Mi az a Pomochit Ransomware?
A Pomochit egy ransomware típusú program, amelyet a MedusaLocker ransomware család részeként azonosítottak. Ez a rosszindulatú program titkosítja a fertőzött rendszeren lévő fájlokat, és célja, hogy az áldozatoktól fizetést kicsikarjon a visszafejtésért cserébe.
Table of Contents
Fájltitkosítás és váltságdíj megjegyzés
Tesztgépünkön a Pomochit ".pomochit01" kiterjesztést fűzött a titkosított fájlok címeihez. Például az "1.jpg" "1.jpg.pomochit01" lett, a "2.png" pedig "2.png.pomochit01" lett. A bővítményben szereplő szám a ransomware változattól függően változhat.
A titkosítási folyamat befejezése után Pomochit elejtett egy "How_to_back_files.html" nevű váltságdíjat. Ez a megjegyzés azt jelzi, hogy a ransomware elsősorban nagy entitásokat céloz meg, nem pedig egyéni otthoni felhasználókat.
A Pomochit váltságdíj-levél a következőképpen hangzik:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Ransom Note áttekintése
A Pomochit váltságdíj-jegyzetből kiderül, hogy az áldozat céghálózatát feltörték. Azt állítja, hogy a titkosított fájlokat RSA és AES kriptográfiai algoritmusokkal védték. Ezenkívül a támadás során bizalmas és személyes adatokat is kinyertek.
A megjegyzés figyelmezteti az áldozatokat a titkosított fájlok átnevezésétől, módosításától vagy harmadik féltől származó helyreállítási eszközök használatától, mivel ezek a műveletek visszafejthetetlenné tehetik az adatokat. A támadók fizetést követelnek a visszafejtésért, és azzal fenyegetőznek, hogy kiszivárogtatják az ellopott tartalmat, ha nem teljesítik követeléseiket. Ha 72 órán belül nem jön létre a kapcsolat, a váltságdíj összege nő. Az áldozatok a fizetés előtt ingyenesen tesztelhetik a visszafejtést néhány fájlon.
A Pomochit Ransomware természete
A ransomware fertőzésekkel kapcsolatos kiterjedt kutatások alapján általában lehetetlen a fájlok visszafejtése a támadók közreműködése nélkül. A váltságdíj kifizetése azonban nem garantálja az adatok helyreállítását, mivel a kiberbűnözők gyakran nem szállítják át az ígért visszafejtő kulcsokat vagy szoftvereket annak ellenére, hogy megkapták a fizetést. Ezért nyomatékosan nem tanácsos teljesíteni a bûnözõk követeléseit, hogy elkerüljék illegális tevékenységeik támogatását.
A Pomochit ransomware eltávolítása az operációs rendszerből megakadályozza a további adatok titkosítását. Sajnos az eltávolítás nem állítja vissza a már feltört fájlokat. Az egyetlen megoldás az, hogy visszaállítjuk őket egy biztonsági másolatból, ha az előzőleg készült és máshol van tárolva.
Megelőzési és biztonsági mentési stratégiák
Az adatok biztonságának legjobb módja az, ha több különböző helyen, például távoli szervereken, leválasztott tárolóeszközökön és más biztonságos eszközökön készít biztonsági másolatot.
Az OceanSpy, a ZILLA, a LostInfo és a GameCrypt a ransomware legújabb változatai közé tartoznak. Ezek a programok hasonlóan működnek, titkosítják a fájlokat, és fizetést követelnek a visszafejtésért.
Ransomware terjesztési módszerek
A kiberbûnözõk elsõsorban adathalász és szociális tervezési taktikákat alkalmaznak zsarolóvírusok és más rosszindulatú programok terjesztésére. A rosszindulatú szoftvereket gyakran közönséges programnak vagy adathordozónak álcázzák. Alternatív megoldásként a rosszindulatú programokat normál tartalommal is össze lehet kötni.
A fertőző fájlok különféle formátumokban jelennek meg, például archívumok (ZIP, RAR), végrehajtható fájlok (.exe, .run) és dokumentumok (Microsoft Office, PDF). Amikor egy rosszindulatú fájl fut, elindul a fertőzési lánc.
Általános elosztási módszerek
- Backdoor/Loader típusú trójaiak : Rosszindulatú programok, amelyek jogosulatlan hozzáférést biztosítanak az áldozat rendszeréhez.
- Drive-By Downloads : A felhasználó tudta nélkül kezdeményezett lopakodó vagy megtévesztő letöltések.
- Rosszindulatú mellékletek vagy linkek spam e-mailekben : Káros hivatkozásokat vagy mellékleteket tartalmazó adathalász e-mailek.
- Online csalások és rosszindulatú hirdetések : Megtévesztő online hirdetések vagy átverő webhelyek, amelyek rosszindulatú programok letöltéséhez vezetnek.
- Megbízhatatlan letöltési csatornák : ingyenes szoftverek és harmadik felek webhelyei, P2P megosztási hálózatok stb.
- Illegális szoftveraktiváló eszközök ("Cracks") : a szoftveraktiválás megkerülésére használt, nem engedélyezett eszközök.
- Hamis frissítések : Hamis frissítések olyan legitim szoftverekhez, amelyek rosszindulatú programokat szállítanak.
Az éberség és a szilárd biztonsági gyakorlatok betartása elengedhetetlen a zsarolóprogramok, például a Pomochit elleni küzdelemben. A rendszeres biztonsági mentések, az e-mailek óvatos kezelése és a gyanús letöltések elkerülése jelentősen csökkentheti a fertőzés kockázatát. Ne feledje, hogy a megelőzés mindig jobb, mint a gyógyítás, ha a kiberbiztonságról van szó.
