Ransomware d'Amics

El Mezo el Ransomware

Traduir a:

Protegir els dispositius del programari maliciós és més important que mai, ja que les amenaces cibernètiques modernes poden xifrar dades valuoses, interrompre les operacions comercials i exposar informació sensible. El ransomware, en particular, continua sent una de les formes més perjudicials de programari maliciós perquè combina el xifratge de dades amb tàctiques d'extorsió dissenyades per pressionar les víctimes perquè paguin grans quantitats de diners. Un exemple notable és el ransomware Friends, una amenaça sofisticada que ataca una àmplia gamma de tipus de fitxers alhora que aprofita el robatori de dades per augmentar la probabilitat de pagament.

Taula de continguts

Ransomware Friends: una ciberamenaça de doble extorsió

El ransomware Friends és un programa maliciós descobert per investigadors de ciberseguretat que xifra fitxers en sistemes compromesos i exigeix un rescat a canvi d'una clau de desxifrat. Més enllà del xifratge de fitxers, els operadors darrere d'aquesta amenaça afirmen robar informació confidencial de les víctimes abans de bloquejar les seves dades. Aquesta tàctica, comunament coneguda com a doble extorsió, permet als atacants amenaçar tant amb la pèrdua de dades com amb l'exposició pública d'informació sensible.

Un cop executat en un sistema, Friends Ransomware busca nombrosos tipus de fitxers i els xifra. Durant aquest procés, afegeix l'extensió '.friends124' als fitxers afectats. Per exemple, un fitxer anomenat '1.png' es transforma en '1.png.friends124', mentre que '2.pdf' es converteix en '2.pdf.friends124'. Aquesta extensió serveix com a indicador clar que els fitxers han estat processats pel programari maliciós i ja no són accessibles per mitjans normals.

Procés de xifratge i demandes de rescat

Després de completar la rutina de xifratge, el ransomware crea un fitxer anomenat "RANSOM_NOTE.html" que conté instruccions per a la víctima. La nota informa els usuaris que els seus fitxers han estat xifrats i proporciona informació de contacte per iniciar negociacions de rescat. Es demana a les víctimes que es comuniquin amb els atacants a través de les adreces de correu electrònic "recovery1@salamati.vip" i "recovery1@amniyat.xyz". També s'esmenta un mètode de contacte alternatiu a través de la xarxa Tor.

La nota de rescat afirma que s'han recopilat dades confidencials i personals i que aquestes s'han emmagatzemat en un servidor privat controlat pels atacants. Segons el missatge, aquesta informació es publicarà o es vendrà a tercers si la víctima es nega a complir amb les demandes de rescat. Per convèncer les víctimes que la recuperació d'arxius és possible, els delinqüents ofereixen desxifrar dos o tres arxius no essencials de forma gratuïta. La nota també adverteix que l'import del rescat augmentarà si no s'estableix el contacte en un termini de 72 hores i aconsella a les víctimes que creïn un compte de ProtonMail abans de comunicar-se.

Per què pagar el rescat és una decisió arriscada

Les víctimes sovint consideren pagar un rescat quan els fitxers crítics es tornen inaccessibles. Tanmateix, pagar als ciberdelinqüents no garanteix una recuperació satisfactòria. Nombroses operacions de ransomware han cobrat pagaments sense proporcionar eines de desxifratge que funcionin o han proporcionat utilitats que no han aconseguit restaurar totes les dades afectades.

Fins i tot quan els atacants subministren una eina de desxifratge, el pagament dóna suport a l'activitat criminal i fomenta futurs atacs contra altres individus i organitzacions. Per aquestes raons, els professionals de la ciberseguretat desaconsellen fermament pagar demandes de rescat. En la majoria dels incidents, els fitxers xifrats no es poden restaurar sense la clau de desxifratge dels atacants, tret que el ransomware contingui defectes d'implementació significatius que els investigadors puguin explotar per desenvolupar un desxifratge gratuït.

Recuperació i resposta a incidents

La prioritat immediata després d'una infecció és eliminar Friends Ransomware del sistema afectat. L'eliminació del programari maliciós ajuda a evitar que es xifrin fitxers addicionals i redueix el risc de més activitats malicioses. Tanmateix, l'eliminació del programari maliciós per si sola no restaura les dades ja xifrades.

El mètode de recuperació més fiable consisteix a restaurar fitxers a partir de còpies de seguretat creades abans que es produís la infecció. Les còpies de seguretat s'han d'emmagatzemar per separat del sistema principal perquè no es tornin a tocar durant un atac. Si les còpies de seguretat estan connectades a la mateixa xarxa o romanen accessibles contínuament, el ransomware pot intentar xifrar-les també, deixant les víctimes sense una opció de recuperació.

