SafePay Ransomware: цифровая схема вымогательства, удерживающая файлы в заложниках
Table of Contents
Механизм работы SafePay Ransomware
SafePay Ransomware — это тип цифрового инструмента вымогательства, разработанный для шифрования файлов жертв, что делает их недоступными до тех пор, пока не будет выплачен выкуп. Как и другие угрозы программ-вымогателей, он нацелен на предприятия и частных лиц, блокируя важные данные и требуя оплату в обмен на восстановление. Этот конкретный штамм оставляет отчетливый след на скомпрометированных файлах, добавляя «.safepay» к их именам. Например, файл, изначально названный «document.pdf», будет переименован в «document.pdf.safepay», что будет означать его шифрование.
Помимо шифрования файлов, SafePay генерирует записку с требованием выкупа под названием "readme_safepay.txt", которая предоставляет жертвам инструкции о том, как общаться с атакующими. В записке говорится, что атака стала возможной из-за "неправильных настроек безопасности" в сети жертвы. Киберпреступники утверждают, что украли конфиденциальные данные, и угрожают утечкой, если их требования не будут выполнены.
Вот что говорится в записке о выкупе:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Требования выкупа и тактика вымогательства
В отличие от некоторых угроз с использованием программ-вымогателей, которые фокусируются только на шифровании файлов, SafePay использует более агрессивный подход, включая эксфильтрацию данных в свою стратегию атаки. Злоумышленники утверждают, что они извлекли финансовые записи, интеллектуальную собственность, персональную и клиентскую информацию, банковские реквизиты и юридические документы. Они используют эти украденные данные в качестве рычага, предупреждая жертв, что невыполнение требований приведет к публичному раскрытию их конфиденциальных файлов.
Жертвам дается строгий срок — 14 дней, чтобы инициировать контакт через сеть Tor. Если в течение этого периода не происходит никакой коммуникации, злоумышленники усиливают давление, публикуя сообщение в блоге, объявляющее об утечке данных. В этом сообщении содержится трехдневный обратный отсчет до публикации украденных файлов, что еще больше принуждает жертв платить выкуп.
Риски уплаты выкупа
Хотя выплата выкупа может показаться самым быстрым способом вернуть доступ к зашифрованным файлам, она сопряжена со значительными рисками. Киберпреступники не обязаны выполнять свои обещания, и нет никакой гарантии, что они предоставят рабочий инструмент дешифрования после получения оплаты. Кроме того, финансирование операторов программ-вымогателей поощряет их продолжать свои атаки, что приводит к тому, что все больше жертв становятся жертвами подобных схем.
Лучшая альтернатива выплате выкупа — сохранение безопасных, актуальных резервных копий важных файлов. Однако даже при наличии резервных копий удаление программы-вымогателя из пострадавшей системы имеет решающее значение. Невыполнение этого требования может привести к продолжению шифрования новых или восстановленных файлов, что сделает процесс резервного копирования неэффективным.
Как распространяются угрозы программ-вымогателей
Как и многие другие угрозы (например, Cloak Ransomware или CmbLabs Ransomware ), SafePay Ransomware использует множественные тактики распространения для проникновения в системы. Киберпреступники часто используют обманные электронные письма, замаскированные под легитимную корреспонденцию, чтобы обманом заставить получателей открыть вредоносные вложения или нажать на опасные ссылки. Эти фишинговые электронные письма могут выдавать себя за счета-фактуры, подтверждения доставки или срочные сообщения, требующие немедленного внимания.
Другой распространенный метод заражения связан с уязвимостями программного обеспечения. Устаревшие операционные системы или приложения предоставляют злоумышленникам точку входа для развертывания программ-вымогателей без необходимости взаимодействия с пользователем. Кроме того, SafePay и подобные угрозы могут быть встроены в пиратское программное обеспечение, генераторы ключей и взломанные программы, заражая системы сразу после их запуска.
Профилактические меры против программ-вымогателей
Для защиты от программ-вымогателей требуется проактивный подход к кибербезопасности. Пользователи должны быть осторожны при взаимодействии с электронными письмами от неизвестных отправителей, избегая нежелательных вложений и ссылок. Загрузка программного обеспечения только из официальных источников и поддержание всех приложений в актуальном состоянии помогает минимизировать риск атак с использованием эксплойтов.
Кроме того, соблюдение безопасных привычек просмотра, таких как избегание подозрительной рекламы, всплывающих окон и обманных веб-сайтов, снижает вероятность стать жертвой онлайн-мошенничества. Регулярное резервное копирование важных файлов для безопасного автономного хранения гарантирует, что даже в случае атаки восстановление данных останется возможным без необходимости выполнения требований выкупа.
Заключительные мысли
SafePay Ransomware — пример растущей тенденции в кибервымогательстве, когда злоумышленники объединяют шифрование файлов с кражей данных, чтобы заставить жертв заплатить солидный выкуп. Хотя требования выкупа могут быть пугающими, соблюдение требований рискованно и не гарантирует восстановления данных. Вместо этого принятие превентивных мер, таких как поддержание резервных копий, применение обновлений безопасности и соблюдение мер предосторожности в сети, остается лучшей защитой от угроз вымогателей.
