Программа-вымогатель PayForRepair устанавливает цену на ваши файлы
Table of Contents
Еще одна угроза на киберсцене
Исследователи кибербезопасности обнаружили еще один штамм вируса-вымогателя, проникающий через зараженные системы: PayForRepair . Эта вредоносная программа принадлежит к известному семейству вирусов-вымогателей Dharma и следует знакомой, но опасной схеме — шифрует файлы и требует выкуп в обмен на расшифровку.
PayForRepair предназначен для блокировки данных жертв, применяя уникальный идентифицируемый тег к каждому зашифрованному файлу. Зараженные файлы переименовываются, чтобы включить идентификатор жертвы, адрес электронной почты злоумышленников и расширение ".P4R". Жертвы также получают записки с требованием выкупа как в виде всплывающих окон, так и в виде текстового файла с именем info.txt , который помещается в каждую пораженную папку.
Вот что говорится в записке о выкупе:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Чего хочет PayForRepair
Программы-вымогатели, такие как PayForRepair, созданы для того, чтобы сделать личные и деловые данные недоступными, зашифровав их с помощью надежных алгоритмов. После шифрования файлы нельзя открыть или использовать, если не предоставлен уникальный ключ дешифрования, который есть только у злоумышленника. В записке о выкупе PayForRepair жертвам предлагается отправить злоумышленникам электронное письмо для переговоров о восстановлении данных. Всплывающее окно дополнительно проясняет ситуацию, заявляя, что дешифрование будет предоставлено только после оплаты в биткоинах .
Злоумышленники предлагают символ «добросовестности», позволяя жертве бесплатно расшифровать до трех файлов, при условии, что эти файлы соответствуют определенным критериям. Эта тактика обычно используется для завоевания доверия и давления на жертву с целью заставить ее заплатить. Однако они также предостерегают жертв от использования сторонних инструментов восстановления, утверждая, что это может навсегда повредить зашифрованные файлы — тактика запугивания, типичная для кампаний с использованием программ-вымогателей.
Почему атаки, основанные на Дхарме, трудно победить
Будучи членом семейства программ-вымогателей Dharma, PayForRepair разделяет несколько черт со своими аналогами. Хотя он щадит критические системные файлы, что означает, что жертвы все еще могут управлять своими устройствами, он нацелен на локальные и сетевые файлы без разбора. Программа-вымогатель повышает свой показатель успеха, завершая процессы, связанные с открытыми файлами, например, используемые базами данных или приложениями для повышения производительности, гарантируя, что эти файлы также могут быть заблокированы.
Для контроля зараженных систем вредоносное ПО на основе Dharma часто внедряется в определенные места на машине, например в каталог %LOCALAPPDATA% , и настраивается на запуск при каждой перезагрузке компьютера. Оно также удаляет любые теневые копии томов — встроенную функцию резервного копирования Windows — поэтому жертвы не могут просто откатить свои системы к более раннему состоянию.
Суровая реальность: оплата может не помочь
К сожалению, шансы жертв не в пользу жертв, как только PayForRepair заблокирует их файлы. Используемые методы шифрования, как правило, надежны, и без ключа расшифровки злоумышленников восстановление практически невозможно. Даже если жертвы заплатят выкуп, нет никакой гарантии, что инструменты расшифровки действительно будут предоставлены. Во многих случаях киберпреступники просто берут оплату и исчезают.
Вот почему эксперты по кибербезопасности настоятельно не рекомендуют платить выкуп. Это не только финансирует преступные операции, но и подпитывает рост моделей «вымогателей как услуга» (RaaS), когда наборы вредоносных программ продаются или сдаются в аренду другим злоумышленникам для широкомасштабных атак.
Как распространяется PayForRepair
Наиболее распространенный способ заражения для вариантов Dharma ransomware, включая PayForRepair, — через слабые службы Remote Desktop Protocol (RDP). Злоумышленники используют методы подбора паролей и получают доступ к системам с плохой защитой входа. Попав внутрь, они могут легко развернуть ransomware и отключить защиту, такую как брандмауэры.
Однако RDP — не единственный вектор. Другие распространенные методы включают фишинговые письма, вредоносные вложения файлов, поддельные обновления программного обеспечения и загрузки из непроверенных источников. Часто программы-вымогатели маскируются под безобидный на вид документ или установочный файл. При открытии они молча устанавливаются и начинают шифровать файлы.
В некоторых случаях программы-вымогатели могут распространяться по сетям или даже заражать съемные носители, такие как USB-накопители. Это подчеркивает необходимость многоуровневой защиты, которая выходит за рамки простого антивирусного ПО.
Оптимальные методы профилактики и восстановления
Поскольку удаление программ-вымогателей, таких как PayForRepair, не расшифрует ваши файлы, профилактика — лучшая линия защиты. Одним из самых важных шагов является регулярное резервное копирование в автономном режиме в безопасных и отдельных местах — в идеале в физических и облачных средах. Это гарантирует, что даже если вас атакуют, данные можно будет восстановить без выплаты выкупа.
Пользователи также должны быть осторожны при просмотре веб-страниц или открытии нежелательных писем. К вложениям и ссылкам из неизвестных источников всегда следует относиться с подозрением. Кроме того, организации должны отключить неиспользуемый доступ RDP, применять политику надежных паролей и регулярно обновлять программное обеспечение для исправления известных уязвимостей.
Развитие ландшафта программ-вымогателей
PayForRepair присоединяется к растущему списку штаммов программ-вымогателей, включая такие, как Jackalock , DarkMystic и VerdaCrypt . Каждый из них работает с немного разными методами и целями, но все они имеют общую цель: блокировка данных и вымогательство платежей. Некоторые требуют несколько сотен долларов, другие — миллионы — в зависимости от цели.
Поскольку угрозы продолжают развиваться, должно развиваться и наше понимание того, как они действуют и как от них защищаться. Хотя PayForRepair — это всего лишь одно имя в переполненном поле программ-вымогателей, его методы — четкое напоминание о том, что даже обычный просмотр или проверка электронной почты могут открыть дверь к значительному сбою, если не будут приняты надлежащие меры безопасности.
