V (Dharma) Ransomware незаметно наносит большой ущерб

Понимание вируса-вымогателя V (Dharma)

V (Dharma) Ransomware — это программа блокировки файлов, принадлежащая к семейству Dharma , печально известной группе угроз, которые годами шифруют данные. После проникновения в систему она изменяет файлы, добавляя уникальный идентификатор жертвы, адрес электронной почты и расширение «.V». Программа-вымогатель также оставляет записку с требованием выкупа в виде всплывающего сообщения и текстового файла с именем «info.txt».

Жертвам сообщают, что их файлы недоступны, и просят отправить злоумышленникам электронное письмо для согласования процесса расшифровки. В записке с требованием выкупа предостерегают от переименования файлов или попыток использования сторонних инструментов расшифровки, утверждая, что эти действия могут привести к необратимой потере данных. Злоумышленники даже предлагают бесплатно расшифровать до трех небольших файлов в качестве доказательства своей способности восстановить данные.

Цель шифрования

Как и другие программы-вымогатели, V (Dharma) предназначен для вымогательства денег у своих жертв. Злоумышленники требуют оплату, обычно в биткоинах, в обмен на инструмент дешифрования. Если в течение 12 часов ответ не получен, записка с требованием выкупа направляет жертв на дополнительный адрес электронной почты для дальнейшего контакта. Включение нескольких методов связи предполагает, что злоумышленники хотят обеспечить открытость коммуникации, что повышает вероятность оплаты.

Несмотря на эти обещания, выплата выкупа никогда не является гарантированным решением. Во многих случаях жертвы, которые выполняют требования, так и не получают ключи дешифрования, оставаясь без своих данных и денег.

Вот что говорится в записке о выкупе:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam

Как работает вирус-вымогатель V (Dharma)

Попав в систему, V (Dharma) ищет и шифрует файлы, хранящиеся на локальных и сетевых дисках. Он также предпринимает шаги для предотвращения легкого восстановления, такие как отключение брандмауэров и удаление теневых копий файлов, которые часто используются для восстановления. Программа-вымогатель внедряется в систему, копируя свой код в папку "%LOCALAPPDATA%" и изменяя ключи реестра Run, гарантируя, что она останется активной даже после перезагрузки.

Интересно, что некоторые варианты программ-вымогателей избегают шифрования данных в определенных местах. Такое поведение предполагает, что злоумышленники могут нацеливаться на определенные регионы или организации, избегая других.

Программы-вымогатели и их более масштабные последствия

Программы-вымогатели, включая V (Dharma), относятся к числу наиболее разрушительных цифровых угроз. Блокируя критически важные данные, они могут парализовать деятельность предприятий, организаций и отдельных пользователей. Поскольку злоумышленники требуют криптовалюту в качестве оплаты, отслеживание и возврат средств крайне затруднены.

Хотя оплата за восстановление зашифрованных файлов может показаться единственным вариантом, это подпитывает экономику программ-вымогателей, поощряя киберпреступников продолжать свои атаки. Правоохранительные органы и специалисты по кибербезопасности советуют не платить, поскольку нет никаких гарантий, что злоумышленники выполнят свои обещания.

Как распространяется вирус-вымогатель V (Dharma)

Dharma ransomware часто распространяется через слабые соединения Remote Desktop Protocol (RDP). Злоумышленники используют атаки методом подбора или атаки по словарю, чтобы угадать учетные данные для входа, получая доступ к системам со слабыми мерами безопасности. Попав внутрь, они вручную запускают программу-вымогатель, блокируя файлы в течение нескольких минут.

Злоумышленники также распространяют программы-вымогатели через фишинговые письма, вредоносные вложения и взломанные веб-сайты. Мошенническая реклама, пиратское ПО и уязвимости ПО предоставляют злоумышленникам дополнительные возможности для проникновения в системы. Даже на, казалось бы, легитимных сайтах для скачивания могут неосознанно размещаться файлы, нагруженные программами-вымогателями, поэтому пользователям необходимо проверять подлинность любой загрузки.

Предотвращение заражения вирусами-вымогателями

Учитывая разрушительную природу программ-вымогателей, профилактика является лучшей стратегией. Пользователи должны быть осторожны при работе с электронными письмами, особенно от неизвестных отправителей. Следует избегать подозрительных вложений и ссылок, поскольку они могут спровоцировать заражение при открытии.

Программное обеспечение всегда следует загружать из надежных источников, таких как официальные сайты поставщиков и надежные магазины приложений. Избегание пиратских программ и сторонних установщиков минимизирует риск непреднамеренной загрузки вредоносных файлов. Кроме того, предприятиям следует защищать доступ RDP, используя надежные пароли и внедряя многофакторную аутентификацию, чтобы сократить несанкционированный доступ.

Важность резервного копирования

Резервное копирование важных данных — одна из самых эффективных защит от программ-вымогателей. Регулярное резервное копирование, хранящееся на внешних или облачных системах, гарантирует, что файлы можно будет восстановить без необходимости выполнять требования о выкупе. Крайне важно хранить резервные копии отключенными от основных устройств, чтобы программы-вымогатели не смогли также зашифровать их.

Заключительные мысли

V (Dharma) Ransomware является примером того, как угрозы шифрования файлов продолжают развиваться, делая защиту данных более важной, чем когда-либо. Поскольку злоумышленники используют различные методы для распространения программ-вымогателей, осведомленность и проактивные меры безопасности играют ключевую роль в предотвращении заражения. Оставаясь бдительными, избегая подозрительных загрузок и сохраняя безопасные резервные копии, пользователи и организации могут значительно снизить воздействие атак программ-вымогателей.