SWIFT-вымогатель блокирует зараженные системы

Анализируя новые образцы вредоносного ПО, мы выявили вариант программы-вымогателя, связанный с семейством Proton, под названием SWIFT. При проникновении на компьютер SWIFT шифрует и изменяет имена файлов, меняет фон рабочего стола и генерирует записку с требованием выкупа под названием «#SWIFT-Help.txt».

Чтобы изменить имена файлов, SWIFT добавляет адрес электронной почты Swift_1@tutamail.com и расширение «.SWIFT». Например, он преобразует «1.jpg» в «1.jpg.[swift_1@tutamail.com].SWIFT», а «2.png» становится «2.png.[swift_1@tutamail.com].SWIFT». и так далее.

Записка о выкупе начинается с описания ситуации, в которой утверждается, что злоумышленники использовали алгоритмы AES и ECC для шифрования и захвата всех файлов жертвы, что делает восстановление файлов невозможным без их службы расшифровки.

Далее в записке излагаются шаги по восстановлению, подчеркиваются финансовые мотивы киберпреступников и предлагается обмен оплаты за программное обеспечение для дешифрования и уничтожение данных. Чтобы продемонстрировать свои возможности, группа рекомендует отправить на расшифровку несущественный файл размером менее 1 МБ в качестве доказательства своей приверженности выполнению своих обещаний.

Предоставляются контактные данные, такие как адрес электронной почты (swift_1@tutamail.com) и идентификатор Telegram (@swift_support), а также альтернативный адрес электронной почты (swift@onionmail.com), предлагаемый в случае отсутствия ответа в течение 24 часов. Жертве предлагается указать свой личный идентификатор в теме электронного письма.

В заключение в записке не рекомендуется обращаться за помощью к компаниям по восстановлению, предупреждая о потенциальной эксплуатации посредниками с целью получения прибыли. Кроме того, жертву предупреждают не задерживать оплату и воздерживаться от удаления или изменения зашифрованных файлов, чтобы избежать осложнений в процессе расшифровки.

SWIFT-записка о выкупе полностью

Полный текст записки о выкупе SWIFT выглядит следующим образом:

SWIFT
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

Какие гарантии?
Вы можете отправить нам неважный файл размером менее 1 МГ, мы его расшифровываем в качестве гарантии.
Если мы не отправим вам программное обеспечение для расшифровки или не удалим украденные данные, никто не будет платить нам в будущем, поэтому мы сдержим свое обещание.

Как с нами связаться?
Наш адрес электронной почты: Swift_1@tutamail.com
Наш идентификатор в Telegram: @swift_support
В случае отсутствия ответа в течение 24 часов свяжитесь с нами по электронной почте: Swift@onionmail.com.
В теме письма укажите свой личный идентификатор.

Ваш личный идентификатор: -

Предупреждения!

Не обращайтесь в компании по восстановлению, они всего лишь посредники, которые заработают на вас деньги и обманут.
Они тайно договариваются с нами, покупают программу для дешифрования и продадут ее вам в разы дороже или просто обманут.

Не медлите долго. Чем быстрее вы платите, тем ниже цена.

Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов.

Как защитить свои данные от программ-вымогателей?

Защита ваших данных от программ-вымогателей требует превентивного и многоуровневого подхода. Вот несколько ключевых шагов, которые вы можете предпринять, чтобы защитить свои данные от атак программ-вымогателей:

Регулярное резервное копирование:
Регулярно создавайте резервные копии важных данных и следите за тем, чтобы резервные копии хранились автономно или в отдельном безопасном месте. Это может помочь вам восстановить файлы, если они зашифрованы программой-вымогателем.

Используйте надежное программное обеспечение безопасности:
Установите и регулярно обновляйте надежное антивирусное и антивирусное программное обеспечение. Это программное обеспечение может обнаруживать и блокировать известные угрозы программ-вымогателей.

Постоянно обновляйте программное обеспечение:
Регулярно обновляйте операционную систему, программное обеспечение и приложения. Обновления программного обеспечения часто включают исправления безопасности, которые могут помочь защитить от уязвимостей, используемых программами-вымогателями.

Обучение и обучение сотрудников:
Обучите сотрудников передовым методам обеспечения безопасности, в том числе тому, как распознавать фишинговые электронные письма и подозрительные ссылки. Человеческая ошибка является распространенной точкой входа для атак программ-вымогателей.

Используйте меры безопасности электронной почты:
Внедрите решения для фильтрации электронной почты, чтобы блокировать фишинговые письма и вредоносные вложения. Будьте осторожны при переходе по ссылкам или загрузке вложений из неизвестных или неожиданных источников.

Ограничьте привилегии пользователя:
Ограничьте доступ пользователей до минимального уровня, необходимого для выполнения их должностных функций. Это может помочь ограничить воздействие атаки программ-вымогателей за счет уменьшения количества файлов, доступных потенциальным угрозам.

Сегментация сети:
Сегментируйте свою сеть, чтобы изолировать критически важные системы и конфиденциальные данные. Это может предотвратить быстрое распространение программ-вымогателей по всей вашей сети.