Программа-вымогатель LEAKDB — клон Фобоса

Изучая новые образцы файлов, наша исследовательская группа обнаружила еще один вариант программы-вымогателя, принадлежащий к семейству Phobos, под названием LEAKDB. Вредоносное ПО, подпадающее под эту классификацию, шифрует данные и требует плату за их последующую расшифровку.

В нашей тестовой системе программа-вымогатель LEAKDB выполнила процесс, в ходе которого шифровала файлы и изменяла их названия. Исходные имена файлов были дополнены уникальным идентификатором, присвоенным жертве, адресом электронной почты киберпреступников и расширением «.LEAKDB». Например, файл с первоначальным названием «1.jpg» был преобразован в «1.jpg.id[9ECFA84E-3143].[pcsupport@skiff.com].LEAKDB».

После завершения процесса шифрования были созданы заметки о выкупе в виде всплывающего окна («info.hta») и текстового файла («info.txt»), которые были помещены в каждый зашифрованный каталог и на рабочем столе. Содержание этих сообщений указывает на то, что LEAKDB ориентирован в первую очередь на компании, а не на отдельных домашних пользователей.

Сообщения с требованием выкупа информируют жертву о шифровании и загрузке ее файлов. В примечаниях прямо не рекомендуется использовать онлайн-инструменты расшифровки или обращаться за помощью к третьим лицам, подчеркивая риск безвозвратной потери данных.

Жертве предоставляется двухдневное окно для установления контакта с нападавшими, подразумевая, что ожидается оплата. В сообщениях подробно описываются потенциальные угрозы, связанные с утечкой данных компании, подчеркиваются последствия, если жертва не выполнит требования киберпреступников.

LEAKDB использует длинную записку о выкупе в стиле Фобоса

Полный текст программы-вымогателя LEAKDB выглядит следующим образом:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies. Being deceived is your responsibility! Learn the experience on the forums.

Скачанные данные вашей компании
Утечка данных является серьёзным нарушением закона. Не волнуйтесь, инцидент останется в тайне, данные защищены.
После завершения транзакции все загруженные у вас данные будут удалены с наших ресурсов. Государственные органы, конкуренты, подрядчики и местные СМИ не осведомлены об инциденте.
Также мы гарантируем, что персональные данные вашей компании не будут проданы на ресурсах DArkWeb и не будут использоваться для атак на вашу компанию, сотрудников и контрагентов в будущем.
Если вы не обратились в течение 2-х дней с момента происшествия, мы будем считать транзакцию незавершенной. Ваши данные будут отправлены всем заинтересованным лицам. Это ваша ответственность.

Связаться с нами
Напишите нам на почту: pcsupport@skiff.com
В случае отсутствия ответа в течение 24 часов напишите нам на этот адрес электронной почты: pctalk01@tutanota.com.
Напишите этот идентификатор в заголовке вашего сообщения -
Если вы не обратились в течение 2-х дней с момента происшествия, мы будем считать транзакцию незавершенной. Ваши данные будут отправлены всем заинтересованным лицам. Это ваша ответственность.

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Как защититься от атак программ-вымогателей?

Защита от атак программ-вымогателей требует многогранного и превентивного подхода. Вот ключевые стратегии, которые помогут защитить ваши системы и данные:

Регулярное резервное копирование:
Регулярно создавайте резервные копии важных данных на внешнем устройстве или в безопасном облачном хранилище. Убедитесь, что резервные копии автоматизированы и регулярно проверяются на предмет их целостности.

Обновление программного обеспечения:
Постоянно обновляйте свою операционную систему, программное обеспечение и программы безопасности. Регулярно применяйте исправления и обновления для устранения уязвимостей, которыми могут воспользоваться программы-вымогатели.

Используйте программное обеспечение безопасности:
Используйте надежное антивирусное и антивирусное программное обеспечение. Постоянно обновляйте его, чтобы обнаруживать и блокировать потенциальные угрозы программ-вымогателей.

Обучение и обучение пользователей:
Информируйте сотрудников и пользователей о фишинговых электронных письмах, вредоносных вложениях и опасностях перехода по подозрительным ссылкам. Проводить регулярные учебные занятия для повышения осведомленности о передовых методах кибербезопасности.

Безопасность электронной почты:
Внедрите решения по фильтрации электронной почты для выявления и блокировки фишинговых писем. Поощряйте пользователей внимательно проверять электронные письма, прежде чем переходить по ссылкам или загружать вложения.

Сетевая безопасность:
Используйте межсетевые экраны и системы обнаружения/предотвращения вторжений для мониторинга и управления сетевым трафиком. Регулярно проверяйте и обновляйте конфигурации безопасности.