЫЙ!
Мы рекомендуем вам связаться с нами напрямую, чтобы не переплачивать агентам. Ваши данные зашифрованы, и только У НАС есть ключ для расшифровки. Для расшифровки ваших данных вам понадобится всего 1 час, после оплаты, не более.
Мы просим отправить ваше сообщение на ВСЕ наши 2 адреса электронной почты и в Telegram, поскольку по разным причинам ваше письмо может не быть доставлено.
Наше сообщение может быть признано спамом, поэтому обязательно проверьте папку «Спам».
Если мы не ответим вам в течение 24 часов, напишите нам с другого адреса электронной почты.
Пожалуйста, не теряйте время, это принесет только дополнительный ущерб вашей компании.
Пожалуйста, не переименовывайте и не пытайтесь расшифровать файлы самостоятельно. Мы не сможем вам помочь, если файлы будут изменены.
Если вы попытаетесь использовать стороннее программное обеспечение для восстановления ваших данных или антивирусные решения, сделайте резервную копию всех зашифрованных файлов.
Если вы удалите зашифрованные файлы с текущего компьютера, возможно, вы не сможете их расшифровать.

Почему злоумышленники, использующие программы-вымогатели, используют угрозы утечки данных?

Злоумышленники-вымогатели используют угрозы утечки данных по нескольким причинам:

• Увеличение рычагов воздействия. Угроза утечки конфиденциальных данных дает операторам программ-вымогателей дополнительные рычаги воздействия на своих жертв. Это создает дополнительный уровень давления, заставляя жертву чувствовать, что не только ее файлы зашифрованы и недоступны, но и их частная и потенциально опасная информация также может быть раскрыта публике.
• Более высокие выплаты выкупа. Жертвы с большей вероятностью заплатят более высокую сумму выкупа, если считают, что украденные данные являются чувствительными, конфиденциальными или ценными. Страх репутационного ущерба, юридических последствий или финансовых потерь может побудить жертв выполнить требования о выкупе.
• Ущерб репутации. Утечки данных могут серьезно навредить репутации организации. Если конфиденциальная или частная информация будет раскрыта, это может подорвать доверие между клиентами, партнерами и заинтересованными сторонами. Компании часто хотят предотвратить утечку данных любой ценой, чтобы защитить свой имидж.
• Проблемы с правовыми нормами и соблюдением требований. Угрозы утечки данных могут создать для организаций серьезные юридические проблемы и проблемы с соблюдением требований. В зависимости от характера украденных данных организации могут быть подвергнуты штрафам со стороны регулирующих органов и судебным искам. Уплата выкупа может показаться способом избежать этих потенциальных последствий.
• Публичное осуждение: некоторые группы программ-вымогателей используют угрозы утечки данных как тактику, чтобы публично опозорить своих жертв. Они могут раскрыть часть украденных данных или предоставить доказательства взлома, что может привести к негативному вниманию средств массовой информации и общественному позору организации-жертвы.
• Необходимость платить быстро. Угроза утечки данных часто сопровождается сжатыми сроками, вынуждая жертв принимать быстрые решения. Эта срочность может привести к поспешным выплатам выкупа, чтобы предотвратить раскрытие данных.