Com es propaga el ransomware Friends

Com moltes famílies de ransomware, Friends Ransomware depèn de múltiples canals de distribució per arribar a les víctimes potencials. Els correus electrònics de phishing continuen sent un dels mètodes de lliurament més eficaços. Aquests missatges sovint contenen fitxers adjunts o enllaços maliciosos que inicien descàrregues de programari maliciós quan s'obren. Els atacants solen utilitzar fitxers de documents que contenen macros malicioses, arxius comprimits, fitxers executables, PDF i càrregues útils basades en JavaScript.

Altres vectors d'infecció inclouen troians que instal·len ransomware silenciosament, mecanismes d'actualització de programari falsos, anuncis maliciosos, llocs web compromesos i descàrregues obtingudes de fonts no fiables. Els portals de programari gratuït, les xarxes de compartició de fitxers entre iguals i altres plataformes de distribució no oficials sovint allotgen fitxers maliciosos disfressats de programari legítim. Les unitats USB infectades també poden facilitar la propagació de ransomware entre sistemes.

Un escenari d'infecció particularment comú implica esquerdes de programari i eines d'activació pirates. Els ciberdelinqüents sovint disfressen el programari maliciós com a alternatives gratuïtes al programari de pagament, explotant els usuaris que estan disposats a eludir els canals de distribució oficials. Un cop executats, aquests programes aparentment inofensius poden instal·lar ransomware sense previ avís.

Enfortiment de les defenses contra el ransomware

Una protecció eficaç contra el ransomware requereix una estratègia de seguretat per capes que combini salvaguardes tècniques amb un comportament segur de l'usuari. Les organitzacions i els individus han de mantenir un programari de seguretat de bona reputació, garantir que els sistemes operatius i les aplicacions rebin actualitzacions periòdiques i desactivar les funcions innecessàries que els atacants podrien utilitzar de manera abusiva. Els fitxers adjunts de correu electrònic i els enllaços de fonts desconegudes o inesperades sempre s'han de tractar amb precaució, fins i tot quan semblen legítims.

Les còpies de seguretat de dades regulars són una de les mesures defensives més importants. Mantenir diverses còpies de seguretat en ubicacions separades, com ara unitats externes fora de línia i solucions d'emmagatzematge remot segures, millora significativament les perspectives de recuperació després d'un atac. Les proves de còpia de seguretat també s'han de realitzar periòdicament per confirmar que les dades es poden restaurar correctament quan calgui.

Les pràctiques de seguretat clau inclouen:

Mantingueu els sistemes operatius, els navegadors i les aplicacions completament actualitzats amb els darrers pegats de seguretat.
Utilitzeu un programari de protecció de punts finals de bona reputació amb capacitats de detecció d'amenaces en temps real.
Mantingueu diverses còpies de seguretat, incloent-hi com a mínim una còpia fora de línia o aïllada.
Eviteu obrir fitxers adjunts de correu electrònic no sol·licitats o fer clic en enllaços sospitosos.
Baixeu el programari només de fonts oficials i de confiança.
Abstenir-se d'utilitzar programari pirata, cracks o eines d'activació no autoritzades.
Restringeix els privilegis administratius sempre que sigui possible.
Educar els usuaris sobre les tàctiques de phishing i els atacs d'enginyeria social.

Avaluació final

El ransomware Friends representa una greu amenaça de ciberseguretat que combina el xifratge d'arxius amb el robatori de dades i l'extorsió. En afegir l'extensió '.friends124' als arxius, deixar caure una nota de rescat titulada 'RANSOM_NOTE.html' i amenaçar d'exposar la informació robada, els seus operadors intenten maximitzar la pressió sobre les víctimes. Tot i que les opcions de recuperació sovint són limitades sense còpies de seguretat fiables, unes pràctiques de ciberseguretat sòlides, unes còpies de seguretat regulars, unes actualitzacions de programari puntuals i un comportament en línia prudent poden reduir significativament la probabilitat d'un atac de ransomware reeixit i minimitzar l'impacte en cas que es produeixi una infecció.

System Messages

The following system messages may be associated with Ransomware d'Amics:

Your files have been encrypted.

Key ID: [Key ID]

Contact us for price and get decryption software.

No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.

If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

[Tor website address]

email:

recovery1@salamati.vip
recovery1@amniyat.xyz

* To contact us, create a new free email account on the site: protonmail.com

IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió