PayForRepair Ransomware slår en prislapp på filene dine

Nok en trussel på cyberscenen

Cybersikkerhetsforskere har avdekket en annen stamme av løsepengevare på vei gjennom infiserte systemer: PayForRepair . Dette ondsinnede programmet tilhører den velkjente Dharma-ransomware-familien og følger et kjent, men farlig mønster – krypterer filer og krever løsepenger i bytte mot dekryptering.

PayForRepair er designet for å låse ofre ute av dataene deres mens de bruker en unik identifiserbar kode på hver kryptert fil. Infiserte filer blir omdøpt til å inkludere en offerspesifikk ID, angripernes e-postadresse og utvidelsen ".P4R". Ofre mottar også løsepenger både som popup-vinduer og som en tekstfil kalt info.txt , som legges ned i hver berørt mappe.

Her er hva løsepengene sier:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hva PayForRepair ønsker

Ransomware som PayForRepair er laget for å gjøre personlige og forretningsdata utilgjengelige ved å kryptere dem ved hjelp av sterke algoritmer. Når de er kryptert, kan ikke filene åpnes eller brukes med mindre en unik dekrypteringsnøkkel er gitt – noe bare angriperen har. PayForRepairs løsepengenota ber ofrene om å sende e-post til angriperne for å forhandle om datagjenoppretting. Popup-vinduet tydeliggjør situasjonen ytterligere, og sier at dekryptering kun vil bli gitt etter at betaling er utført i Bitcoin .

Angriperne gir et tegn på "god tro" ved å la offeret dekryptere opptil tre filer gratis, forutsatt at disse filene oppfyller visse kriterier. Denne taktikken brukes ofte for å bygge tillit og presse offeret til å betale. Imidlertid advarer de også ofre mot å bruke tredjeparts gjenopprettingsverktøy, og hevder at det kan ødelegge de krypterte filene permanent – en frykttaktikk som er typisk for løsepengevarekampanjer.

Hvorfor Dharma-baserte angrep er vanskelige å slå

Som medlem av Dharma-ransomware-familien deler PayForRepair flere egenskaper med sine motparter. Mens den skåner kritiske systemfiler – noe som betyr at ofre fortsatt kan betjene enhetene sine – retter den seg vilkårlig mot lokale og nettverksdelte filer. Ransomware øker suksessraten ved å avslutte prosesser relatert til åpne filer, for eksempel de som brukes av databaser eller produktivitetsapper, og sikre at disse filene også kan låses.

For å kontrollere infiserte systemer, bygger Dharma-basert skadelig programvare seg ofte inn på bestemte steder på maskinen, for eksempel %LOCALAPPDATA% -katalogen, og setter seg selv til å starte hver gang datamaskinen startes på nytt. Den sletter også alle Volume Shadow Copies – en innebygd Windows backup-funksjon – slik at ofre ikke bare kan rulle systemene tilbake til en tidligere tilstand.

Den harde virkeligheten: Det hjelper kanskje ikke å betale

Dessverre er oddsen stablet mot ofre når PayForRepair har låst filene deres. Krypteringsmetodene som brukes er generelt robuste, og uten angripernes dekrypteringsnøkkel er gjenoppretting nesten umulig. Selv om ofrene betaler løsepenger, er det ingen garanti for at dekrypteringsverktøyene faktisk blir levert. I mange tilfeller tar nettkriminelle rett og slett betalingen og forsvinner.

Det er derfor nettsikkerhetseksperter sterkt fraråder å betale løsepenger. Å gjøre det finansierer ikke bare kriminelle operasjoner, men fremmer også veksten av løsepengevare som en tjeneste (RaaS)-modeller, der malware-sett selges eller leies ut til andre dårlige aktører for omfattende angrep.

Hvordan PayForRepair sprer seg

Den vanligste infeksjonsmetoden for Dharma løsepengevarevarianter, inkludert PayForRepair, er gjennom svake Remote Desktop Protocol (RDP)-tjenester. Angripere bruker brute-force-teknikker for å gjette passord og få tilgang til systemer med dårlig påloggingssikkerhet. Når de er inne, kan de enkelt distribuere løsepengevare og deaktivere forsvar som brannmurer.

RDP er imidlertid ikke den eneste vektoren. Andre vanlige metoder inkluderer phishing-e-poster, ondsinnede filvedlegg, falske programvareoppdateringer og nedlastinger fra ubekreftede kilder. Ofte er løsepengevare forkledd som et dokument eller installasjonsfil som ser ufarlig ut. Når den åpnes, installerer den seg selv stille og begynner å kryptere filer.

I noen tilfeller kan løsepengevare spres sideveis over nettverk eller til og med infisere flyttbare medier som USB-stasjoner. Dette fremhever behovet for flerlags forsvar som går utover bare antivirusprogramvare.

Optimal praksis for forebygging og gjenoppretting

Fordi fjerning av løsepengeprogramvare som PayForRepair ikke vil dekryptere filene dine, er forebygging den beste forsvarslinjen. Et av de mest kritiske trinnene er å opprettholde regelmessige, offline sikkerhetskopier lagret på sikre og separate steder – ideelt sett i både fysiske og skymiljøer. Dette sikrer at selv om du blir angrepet, kan data gjenopprettes uten å betale løsepenger.

Brukere bør også være forsiktige når de surfer på nettet eller åpner uønskede e-poster. Vedlegg og lenker fra ukjente kilder skal alltid behandles med mistenksomhet. I tillegg bør organisasjoner deaktivere ubrukt RDP-tilgang, håndheve sterke passordpolicyer og regelmessig oppdatere programvare for å korrigere kjente sårbarheter.

Utviklende Ransomware-landskap

PayForRepair slutter seg til en voksende liste over løsepengevarestammer, inkludert andre som Jackalock , DarkMystic og VerdaCrypt . Hver opererer med litt forskjellige metoder og mål, men alle deler et felles formål: låse data og presse ut betaling. Noen krever noen hundre dollar; andre, millioner – avhengig av målet.

Ettersom truslene fortsetter å utvikle seg, må også vår forståelse av hvordan de fungerer og hvordan vi kan forsvare dem. Mens PayForRepair bare er ett navn i et overfylt løsepengevarefelt, er metodene en klar påminnelse om hvordan til og med rutinemessig surfing eller e-postsjekking kan åpne døren til betydelige forstyrrelser – med mindre riktige sikkerhetstiltak er på plass.