Целая программа-вымогатель угрожает утечкой данных

В ходе расследования вновь представленных образцов вредоносного ПО наши исследователи наткнулись на программу-вымогатель под названием Whole. Мы определили, что он создан на основе программы-вымогателя Keylock. Это вредоносное программное обеспечение шифрует данные и требует выкуп в обмен на их расшифровку.

В ходе нашего тестирования программа-вымогатель Whole шифровала файлы и добавляла расширение «.whole» к их именам. Например, файл с первоначальным названием «1.jpg» будет отображаться как «1.jpg.whole», а «2.png» — как «2.png.whole».

После завершения процесса шифрования обои рабочего стола были изменены и была создана записка с требованием выкупа под названием «README-ID-[victim's_ID].txt». Из содержания этой заметки видно, что эта программа-вымогатель в первую очередь нацелена на бизнес, а не на отдельных пользователей.

Сообщение, отображаемое на обоях рабочего стола «Целое», предписывает жертве прочитать связанный текстовый файл («README-ID-[victim's_ID].txt»). В этой записке о выкупе объясняется, что файлы жертвы были зашифрованы, и заверяется, что ее уникальный ключ дешифрования надежно хранится на серверах злоумышленников.

Восстановление можно бесплатно протестировать, отправив киберпреступникам несколько зашифрованных файлов (в рамках определенных правил). Если жертва не попытается связаться с злоумышленниками в течение 3 дней, ее конфиденциальные деловые данные могут быть раскрыты или проданы.

Сообщение также включает предупреждения, информирующие жертву о том, что переименование или изменение затронутых файлов, а также использование сторонних инструментов восстановления или антивирусного программного обеспечения могут сделать данные невозвратимыми.

Весь вирус-вымогатель оставил длинную записку

Полный текст записки о выкупе выглядит следующим образом:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы были зашифрованы с помощью надежных алгоритмов шифрования и изменены!
Не волнуйтесь, ваш уникальный ключ шифрования надежно хранится на нашем сервере, и ваши данные можно быстро и безопасно расшифровать.

Мы можем доказать, что можем расшифровать все ваши данные. Пожалуйста, просто отправьте нам 3 не важных небольших (~ 2 МБ) зашифрованных файла, которые случайным образом хранятся на вашем сервере. Также прикрепите этот файл README-ID-.txt, оставленный нами в каждой папке.
Мы расшифруем эти файлы и отправим их вам в качестве доказательства. Обратите внимание, что файлы для бесплатной тестовой расшифровки не должны содержать ценной информации.

Если вы не начнете с нами диалог в течение 72 часов, мы будем вынуждены опубликовать ваши файлы в открытом доступе. Ваши клиенты и партнеры будут проинформированы об утечке данных.
Таким образом, ваша репутация будет испорчена. Если вы не отреагируете, мы будем вынуждены продать наиболее важную информацию, такую как базы данных и персональные данные, заинтересованным сторонам для получения некоторой прибыли.

Если вы хотите разрешить эту ситуацию, прикрепите к письму этот файл README-ID-.txt и напишите на ВСЕ эти 2 адреса электронной почты:

pmmx@techmail.info
Wholekey@mailfence.com

ВАЖНЫЙ!
Мы рекомендуем вам связаться с нами напрямую, чтобы не переплачивать агентам.
Мы просим отправить ваше сообщение на ВСЕ наши 2 адреса электронной почты, поскольку по разным причинам ваше письмо может не быть доставлено.
Наше сообщение может быть признано спамом, поэтому обязательно проверьте папку «Спам».
Если мы не ответим вам в течение 24 часов, напишите нам с другого адреса электронной почты.
Пожалуйста, не теряйте время, это принесет только дополнительный ущерб вашей компании.
Пожалуйста, не переименовывайте и не пытайтесь расшифровать файлы самостоятельно. Мы не сможем вам помочь, если файлы будут изменены.
Если вы попытаетесь использовать стороннее программное обеспечение для восстановления ваших данных или антивирусные решения, сделайте резервную копию всех зашифрованных файлов.
Если вы удалите зашифрованные файлы с текущего компьютера, возможно, вы не сможете их расшифровать.

Как программы-вымогатели могут проникнуть в вашу систему?

Программы-вымогатели могут проникнуть в вашу систему различными способами, и понимание этих точек входа имеет решающее значение для защиты вашей системы от таких атак. Вот распространенные способы проникновения программ-вымогателей в вашу систему:

• Вложения электронной почты. Фишинговые электронные письма являются распространенным методом распространения программ-вымогателей. Киберпреступники отправляют якобы законные электронные письма с зараженными вложениями (например, PDF-файлами, документами Word или ZIP-файлами) или ссылками на вредоносные веб-сайты. Когда пользователи открывают эти вложения или нажимают на ссылки, программа-вымогатель загружается и запускается в их системах.
• Вредоносные ссылки. Программы-вымогатели также могут распространяться через обманчивые или вредоносные ссылки в электронных письмах, мгновенных сообщениях или на веб-сайтах. Нажатие на эти ссылки может привести к загрузке и запуску программы-вымогателя.
• Вредоносная реклама. Киберпреступники могут использовать вредоносную рекламу (вредоносную рекламу) на законных веб-сайтах для распространения программ-вымогателей. Простое посещение взломанного веб-сайта с такой рекламой может вызвать автоматическую загрузку вредоносного ПО.
• Использование уязвимостей. Авторы программ-вымогателей могут использовать уязвимости программного обеспечения в вашей операционной системе или приложениях. Если в вашей системе не установлены последние обновления безопасности, она может быть уязвима для атак с использованием эксплойтов.
• Попутные загрузки. Программы-вымогатели могут распространяться посредством «попутных загрузок», когда пользователи неосознанно загружают вредоносный код при посещении взломанных или вредоносных веб-сайтов. Эти загрузки могут происходить без какого-либо взаимодействия или согласия пользователя.
• Атаки на протокол удаленного рабочего стола (RDP). Злоумышленники могут использовать слабые или стандартные учетные данные RDP для получения доступа к удаленным системам. Оказавшись внутри, они могут установить программу-вымогатель и зашифровать файлы.
• Загрузка программного обеспечения. Загрузка программного обеспечения или файлов из ненадежных или пиратских источников может подвергнуть вашу систему воздействию программ-вымогателей. Незаконное программное обеспечение или взломанные версии часто содержат скрытую вредоносную нагрузку.