Oprogramowanie ransomware Risen

W dzisiejszej erze cyfrowej ochrona urządzeń przed zagrożeniami ze strony złośliwego oprogramowania ma kluczowe znaczenie. Złośliwe oprogramowanie, takie jak oprogramowanie ransomware, może mieć niszczycielski wpływ zarówno na osoby fizyczne, jak i organizacje, prowadząc do znacznej utraty danych, szkód finansowych i zakłóceń operacyjnych. Jednym z najnowszych zagrożeń w tej dziedzinie jest Risen Ransomware, groźne oprogramowanie, które szyfruje pliki użytkowników i żąda zapłaty okupu za ich odzyskanie. Zrozumienie, w jaki sposób działa Risen Ransomware i jak chronić się przed takimi zagrożeniami, jest niezbędne do utrzymania cyberbezpieczeństwa.

Przegląd oprogramowania ransomware Risen

Risen Ransomware zostało odkryte przez badaczy cyberbezpieczeństwa, którzy zidentyfikowali jego unikalne cechy i metody działania. Po zainfekowaniu systemu Risen szyfruje pliki i zmienia ich nazwy, dołączając do ich rozszerzeń adres e-mail i identyfikator użytkownika. Na przykład nazwa „1.png” zostanie zmieniona na „1.png.Default@firemail.de].E86EQNTPTT”, a nazwa „2.pdf” zostanie zmieniona na „2.pdf.Default@firemail.de].E86EQNTPTT”.

Żądania okupu i groźby

Risen Ransomware tworzy dwie notatki z żądaniem okupu: „$Risen_Note.txt” i „$Risen_Guide.hta”. Dodatkowo zmienia tapetę pulpitu i wyświetla komunikat na ekranie poprzedzającym logowanie, dzięki czemu ofiara jest świadoma naruszenia. W żądaniach okupu znajduje się informacja, że napastnicy przeniknęli do całej sieci ofiary ze względu na luki w zabezpieczeniach i zaszyfrowali wszystkie pliki przy użyciu silnego algorytmu. Twierdzą również, że skradziono krytyczne dane, takie jak dokumenty, obrazy, dane inżynieryjne, informacje księgowe i dane klientów.

Taktyka wymuszenia

W żądaniach okupu grożą, że jeśli ofiary nie będą współpracować w nieokreślonym terminie, napastnicy wyciekną lub sprzedają zebrane dane. Z notatek wynika, że kopie zapasowe również zostały zaszyfrowane i są niedostępne, co sugeruje, że jedynym sposobem odzyskania plików jest użycie specjalnego narzędzia deszyfrującego udostępnionego przez osoby atakujące. Ofiary mogą wysłać maksymalnie trzy pliki testowe w celu bezpłatnego odszyfrowania i muszą skorzystać z podanych adresów e-mail, default1@tutamail.com i default@firemail.de, aby skontaktować się z atakującymi, podając identyfikator komputera w temacie. Jeśli w ciągu 72 godzin nie otrzymamy odpowiedzi, ofiary proszone są o skontaktowanie się z napastnikami za pośrednictwem udostępnionego bloga TOR.

Ryzyko płacenia okupu

Pomimo obietnic napastników zdecydowanie odradza się płacenie okupu. Istnieje znaczne ryzyko, że zostaniesz oszukany, ponieważ osoby atakujące mogą nie udostępnić narzędzia do odszyfrowania nawet po dokonaniu płatności. Co więcej, oprogramowanie ransomware może nadal szyfrować pliki i rozprzestrzeniać się w sieci, gdy pozostaje aktywne, powodując dalsze szkody.

Środki bezpieczeństwa zapobiegające infekcjom ransomware

Ochrona przed oprogramowaniem ransomware takim jak Risen wymaga wieloaspektowego podejścia. Oto kilka kluczowych środków bezpieczeństwa, które użytkownicy powinni wdrożyć:

• Regularne kopie zapasowe : regularnie twórz kopię zapasową ważnych danych i upewnij się, że kopie zapasowe są przechowywane w trybie offline lub w bezpiecznym rozwiązaniu opartym na chmurze. Zapewnia to odzyskanie danych w przypadku ataku.
• Zaktualizowane oprogramowanie : Zachowaj całe oprogramowanie, w tym aplikacje i systemy operacyjne, zaktualizowane za pomocą najnowszych poprawek zabezpieczeń, aby wyeliminować luki w zabezpieczeniach, które może wykorzystać oprogramowanie ransomware.
• Silna ochrona przed złośliwym oprogramowaniem : korzystaj ze sprawdzonych rozwiązań chroniących przed złośliwym oprogramowaniem, aby ujawniać i blokować oprogramowanie ransomware, zanim wyrządzi szkody. Upewnij się, że te narzędzia są regularnie aktualizowane.
• Filtrowanie poczty e-mail i stron internetowych : wdrażaj rozwiązania do filtrowania poczty e-mail i sieci, aby blokować fałszywe wiadomości e-mail i strony internetowe, które mogą dostarczać oprogramowanie ransomware.
• Szkolenie użytkowników : Edukuj użytkowników na temat niebezpieczeństw związanych z oprogramowaniem ransomware i bezpiecznymi praktykami w Internecie. Podkreśl znaczenie nieotwierania podejrzanych załączników do wiadomości e-mail ani klikania nieznanych łączy.
• Segmentacja sieci : Segmentuj swoją sieć, aby regulować rozprzestrzenianie się oprogramowania ransomware. Może to pomóc powstrzymać infekcję i zapobiec jej wpływowi na całą sieć.
• Kontrola dostępu : wdrażaj ścisłą kontrolę dostępu, aby ograniczać uprawnienia użytkowników i blokować nieautoryzowany dostęp do wrażliwych danych i systemów.

Risen Ransomware stanowi znaczące zagrożenie w krajobrazie cyberzagrożeń. Zrozumienie jego działania i znaczenie proaktywnego postępowania w zakresie bezpieczeństwa może pomóc zmniejszyć ryzyko infekcji. Wdrażając rygorystyczne praktyki w zakresie cyberbezpieczeństwa, użytkownicy mogą chronić swoje dane i sieci przed niszczycielskim wpływem oprogramowania ransomware.

Tekst żądania okupu pozostawionego ofiarom oprogramowania Risen Ransomware brzmi:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Plik tekstowy wygenerowany przez Risen Ransomware zawiera następującą wiadomość od atakujących:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'