Kas yra „Pomochit Ransomware“?
„Pomochit“ yra „ransomware“ tipo programa, identifikuojama kaip „MedusaLocker“ išpirkos reikalaujančių programų šeimos dalis. Ši kenkėjiška programa užšifruoja užkrėstoje sistemoje esančius failus, siekdama iš aukų išvilioti mokėjimą mainais už iššifravimą.
Table of Contents
Failų šifravimas ir išpirkos pastaba
Mūsų bandomajame įrenginyje „Pomochit“ prie užšifruotų failų pavadinimų pridėjo plėtinį „.pomochit01“. Pavyzdžiui, „1.jpg“ tapo „1.jpg.pomochit01“, o „2.png“ – į „2.png.pomochit01“. Skaičius plėtinyje gali skirtis priklausomai nuo išpirkos reikalaujančios programos varianto.
Baigęs šifravimo procesą, Pomochit numetė išpirkos raštelį pavadinimu „How_to_back_files.html“. Ši pastaba rodo, kad išpirkos reikalaujanti programinė įranga pirmiausia skirta dideliems subjektams, o ne individualiems namų vartotojams.
Pomochito išpirkos raštelis skamba taip:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Ransom Note apžvalga
Pomochit išpirkos raštelis atskleidžia, kad aukos įmonių tinklas buvo pažeistas. Jame teigiama, kad užšifruoti failai buvo apsaugoti naudojant RSA ir AES kriptografinius algoritmus. Be to, išpuolio metu buvo išgauti konfidencialūs ir asmens duomenys.
Pastaba įspėja aukas nepervardyti, keisti ar naudoti trečiųjų šalių atkūrimo įrankius šifruotuose failuose, nes dėl šių veiksmų duomenys gali būti neiššifruoti. Užpuolikai reikalauja sumokėti už iššifravimą ir grasina nutekinti pavogtą turinį, jei jų reikalavimai nebus įvykdyti. Jei per 72 valandas nepavyks susisiekti, išpirkos suma padidės. Prieš mokėdami aukoms leidžiama nemokamai išbandyti kelių failų iššifravimą.
Pomochit Ransomware prigimtis
Remiantis išsamiais išpirkos reikalaujančių programų infekcijų tyrimais, paprastai neįmanoma iššifruoti failų be užpuolikų dalyvavimo. Tačiau išpirkos sumokėjimas negarantuoja duomenų atkūrimo, nes kibernetiniai nusikaltėliai dažnai nesugeba pristatyti žadėtų iššifravimo raktų ar programinės įrangos, nors ir gauna apmokėjimą. Todėl primygtinai nerekomenduojama tenkinti nusikaltėlių reikalavimų vengti remti jų nelegalią veiklą.
Pašalinus „Pomochit“ išpirkos reikalaujančią programinę įrangą iš operacinės sistemos, bus išvengta tolesnio duomenų šifravimo. Deja, pašalinus jau pažeistus failus neatkursite. Vienintelis sprendimas yra atkurti juos iš atsarginės kopijos, jei ji buvo sukurta iš anksto ir yra saugoma kitur.
Prevencijos ir atsarginės strategijos
Geriausias būdas užtikrinti duomenų saugumą – kurti atsargines kopijas keliose atskirose vietose, pavyzdžiui, nuotoliniuose serveriuose, atjungtuose saugojimo įrenginiuose ir kitose saugiose priemonėse.
OceanSpy, ZILLA, LostInfo ir GameCrypt yra keletas naujausių išpirkos reikalaujančių programų variantų. Šios programos veikia panašiai, šifruodamos failus ir reikalaudamos sumokėti už iššifravimą.
Ransomware platinimo metodai
Kibernetiniai nusikaltėliai pirmiausia naudoja sukčiavimo ir socialinės inžinerijos taktikas, kad platintų išpirkos reikalaujančias ir kitas kenkėjiškas programas. Kenkėjiška programinė įranga dažnai užmaskuojama kaip įprastos programos ar laikmenos. Arba kenkėjiškos programos gali būti susietos su įprastu turiniu.
Užkrečiami failai būna įvairių formatų, tokių kaip archyvai (ZIP, RAR), vykdomieji failai (.exe, .run) ir dokumentai (Microsoft Office, PDF). Kai vykdomas kenkėjiškas failas, prasideda infekcijos grandinė.
Bendrieji platinimo metodai
- Backdoor/Loader tipo Trojos arklys : Kenkėjiškos programos, suteikiančios neteisėtą prieigą prie aukos sistemos.
- Vykdomi atsisiuntimai : slapti arba apgaulingi atsisiuntimai, pradėti be naudotojo žinios.
- Kenkėjiški priedai arba nuorodos šlamšto el. laiškuose : sukčiavimo el. laiškai, kuriuose yra žalingų nuorodų arba priedų.
- Internetinės aferos ir kenkėjiška reklama : apgaulingi internetiniai skelbimai arba sukčiavimo svetainės, dėl kurių atsisiunčiama kenkėjiškų programų.
- Nepatikimi atsisiuntimo kanalai : nemokama programinė įranga ir trečiųjų šalių svetainės, P2P bendrinimo tinklai ir kt.
- Neteisėti programinės įrangos aktyvinimo įrankiai („įtrūkimai“) : neleistini įrankiai, naudojami programinės įrangos aktyvinimui apeiti.
- Netikri naujinimai : netikri teisėtos programinės įrangos, kuri teikia kenkėjiškas programas, naujinimai.
Kovojant su išpirkos reikalaujančiomis programomis, tokiomis kaip Pomochit, labai svarbu išlikti budriems ir laikytis tvirtos saugumo praktikos. Reguliarus atsarginių kopijų kūrimas, atsargus el. pašto tvarkymas ir įtartinų atsisiuntimų vengimas gali žymiai sumažinti užsikrėtimo riziką. Atminkite, kad kibernetinio saugumo srityje prevencija visada yra geriau nei gydymas.
