A PayForRepair Ransomware árcédulát csap a fájljaira

Újabb fenyegetés a kiberszínen

A kiberbiztonsági kutatók a ransomware egy másik fajtáját tárták fel, amely átjut a fertőzött rendszereken: a PayForRepair . Ez a rosszindulatú program a jól ismert Dharma ransomware családhoz tartozik, és egy ismerős, mégis veszélyes mintát követ – titkosítja a fájlokat, és váltságdíjat követel a visszafejtésért cserébe.

A PayForRepair célja, hogy kizárja az áldozatokat adataikból, miközben egyedileg azonosítható címkét alkalmaz minden titkosított fájlhoz. A fertőzött fájlok átnevezése áldozatspecifikus azonosítóval, a támadók e-mail címével és a „.P4R” kiterjesztéssel történik. Az áldozatok váltságdíj-jegyzeteket is kapnak felugró ablakként és info.txt nevű szövegfájlként, amelyet minden érintett mappába bedobnak.

Íme, mit ír a váltságdíj-levél:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Mit akar a PayForRepair

Az olyan zsarolóprogramokat, mint a PayForRepair, arra hozták létre, hogy erős algoritmusokkal titkosítva hozzáférhetetlenné tegyék a személyes és üzleti adatokat. A titkosítást követően a fájlok nem nyithatók meg és nem használhatók fel, hacsak nincs megadva egyedi visszafejtési kulcs – amivel csak a támadó rendelkezik. A PayForRepair váltságdíj-jegyzete arra utasítja az áldozatokat, hogy küldjenek e-mailt a támadóknak, hogy tárgyaljanak az adatok helyreállításáról. Az előugró ablak tovább tisztázza a helyzetet, és kijelenti, hogy a visszafejtést csak a Bitcoinban történő fizetés után biztosítják.

A támadók a "jóhiszeműség" jelét kínálják azzal, hogy az áldozatnak legfeljebb három fájl visszafejtését engedélyezik ingyenesen, feltéve, hogy ezek a fájlok megfelelnek bizonyos feltételeknek. Ezt a taktikát általában a bizalom kiépítésére és az áldozat fizetésre való nyomására használják. Ugyanakkor figyelmeztetik az áldozatokat a harmadik féltől származó helyreállítási eszközök használatára is, azt állítva, hogy ez véglegesen megrongálhatja a titkosított fájlokat – ez a zsarolóvírus-kampányokra jellemző félelem.

Miért nehéz legyőzni a Dharma-alapú támadásokat?

A Dharma ransomware család tagjaként a PayForRepair számos tulajdonságban osztozik társaival. Míg megkíméli a kritikus rendszerfájlokat – ami azt jelenti, hogy az áldozatok továbbra is használhatják eszközeiket –, válogatás nélkül célozza meg a helyi és a hálózaton megosztott fájlokat. A zsarolóprogram növeli a sikerességi rátát azáltal, hogy leállítja a megnyitott fájlokhoz kapcsolódó folyamatokat, például az adatbázisok vagy a termelékenységet növelő alkalmazások által használt folyamatokat, biztosítva, hogy ezek a fájlok is zárolhatók legyenek.

A fertőzött rendszerek ellenőrzése érdekében a Dharma-alapú rosszindulatú programok gyakran beágyazzák magukat a gép meghatározott helyeire, például a %LOCALAPPDATA% könyvtárba, és beállítják, hogy a számítógép minden újraindításakor elinduljanak. Ezenkívül törli a Volume Shadow Copie-kat is – ez a Windows beépített biztonsági mentési funkciója –, így az áldozatok nem tudják egyszerűen visszaállítani a rendszerüket egy korábbi állapotba.

A kemény valóság: a fizetés nem biztos, hogy segít

Sajnos az esélyek meghaladják az áldozatokat, miután a PayForRepair zárolta a fájljaikat. A használt titkosítási módszerek általában robusztusak, és a támadók visszafejtési kulcsa nélkül a helyreállítás szinte lehetetlen. Még ha az áldozatok fizetik is a váltságdíjat, nincs garancia arra, hogy a visszafejtő eszközök valóban rendelkezésre állnak. Sok esetben a kiberbűnözők egyszerűen kifizetik a pénzt, és eltűnnek.

