Risen Ransomware

У сучасну цифрову епоху захист пристроїв від шкідливих програм є надзвичайно важливим. Зловмисне програмне забезпечення, наприклад програми-вимагачі, може мати руйнівний вплив як на окремих осіб, так і на організації, що призводить до значної втрати даних, фінансових збитків і збоїв у роботі. Однією з найновіших загроз у цій сфері є Risen Ransomware, загрозливе програмне забезпечення, яке шифрує файли користувачів і вимагає викуп за їх відновлення. Розуміння того, як працює програма-вимагач Risen і як захиститися від таких загроз, має важливе значення для підтримки кібербезпеки.

Огляд програми-вимагача Risen

Програмне забезпечення-вимагач Risen було виявлено дослідниками кібербезпеки, які визначили його унікальні характеристики та методи роботи. Після зараження системи Risen шифрує файли та перейменовує їх, додаючи адресу електронної пошти та ідентифікатор користувача до їхніх розширень. Наприклад, «1.png» перейменовано на «1.png.Default@firemail.de].E86EQNTPTT», а «2.pdf» стане «2.pdf.Default@firemail.de].E86EQNTPTT».

Нотатки про викуп і погрози

Програма-вимагач Risen створює дві нотатки про викуп: «$Risen_Note.txt» і «$Risen_Guide.hta». Крім того, він змінює шпалери робочого столу та відображає повідомлення на екрані перед входом, гарантуючи, що жертва знає про порушення. У примітках про викуп стверджується, що зловмисники проникли в усю мережу жертви через недоліки безпеки та зашифрували всі файли за допомогою надійного алгоритму. Вони також стверджують, що критично важливі дані, такі як документи, зображення, інженерні дані, бухгалтерська інформація та дані клієнтів, були викрадені.

Тактика вимагання

У записках про викуп загрожує, що якщо жертви не співпрацюватимуть до невизначеного терміну, зловмисники виточать або продадуть зібрані дані. У примітках зазначено, що резервні копії також були зашифровані та недоступні, що означає, що єдиний спосіб відновити файли — за допомогою спеціального інструменту дешифрування, наданого зловмисниками. Жертвам дозволено надіслати до трьох тестових файлів для безкоштовного розшифровування, і вони повинні використовувати надані адреси електронної пошти, default1@tutamail.com і default@firemail.de, щоб зв’язатися зі зловмисниками, вказавши ідентифікатор машини в рядку теми. Якщо протягом 72 годин не буде відповіді, жертвам пропонують зв’язатися зі зловмисниками через наданий блог TOR.

Ризики сплати викупу

Незважаючи на обіцянки зловмисників, платити викуп вкрай не рекомендується. Існує значний ризик бути обдуреним, оскільки зловмисники можуть не надати інструмент розшифровки навіть після оплати. Крім того, програми-вимагачі можуть продовжувати шифрувати файли та поширюватися мережею, залишаючись активними, завдаючи подальшої шкоди.

Заходи безпеки для запобігання зараженню програмами-вимагачами

Для захисту від програм-вимагачів, таких як Risen, потрібен багатогранний підхід. Ось кілька важливих заходів безпеки, які користувачі повинні застосувати:

• Регулярне резервне копіювання : регулярно створюйте резервні копії важливих даних і гарантуйте, що резервні копії зберігаються в автономному режимі або в безпечному хмарному рішенні. Це забезпечує відновлення даних у разі атаки.
• Оновлене програмне забезпечення : зберігайте все програмне забезпечення, включно з програмами та операційними системами, оновленими останніми виправленнями безпеки, щоб закрити вразливості, які можуть використовувати програми-вимагачі.
• Надійний захист від зловмисного програмного забезпечення : використовуйте надійні рішення для захисту від зловмисного програмного забезпечення, щоб виявляти та блокувати програми-вимагачі, перш ніж вони можуть завдати шкоди. Переконайтеся, що ці інструменти регулярно оновлюються.
• Фільтрування електронної пошти та веб-сайтів : запровадьте рішення для фільтрації електронної пошти та веб-сайтів, щоб блокувати шахрайські листи та веб-сайти, які можуть доставляти програмне забезпечення-вимагач.
• Навчання користувачів : розкажіть користувачам про небезпеку програм-вимагачів і безпечні онлайн-практики. Підкресліть важливість того, щоб не відкривати підозрілі вкладення електронної пошти та не натискати невідомі посилання.
• Сегментація мережі : сегментуйте свою мережу, щоб регулювати поширення програм-вимагачів. Це може допомогти стримати інфекцію та запобігти її впливу на всю мережу.
• Контроль доступу : запровадьте суворий контроль доступу, щоб обмежити дозволи користувачів і заблокувати несанкціонований доступ до конфіденційних даних і систем.

Програмне забезпечення-вимагач Risen представляє значну загрозу серед кіберзагроз. Розуміння його роботи та важливості профілактичних заходів безпеки може допомогти зменшити ризик зараження. Впроваджуючи надійні методи кібербезпеки, користувачі можуть захистити свої дані та мережі від руйнівного впливу програм-вимагачів.

Текст у записці про викуп, залишеній жертвам програми-вимагача Risen, такий:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Текстовий файл, згенерований Risen Ransomware, містить таке повідомлення від зловмисників:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'