Что такое программа-вымогатель Pomochit?

Pomochit — это программа-вымогатель, относящаяся к семейству программ-вымогателей MedusaLocker. Это вредоносное ПО шифрует файлы в зараженной системе с целью вымогательства у жертв оплаты в обмен на расшифровку.

Шифрование файлов и требование выкупа

На нашей тестовой машине Pomochit добавлял расширение «.pomochit01» к заголовкам зашифрованных файлов. Например, «1.jpg» превратился в «1.jpg.помочить01», а «2.png» превратился в «2.png.помочить01». Число в расширении может варьироваться в зависимости от варианта вымогателя.

После завершения процесса шифрования Pomochit отправил записку с требованием выкупа под названием «How_to_back_files.html». Это примечание указывает на то, что программа-вымогатель в первую очередь нацелена на крупные организации, а не на отдельных домашних пользователей.

Записка о выкупе Pomochit выглядит следующим образом:

YOUR PERSONAL ID:
-

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com

* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

* Tor-chat to always be in touch:

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Обзор записки о выкупе

Записка о выкупе Pomochit показывает, что сеть компании жертвы была скомпрометирована. В нем говорится, что зашифрованные файлы были защищены с использованием криптографических алгоритмов RSA и AES. Кроме того, в ходе атаки были извлечены конфиденциальные и личные данные.

В примечании жертвам предостерегают от переименования, изменения или использования сторонних инструментов восстановления зашифрованных файлов, поскольку эти действия могут сделать данные нерасшифрованными. Злоумышленники требуют плату за расшифровку и угрожают слить украденный контент, если их требования не будут выполнены. Если контакт не будет установлен в течение 72 часов, сумма выкупа увеличится. Жертвам разрешается бесплатно протестировать расшифровку нескольких файлов перед оплатой.

Природа программ-вымогателей Pomochit

Согласно обширным исследованиям заражения программами-вымогателями, обычно невозможно расшифровать файлы без участия злоумышленников. Однако уплата выкупа не гарантирует восстановление данных, поскольку киберпреступники часто не могут доставить обещанные ключи или программное обеспечение для дешифрования, несмотря на получение оплаты. Поэтому настоятельно не рекомендуется выполнять требования преступников во избежание поддержки их незаконной деятельности.

Удаление программы-вымогателя Pomochit из операционной системы предотвратит дальнейшее шифрование данных. К сожалению, удаление не восстановит уже скомпрометированные файлы. Единственное решение — восстановить их из резервной копии, если она была создана заранее и хранится в другом месте.

Стратегии предотвращения и резервного копирования

Лучший способ обеспечить безопасность данных — хранить резервные копии в нескольких отдельных местах, например на удаленных серверах, отключенных устройствах хранения и других безопасных средствах.

OceanSpy, ZILLA, LostInfo и GameCrypt — одни из новейших вариантов программ-вымогателей. Эти программы действуют аналогичным образом, шифруя файлы и требуя плату за расшифровку.

Методы распространения программ-вымогателей

Киберпреступники в основном используют методы фишинга и социальной инженерии для распространения программ-вымогателей и других вредоносных программ. Вредоносное ПО часто маскируется под обычные программы или носители. Альтернативно, вредоносное ПО может быть связано с обычным контентом.

Заразные файлы существуют в различных форматах, например, в виде архивов (ZIP, RAR), исполняемых файлов (.exe, .run) и документов (Microsoft Office, PDF). При запуске вредоносного файла начинается цепочка заражения.

Общие методы распространения

• Троянские программы типа «бэкдор/загрузчик» : вредоносные программы, обеспечивающие несанкционированный доступ к системе жертвы.
• Загрузки с диска : скрытые или обманные загрузки, инициируемые без ведома пользователя.
• Вредоносные вложения или ссылки в спам-сообщениях : фишинговые электронные письма, содержащие вредоносные ссылки или вложения.
• Интернет-мошенничество и вредоносная реклама : обманчивая онлайн-реклама или мошеннические веб-сайты, ведущие к загрузке вредоносного ПО.
• Ненадежные каналы загрузки : бесплатные и сторонние сайты, сети обмена P2P и т. д.
• Незаконные инструменты активации программного обеспечения («Взломы») : несанкционированные инструменты, используемые для обхода активации программного обеспечения.
• Поддельные обновления : фиктивные обновления для законного программного обеспечения, распространяющего вредоносное ПО.

Сохранение бдительности и соблюдение надежных мер безопасности имеют важное значение в борьбе с угрозами программ-вымогателей, такими как Pomochit. Регулярное резервное копирование, осторожное обращение с электронной почтой и предотвращение подозрительных загрузок могут значительно снизить риск заражения. Помните, что когда дело касается кибербезопасности, профилактика всегда лучше лечения.