Программа-вымогатель SHTORM присоединилась к семейству клонов Phobos

Программа-вымогатель SHTORM принадлежит к семейству программ-вымогателей Phobos, что было обнаружено нашими исследователями вредоносных программ при изучении образцов вредоносных программ, представленных на странице VirusTotal. Вредоносное ПО шифрует данные, изменяет имена файлов и создает файлы info.hta и info.txt, которые служат примечаниями о выкупе.

Для переименования файлов SHTORM добавляет идентификатор жертвы, адрес электронной почты mjk20@tutanota.com и расширение «.SHTORM». Например, он изменит «1.jpg» на «1.jpg.id[9ECFA84E-3351].[mjk20@tutanota.com].SHTORM», «2.png» на «2.png.id[9ECFA84E- 3351].[mjk20@tutanota.com].ШТОРМ", и так далее.

Согласно записке о выкупе, файлы жертвы были зашифрованы из-за проблем с безопасностью их компьютера. Жертвы должны связаться с mjk20@tutanota.com с идентификатором, указанным в строке темы электронного письма, если они хотят восстановить свои файлы. Если жертва не получит ответа в течение 24 часов, ей рекомендуется связаться со злоумышленниками через Telegram (@Stop_24) или мессенджер TOX. В примечании о выкупе также предостерегают жертв от переименования зашифрованных файлов или использования стороннего программного обеспечения для расшифровки своих данных, поскольку это может привести к необратимой потере данных. Кроме того, в примечании жертвам не рекомендуется обращаться за услугами по расшифровке к третьим сторонам, поскольку это может привести к увеличению затрат на расшифровку. Цена за расшифровку запрашивается в биткойнах и зависит от того, насколько оперативно жертва свяжется с злоумышленниками.

Записка о выкупе SHTORM следует обычной модели Фобоса

Полный текст записки SHTORM о выкупе выглядит следующим образом:

Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту mjk20@tutanota.com
Напишите этот ID в заголовке вашего сообщения 9ECFA84E-3351
Если вы не получили ответ в течение 24 часов, свяжитесь с нами через аккаунт Telegram.org: @Stop_24
Или напишите нам в мессенджер TOX: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
Скачать мессенджер TOX можно здесь hxxps://tox.chat/
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Как вы можете защитить свои данные от атак программ-вымогателей?

Атаки программ-вымогателей могут быть разрушительными, но есть несколько мер, которые вы можете предпринять для защиты своих данных. Вот несколько советов:

• Поддерживайте свое программное обеспечение в актуальном состоянии: убедитесь, что все программное обеспечение, установленное на вашем компьютере, обновлено, включая вашу операционную систему, веб-браузеры и другие приложения. Это может помочь исправить любые уязвимости безопасности, которые могут существовать в более старых версиях программного обеспечения.
• Используйте надежные пароли. Используйте уникальные надежные пароли для всех своих сетевых учетных записей и избегайте повторного использования паролей. Рассмотрите возможность использования диспетчера паролей для создания и хранения сложных паролей.
• Регулярно создавайте резервные копии своих данных: регулярно создавайте резервные копии важных данных и файлов на внешний жесткий диск или в облачное хранилище. В случае атаки программы-вымогателя вы можете восстановить свои данные из резервной копии, не платя выкуп.
• Используйте программное обеспечение для защиты от вредоносных программ: установите надежное программное обеспечение для защиты от вредоносных программ и регулярно обновляйте его. Это может помочь обнаружить и удалить вредоносные программы, в том числе программы-вымогатели, из вашей системы.
• Будьте осторожны с вложениями электронной почты и ссылками: не открывайте вложения электронной почты и не нажимайте на ссылки от неизвестных отправителей. Киберпреступники часто используют фишинговые электронные письма для распространения вредоносных программ.
• Включить двухфакторную аутентификацию. Включите двухфакторную аутентификацию во всех своих сетевых учетных записях, когда это возможно. Это может обеспечить дополнительный уровень безопасности для предотвращения несанкционированного доступа к вашим учетным записям.
• Обучайте себя и своих сотрудников: информируйте себя и своих сотрудников о рисках атак программ-вымогателей, а также о том, как их выявлять и предотвращать. Регулярные тренировки и осведомленность могут помочь снизить риск нападения.