NUURI Ransomware — это вариант Фобоса

В ходе исследования образцов файлов наша группа исследователей вредоносных программ обнаружила новую программу-вымогатель под названием NURRI. Дальнейший анализ показал, что NURRI является частью семейства программ-вымогателей Phobos. Это вредоносное ПО шифрует файлы и изменяет их имена, добавляя расширение «.NURRI», а также идентификатор жертвы и адрес электронной почты (nury_espitia@tuta.io). Кроме того, NURRI оставляет две записи о выкупе, а именно «info.hta» и «info.txt».

Чтобы проиллюстрировать, как NURRI переименовывает зашифрованные файлы, давайте рассмотрим пример: файл, первоначально названный «1.jpg», будет изменен на «1.jpg.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI», а «2.png» станет «2.png.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI» и так далее.

В примечании о выкупе объясняется, что все файлы были зашифрованы из-за проблем с безопасностью на компьютере пользователя. Он предоставляет адрес электронной почты (nury_espitia@tuta.io) и идентификатор для связи с злоумышленниками, чтобы инициировать процесс восстановления файлов. Выкуп, требуемый в биткойнах, варьируется в зависимости от того, насколько быстро пользователь связывается с злоумышленниками.

В примечании также упоминается возможность для пользователя отправить до трех файлов для бесплатной расшифровки в качестве гарантии. Он не рекомендует переименовывать зашифрованные файлы или использовать стороннее программное обеспечение для расшифровки, чтобы избежать безвозвратной потери данных или стать жертвой мошенничества. Второе примечание о выкупе («info.txt») включает дополнительную контактную информацию, такую как имя пользователя Telegram (@HostUppp).

Записка о выкупе NUURI просит выкуп в биткойнах

Полный текст записки NUURI о выкупе выглядит следующим образом:

Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту nury_espitia@tuta.io
Напишите этот ID в заголовке вашего сообщения -
Если вы не получили ответ в течение 24 часов, свяжитесь с нами через аккаунт Telegram.org: @HostUppp
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Как вы можете защитить свои данные от атак программ-вымогателей, подобных NUURI?

Защита ваших данных от атак программ-вымогателей, таких как NURRI, требует упреждающего подхода и сочетания превентивных мер. Вот несколько шагов, которые вы можете предпринять, чтобы повысить безопасность ваших данных:

• Резервное копирование данных. Регулярно делайте резервные копии важных файлов в автономном или облачном хранилище. Убедитесь, что резервные копии зашифрованы, и периодически проверяйте их целостность.
• Поддерживайте программное обеспечение в актуальном состоянии: устанавливайте обновления и исправления для вашей операционной системы, приложений и программного обеспечения безопасности. Эти обновления часто содержат важные исправления безопасности, которые могут защитить от известных уязвимостей.
• Используйте надежное программное обеспечение для обеспечения безопасности: устанавливайте и поддерживайте надежное антивирусное и антивредоносное программное обеспечение на всех своих устройствах. Обновляйте его и выполняйте регулярное сканирование для обнаружения и устранения любых потенциальных угроз.
• Будьте осторожны с вложениями электронной почты и загрузками: будьте осторожны при открытии вложений электронной почты или загрузке файлов из ненадежных или подозрительных источников. Не нажимайте на ссылки в нежелательных электронных письмах и будьте осторожны при загрузке файлов с непроверенных веб-сайтов.
• Включите надежные параметры безопасности: используйте встроенные функции безопасности, такие как брандмауэры и блокировщики всплывающих окон, чтобы добавить дополнительный уровень защиты. Включите автоматическое сканирование вложений электронной почты и загрузок на наличие вредоносных программ.
• Обучайте себя и своих сотрудников: будьте в курсе новейших методов фишинга и методов социальной инженерии, используемых в атаках программ-вымогателей. Научите себя и своих сотрудников выявлять и избегать подозрительных электронных писем, ссылок и вложений.
• Включить безопасность макросов: по умолчанию отключите макросы в офисных приложениях и включайте их только при необходимости. Будьте осторожны, когда вам будет предложено включить макросы в документах из неизвестных или ненадежных источников.
• Используйте надежные, уникальные пароли. Используйте надежные и сложные пароли для всех своих учетных записей и избегайте повторного использования паролей на разных платформах. Рассмотрите возможность использования диспетчера паролей для безопасного хранения и создания уникальных паролей.
• Включить двухфакторную аутентификацию (2FA): Включите 2FA, когда это возможно, чтобы добавить дополнительный уровень безопасности. Это требует, чтобы пользователи предоставили дополнительный метод проверки, например, уникальный код, отправленный на их мобильное устройство, вместе с их паролем.