Éppen ezért a kiberbiztonsági szakértők határozottan elutasítják a váltságdíj fizetését. Ezzel nemcsak bűnügyi műveleteket finanszíroznak, hanem a ransomware as a service (RaaS) modellek növekedését is elősegítik, ahol rosszindulatú programkészleteket adnak el vagy adnak bérbe más rossz szereplőknek széles körű támadásokhoz.

Hogyan terjed a PayForRepair

A Dharma ransomware-változatok, köztük a PayForRepair fertőzés leggyakoribb módja a gyenge Remote Desktop Protocol (RDP) szolgáltatások. A támadók brute force technikákat alkalmaznak a jelszavak kitalálására és a gyenge bejelentkezési biztonságú rendszerekhez való hozzáférésre. Ha bejutottak, könnyen telepíthetnek zsarolóprogramokat, és letilthatják a védelmet, például a tűzfalakat.

Azonban nem az RDP az egyetlen vektor. Egyéb gyakori módszerek közé tartoznak az adathalász e-mailek, a rosszindulatú fájlmellékletek, a hamis szoftverfrissítések és a nem ellenőrzött forrásokból származó letöltések. A zsarolóprogramokat gyakran ártalmatlannak tűnő dokumentumnak vagy telepítőfájlnak álcázzák. Megnyitáskor csendben telepíti magát, és megkezdi a fájlok titkosítását.

Egyes esetekben a ransomware oldalirányban terjedhet a hálózatokon, vagy akár megfertőzheti a cserélhető adathordozókat, például az USB-meghajtókat. Ez rávilágít a többrétegű védelem szükségességére, amely túlmutat a víruskereső szoftvereken.

Optimális gyakorlatok a megelőzéshez és a helyreállításhoz

Mivel a zsarolóprogramok, például a PayForRepair eltávolítása nem fejti vissza a fájlok titkosítását, a megelőzés a legjobb védelmi vonal. Az egyik legkritikusabb lépés a rendszeres, offline biztonsági mentések készítése biztonságos és különálló helyeken – ideális esetben fizikai és felhőkörnyezetben egyaránt. Ez biztosítja, hogy még ha megtámadják is, az adatok visszaállíthatók váltságdíj fizetése nélkül.

A felhasználóknak óvatosnak kell lenniük az online böngészéskor vagy a kéretlen e-mailek megnyitásakor. Az ismeretlen forrásból származó mellékleteket és hivatkozásokat mindig gyanakodva kell kezelni. Ezenkívül a szervezeteknek le kell tiltaniuk a nem használt RDP-hozzáférést, szigorú jelszószabályokat kell bevezetniük, és rendszeresen frissíteniük kell a szoftvereket az ismert sebezhetőségek javítása érdekében.

Fejlődő Ransomware táj

A PayForRepair csatlakozik a ransomware törzsek egyre növekvő listájához, köztük olyanokhoz, mint a Jackalock , a DarkMystic és a VerdaCrypt . Mindegyik kissé eltérő módszerekkel és célokkal működik, de mindegyiknek közös a célja: az adatok zárolása és a fizetés kicsikarása. Vannak, akik néhány száz dollárt követelnek; mások milliók – a céltól függően.

Ahogy a fenyegetések folyamatosan fejlődnek, úgy kell megértenünk, hogyan működnek, és hogyan védekezzünk ellenük. Míg a PayForRepair csak egy név a zsúfolt zsarolóvírus-mezőn, módszerei egyértelműen emlékeztetnek arra, hogy még a rutin böngészés vagy az e-mailek ellenőrzése is jelentős fennakadások előtt nyithatja meg az ajtót – hacsak nincsenek megfelelő biztosítékok.

Willa -Ig
April 16, 2025
Ransomware
Magyar
April 16, 2025
Ransomware

Népszerű Bejegyzések

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

11 months ezelőtt

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

12 days ezelőtt

Vegye figyelembe: Valaki felvette Önt helyreállítási...

10 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

7 months ezelőtt

Potenciálisan komoly fenyegetés: Trojan:Win32/Suschil!rfn

19 days ezelőtt

Mi a Packunwan trójai faló fenyegetés, és hogyan érintheti a...

11 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.