Tianrui Ransomware: киберугроза, удерживающая данные в заложниках

Что такое вирус-вымогатель Tianrui?

Tianrui — это штамм вируса-вымогателя, который работает подобно многим другим известным семействам вирусов-вымогателей, таким как Hush , MoneyIsTime и Boramae . Это вредоносное ПО шифрует файлы жертв, а затем требует выкуп в обмен на расшифровку.

При заражении системы Tianrui переименовывает зашифрованные файлы, добавляя уникальный идентификатор с последующим расширением «.tianrui». Например, файл, изначально названный «document.pdf», после шифрования будет отображаться как «document.pdf.{UniqueID}.tianrui». После завершения процесса шифрования вирус-вымогатель генерирует записку с требованием выкупа под названием «README.TXT», чтобы информировать жертв об атаке и требованиях киберпреступников.

Вот что говорится в записке о выкупе:

I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.
2. Its only takes for us at list 20 minutes after payment to completely decrypt you,
to its original state, it's very simple for us!
3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!
4.They also contact the police. Again, only you suffer from this treatment!
5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,
who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!

6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!

We will also publicize this attack using social networks and other media, which will significantly affect your reputation!

7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!

8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!
YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!

9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !

10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!!

Contacts :

Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"

MAIL:tianrui@mailum.com

Как работает вирус-вымогатель Tianrui?

Как и другие варианты программ-вымогателей, Tianrui следует структурированной схеме атаки. Он проникает в систему жертвы, шифрует файлы, а затем представляет записку с требованием выкупа, в которой объясняются следующие шаги. Записка с требованием выкупа предупреждает, что если жертва не заплатит, конфиденциальная информация, украденная во время атаки, например базы данных, финансовые записи и электронные письма, будет передана другим хакерским группам. Кроме того, злоумышленники угрожают сделать взлом публичным, что может нанести ущерб репутации целевой компании или отдельного лица.

Жертвам предлагается связаться с злоумышленниками в течение 12 часов, чтобы получить скидку на сумму выкупа. В записке также предостерегают от попыток вручную расшифровать файлы или искать стороннюю помощь, утверждая, что такие действия могут сделать данные навсегда недоступными.

Природа атак программ-вымогателей

Программы-вымогатели работают, используя методы шифрования, которые делают данные нечитаемыми без уникального ключа дешифрования. Используются два основных типа шифрования: симметричное и асимметричное. Оба метода делают практически невозможным восстановление заблокированных файлов без вмешательства злоумышленников.

Один из самых больших рисков, связанных с атаками программ-вымогателей, заключается в том, что выплата выкупа не гарантирует, что жертвы получат обещанный ключ дешифрования. Киберпреступники не обязаны выполнять свои обязательства, и во многих случаях жертвы, которые платят, не получают доступ к своим данным. Более того, выплата выкупа подпитывает дальнейшую киберпреступность, финансируя будущие атаки.

Как распространяется вирус-вымогатель Tianrui

Tianrui, как и многие другие программы-вымогатели, в основном распространяется с помощью обманных приемов, включая фишинговые письма и социальную инженерию. Киберпреступники используют мошеннические сообщения, чтобы обманом заставить жертв открыть вредоносные вложения или перейти по опасным ссылкам. Эти зараженные файлы могут принимать различные формы, такие как:

• Архивные файлы (ZIP, RAR и т. д.)
• Исполняемые файлы (.exe, .run и т.д.)
• Документы (Microsoft Office, PDF, OneNote и т. д.)
• JavaScript-файлы

Другие распространенные способы заражения включают в себя:

• Троянское вредоносное ПО, маскирующееся под легальное программное обеспечение
• Скрытые загрузки со взломанных или поддельных веб-сайтов
• Вредоносная реклама (mallicious advertising)
• Пиратство программного обеспечения и нелегальные инструменты «взлома»
• Поддельные обновления программного обеспечения, которые тайно устанавливают вредоносное ПО
• Механизмы распространения по сети, которые распространяют инфекции через общие диски или съемные устройства хранения данных.

Можно ли восстановить зараженные файлы?

Восстановление файлов, зашифрованных Tianrui, затруднено, если не невозможно, без инструмента дешифрования киберпреступников. Если только вирус-вымогатель не содержит уязвимости в своем алгоритме шифрования, у жертв мало шансов разблокировать свои файлы без уплаты выкупа.

Лучшее решение — положиться на безопасные резервные копии. Регулярное резервное копирование важных файлов в несколько мест, включая офлайн- и облачные хранилища, гарантирует, что данные останутся в безопасности в случае атаки. Однако резервные копии должны храниться отдельно от основной системы, поскольку некоторые варианты программ-вымогателей пытаются зашифровать или удалить их.

Профилактические меры по предотвращению заражения вирусами-вымогателями

Профилактика — лучшая защита от угроз программ-вымогателей. Следуя лучшим практикам кибербезопасности, частные лица и организации могут минимизировать риск заражения:

1. Используйте проверенные источники загрузки — загружайте программное обеспечение и обновления только из официальных и надежных источников. Избегайте использования сторонних платформ, на которых могут размещаться вредоносные версии легитимных программ.
2. Остерегайтесь фишинговых атак – Киберпреступники часто распространяют программы-вымогатели через фишинговые письма. Будьте осторожны, когда открываете вложения или переходите по ссылкам от неизвестных или подозрительных отправителей.
3. Поддерживайте актуальность ПО – убедитесь, что операционные системы, приложения и средства безопасности обновлены. Обновления часто поставляются с исправлениями безопасности, которые устраняют уязвимости, используемые программами-вымогателями.
4. Обеспечьте многоуровневую безопасность — используйте антивирусное и антивредоносное программное обеспечение для обнаружения и блокировки вредоносных файлов до их запуска.
5. Ограничьте права администратора — ограничьте права пользователей, чтобы предотвратить несанкционированную установку программного обеспечения и внесение изменений в систему.
6. Отключите макросы и выполнение скриптов – Вредоносные скрипты, скрытые в документах, могут спровоцировать заражение вирусами-вымогателями. Отключите автоматическое выполнение макросов в Microsoft Office и избегайте включения ненужных скриптов.
7. Резервное копирование важных данных . Регулярно создавайте резервные копии критически важных файлов для безопасного хранения в автономных хранилищах, чтобы обеспечить восстановление данных в случае атаки.

Заключительные мысли

Tianrui ransomware — еще один пример того, как киберпреступники используют технологию шифрования для вымогательства денег у жертв. Этот конкретный вариант следует той же стратегии, что и другие штаммы программ-вымогателей: шифрование файлов, требование оплаты и угроза утечки конфиденциальных данных. Несмотря на давление с целью оплаты, эксперты по кибербезопасности настоятельно рекомендуют не делать этого, поскольку это не гарантирует восстановления данных и только стимулирует дальнейшую преступную деятельность.

Лучшая защита от программ-вымогателей — это проактивный подход к кибербезопасности, включающий регулярное резервное копирование данных, обновления программного обеспечения и бдительность в отношении попыток фишинга. Понимая тактику, используемую злоумышленниками, и принимая необходимые меры предосторожности, частные лица и компании могут значительно снизить риск угроз со стороны программ-вымогателей.