Co to jest Ransomware Pomochit?
Pomochit to program typu ransomware, identyfikowany jako część rodziny ransomware MedusaLocker. Szkodnik ten szyfruje pliki w zainfekowanym systemie, a jego celem jest wyłudzenie płatności od ofiar w zamian za odszyfrowanie.
Table of Contents
Szyfrowanie plików i żądanie okupu
Na naszej maszynie testowej Pomochit dodał rozszerzenie „.pomochit01” do tytułów zaszyfrowanych plików. Na przykład „1.jpg” zmieniono na „1.jpg.pomochit01”, a „2.png” zmieniono na „2.png.pomochit01”. Liczba w rozszerzeniu może się różnić w zależności od wariantu oprogramowania ransomware.
Po zakończeniu procesu szyfrowania Pomochit upuścił notatkę z żądaniem okupu o nazwie „How_to_back_files.html”. Z tej notatki wynika, że oprogramowanie ransomware atakuje głównie duże podmioty, a nie indywidualnych użytkowników domowych.
Notatka o okupie Pomochit brzmi następująco:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Omówienie żądania okupu
Notatka z żądaniem okupu Pomochit ujawnia, że sieć firmowa ofiary została naruszona. Stwierdza, że zaszyfrowane pliki zostały zabezpieczone algorytmami kryptograficznymi RSA i AES. Dodatkowo podczas ataku wydobyto dane poufne i osobiste.
Notatka ostrzega ofiary przed zmianą nazwy, modyfikowaniem lub używaniem narzędzi do odzyskiwania zaszyfrowanych plików innych firm, ponieważ może to spowodować, że danych nie będzie można odszyfrować. Napastnicy żądają zapłaty za odszyfrowanie i grożą ujawnieniem skradzionych treści, jeśli ich żądania nie zostaną spełnione. Jeśli kontakt nie zostanie nawiązany w ciągu 72 godzin, kwota okupu wzrośnie. Ofiary mogą bezpłatnie przetestować odszyfrowanie kilku plików przed dokonaniem płatności.
Natura oprogramowania ransomware Pomochit
Na podstawie szeroko zakrojonych badań nad infekcjami ransomware zwykle nie da się odszyfrować plików bez udziału atakujących. Zapłata okupu nie gwarantuje jednak odzyskania danych, ponieważ cyberprzestępcy często nie dostarczają obiecanych kluczy odszyfrowujących lub oprogramowania pomimo otrzymania płatności. Dlatego zdecydowanie odradza się spełnianie żądań przestępców, aby uniknąć wspierania ich nielegalnej działalności.
Usunięcie ransomware Pomochit z systemu operacyjnego zapobiegnie dalszemu szyfrowaniu danych. Niestety usunięcie nie przywróci już zainfekowanych plików. Jedynym rozwiązaniem jest odzyskanie ich z kopii zapasowej, jeśli została ona wcześniej utworzona i jest przechowywana w innym miejscu.
Strategie zapobiegania i tworzenia kopii zapasowych
Najlepszym sposobem zapewnienia bezpieczeństwa danych jest przechowywanie kopii zapasowych w wielu oddzielnych lokalizacjach, takich jak zdalne serwery, odłączone urządzenia pamięci masowej i inne bezpieczne środki.
OceanSpy, ZILLA, LostInfo i GameCrypt to niektóre z najnowszych wariantów oprogramowania ransomware. Programy te działają podobnie, szyfrując pliki i żądając zapłaty za odszyfrowanie.
Metody dystrybucji ransomware
Cyberprzestępcy wykorzystują głównie taktykę phishingu i socjotechniki do rozprzestrzeniania oprogramowania ransomware i innego złośliwego oprogramowania. Złośliwe oprogramowanie często maskuje się pod postacią zwykłych programów lub multimediów. Alternatywnie, złośliwe oprogramowanie może być dołączone do zwykłej zawartości.
Zainfekowane pliki występują w różnych formatach, takich jak archiwa (ZIP, RAR), pliki wykonywalne (.exe, .run) i dokumenty (Microsoft Office, PDF). Po uruchomieniu złośliwego pliku rozpoczyna się łańcuch infekcji.
Typowe metody dystrybucji
- Trojany typu backdoor/loader : złośliwe programy zapewniające nieautoryzowany dostęp do systemu ofiary.
- Pobieranie Drive-By : potajemne lub oszukańcze pobieranie inicjowane bez wiedzy użytkownika.
- Złośliwe załączniki lub łącza w wiadomościach spamowych : wiadomości e-mail phishingowe zawierające szkodliwe łącza lub załączniki.
- Oszustwa internetowe i złośliwe reklamy : zwodnicze reklamy internetowe lub oszukańcze witryny prowadzące do pobrania złośliwego oprogramowania.
- Niewiarygodne kanały pobierania : witryny z bezpłatnym oprogramowaniem i witryny stron trzecich, sieci udostępniania P2P itp.
- Nielegalne narzędzia do aktywacji oprogramowania („łamania oprogramowania”) : nieautoryzowane narzędzia używane do ominięcia aktywacji oprogramowania.
- Fałszywe aktualizacje : fałszywe aktualizacje legalnego oprogramowania, które dostarcza złośliwe oprogramowanie.
Zachowanie czujności i stosowanie solidnych praktyk bezpieczeństwa są niezbędne w zwalczaniu zagrożeń typu ransomware, takich jak Pomochit. Regularne tworzenie kopii zapasowych, ostrożne obchodzenie się z pocztą e-mail i unikanie podejrzanych pobrań mogą znacznie zmniejszyć ryzyko infekcji. Pamiętaj, że jeśli chodzi o cyberbezpieczeństwo, zawsze lepiej jest zapobiegać niż leczyć.
