Чего хочет вирус-вымогатель DEVMAN?

Еще один игрок на рынке программ-вымогателей

Программа-вымогатель DEVMAN — последнее дополнение к растущему списку киберугроз, нацеленных как на ничего не подозревающих людей, так и на предприятия. Как только она попадает в систему, DEVMAN начинает работать, шифруя файлы и изменяя их расширения на «.yAGRTb». Например, файл с именем «document.pdf» становится «document.pdf.yAGRTb» и т. д. Это изменение — явный признак присутствия программы-вымогателя DEVMAN.

Но это еще не все. DEVMAN не останавливается на блокировке файлов. Он также оставляет записку с требованием выкупа в виде "README.yAGRTb.txt" и даже меняет обои рабочего стола, чтобы жертвы не могли игнорировать атаку. В записке требуется, чтобы жертва связалась с атакующими по указанному адресу электронной почты или идентификатору чата TOX.

Бизнес цифрового вымогательства

По своей сути, программа-вымогатель DEVMAN — это всего лишь один пример гораздо более широкой угрозы кибербезопасности: программы-вымогатели. Программа-вымогатель — это тип вредоносного программного обеспечения, созданного для удержания файлов жертв в заложниках. После того, как файлы зашифрованы, злоумышленники требуют выкуп — часто в криптовалюте — обещая предоставить инструмент для расшифровки после оплаты. Однако выплата выкупа не гарантирует, что инструмент для расшифровки сработает или что украденные данные будут удалены.

Реальная опасность программ-вымогателей заключается в том, что злоумышленники могут угрожать заблокировать ваши файлы и выложить их в сеть, если их требования не будут выполнены. Это создает палку о двух концах для жертв: платить или рисковать потерять конфиденциальные данные навсегда.

Записка о выкупе: угрозы и обещания

Записка о выкупе DEVMAN продвигает это запугивание на шаг дальше. В ней утверждается, что данные жертв были украдены и зашифрованы с помощью «сильного алгоритма», что делает восстановление без инструмента дешифрования практически невозможным. Жертвы предупреждены о том, что не следует перезагружать или выключать свои компьютеры, так как это может привести к необратимому повреждению файлов.

Злоумышленники обещают отправить список украденных файлов и даже расшифровать один файл в качестве доказательства того, что они могут расшифровать. После завершения этой демонстрации они предлагают жертве обсудить сумму выкупа. Если выкуп будет заплачен, они заявляют, что удалят украденные данные и предоставят инструмент для расшифровки. Однако невыполнение этого требования означает, что файлы будут выложены в сеть, а ключ расшифровки будет уничтожен.

Вот что говорится в записке о выкупе:

DEVMAN
Hello!

Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.

--- Our communication process:

1. You contact us.
2. We send you a list of files that were stolen.
3. We decrypt 1 file to confirm that our decryptor works.
4. We agree on the amount, which must be paid using BTC.
5. We delete your files, we give you a decryptor.
6. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.

--- Client area (hxxps://tox.chat):

>>> Contact this ID:

* If you prefer email - devman@cyberfear.com

--- Recommendations:

DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.

--- Important:
If you refuse to pay or do not get in touch with us, we start publishing your files.
Еhe decryptor will be destroyed and the files will be published on our blog.

Как распространяется DEVMAN

Как и многие другие штаммы программ-вымогателей, DEVMAN часто проникает в системы через фишинговые письма. Эти письма могут содержать вредоносные ссылки или прикрепленные файлы, часто замаскированные под легитимные деловые сообщения или срочные обновления. После открытия файла или нажатия на ссылку программа-вымогатель может быть выпущена на свободу.

Однако электронная почта — не единственный путь. Киберпреступники также могут распространять DEVMAN ransomware через пиратское ПО, инструменты для взлома ПО, генераторы ключей и даже мошеннические мошенничества с поддельной техподдержкой. Пользователи, которые загружают ПО из ненадежных источников, таких как платформы обмена файлами по одноранговым сетям или неофициальные загрузчики, подвергают себя более высокому риску заражения.

Минимизация риска

Хотя программы-вымогатели могут быть разрушительными, существуют активные шаги, которые каждый может предпринять, чтобы свести к минимуму вероятность стать жертвой атаки, подобной DEVMAN. Одной из важнейших стратегий является поддержание актуальных резервных копий важных данных. Хранение этих резервных копий в автономном режиме или на защищенных удаленных серверах гарантирует, что даже если программы-вымогатели заблокируют ваши файлы, вы сможете восстановить их без выплаты выкупа.

Также важно практиковать осторожные привычки просмотра. Будьте осторожны с нежелательными сообщениями или электронными письмами, особенно с вложениями или подозрительными ссылками. Избегайте загрузки пиратского ПО, так как оно часто используется для доставки программ-вымогателей. Вместо этого придерживайтесь надежных и официальных источников для загрузки ПО.

Реагирование на атаку: что делать в случае заражения

Если вы обнаружили, что заражены программой-вымогателем DEVMAN, немедленное действие имеет решающее значение. Отключите зараженное устройство от сети, чтобы остановить дальнейшее распространение. Запустите полное сканирование системы с помощью надежного антивирусного или антивредоносного программного обеспечения, чтобы удалить инфекцию.

К сожалению, восстановление зашифрованных файлов без дешифровального инструмента злоумышленника может быть очень сложным. Эксперты по кибербезопасности иногда разрабатывают бесплатные дешифровальные инструменты для определенных штаммов программ-вымогателей, но нет гарантии, что они существуют для каждого варианта. В таких случаях, как DEVMAN, лучшей защитой остается профилактика.

Заключительные мысли

Рост числа программ-вымогателей DEVMAN снова подчеркивает постоянную угрозу, исходящую от киберпреступников. Атаки программ-вымогателей направлены на использование страха, срочности и ценности личных или деловых данных. Хотя подход DEVMAN знаком — шифрование, запугивание и выкуп, — он подчеркивает необходимость бдительности и надежных методов кибербезопасности.

Резервное копирование данных, сохранение бдительности в отношении подозрительной активности и использование надежных инструментов кибербезопасности может значительно снизить риск. В цифровую эпоху осведомленность и осторожность являются первыми линиями защиты от растущей волны атак программ-вымогателей.