Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền FIND Ransomware

FIND Ransomware

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Việc bảo vệ thiết bị của bạn khỏi phần mềm độc hại đã trở thành một nhu cầu thiết yếu hơn là một lựa chọn. Tội phạm mạng tiếp tục phát triển các chiến thuật, tạo ra các biến thể ransomware ngày càng phức tạp được thiết kế để khai thác ngay cả những điểm yếu bảo mật nhỏ nhất. FIND Ransomware, một biến thể mới được phát hiện từ họ Dharma khét tiếng, là minh chứng cho sự tinh vi và dai dẳng của các hoạt động ransomware hiện đại.

Bên trong cuộc tấn công Ransomware FIND

Mã độc tống tiền FIND hoạt động với hiệu suất tàn bạo tương tự như Dharma, một trong những họ mã độc tống tiền hoạt động mạnh nhất. Sau khi thực thi, mã độc bắt đầu mã hóa các tệp của nạn nhân, khiến chúng không thể truy cập được. Trong quá trình này, nó đổi tên từng tệp bằng cách thêm ID duy nhất của nạn nhân, địa chỉ email do kẻ tấn công kiểm soát và phần mở rộng '.FIND' — ví dụ: đổi tên '1.png' thành '1.png.id-9ECFA84E.[findourtxt@tuta.io
].FIND.' Một biến thể khác được quan sát thấy của mối đe dọa này sử dụng phần mở rộng '.FIND5' thay thế.

Sau khi mã hóa, ransomware gửi yêu cầu qua hai kênh — một thông báo bật lên và một tệp ghi chú đòi tiền chuộc có tên 'info.txt'. Ghi chú này thông báo cho nạn nhân rằng tệp của họ đã bị mã hóa và hướng dẫn họ liên hệ với kẻ tấn công qua một trong hai địa chỉ email — 'findourtxt@tuta.io' hoặc 'findourtxt@mailum.com' — bằng ID được chỉ định.

Thông báo đòi tiền chuộc còn khẳng định một số dữ liệu của nạn nhân đã bị rò rỉ và cảnh báo rằng việc không tuân thủ sẽ dẫn đến việc thông tin bị đánh cắp bị bán hoặc chia sẻ với bên thứ ba. Thông báo cũng khuyến cáo nạn nhân không nên đổi tên tệp hoặc cố gắng giải mã dữ liệu bằng các công cụ của bên thứ ba, vì những hành động như vậy có thể dẫn đến mất dữ liệu vĩnh viễn hoặc yêu cầu tiền chuộc cao hơn.

Cách thức hoạt động của FIND Ransomware

Giống như các biến thể Dharma khác, FIND Ransomware tuân theo quy trình lây nhiễm nhiều bước được thiết kế để tối đa hóa tác động và tính bền bỉ. Khi đã hoạt động trên hệ thống, phần mềm độc hại sẽ mã hóa các tệp trên cả ổ đĩa cục bộ và ổ đĩa mạng, nhắm mục tiêu vào nhiều loại dữ liệu và thậm chí xóa các bản sao Volume Shadow để ngăn chặn việc khôi phục dễ dàng.

Nó cũng can thiệp vào cài đặt hệ thống bằng cách vô hiệu hóa Tường lửa Windows, thiết lập tính bền bỉ bằng cách đặt các bản sao của chính nó vào thư mục %LOCALAPPDATA% và thêm các mục nhập vào khóa sổ đăng ký Run. Ngoài ra, một số biến thể dựa trên Dharma còn thu thập dữ liệu vị trí và có thể loại trừ các thư mục hoặc ổ đĩa hệ thống cụ thể khỏi mã hóa, có thể vì lý do vận hành hoặc chiến lược.

Các vectơ lây nhiễm và kênh phân phối

FIND Ransomware, giống như các phiên bản trước, lây lan thông qua sự kết hợp giữa các phương thức lừa đảo và cơ hội. Tội phạm mạng sử dụng các chiến dịch lừa đảo, tệp đính kèm độc hại và liên kết lừa đảo được nhúng trong email để lừa người dùng khởi tạo mã độc. Các phương thức phát tán phổ biến khác bao gồm:

  1. Tải xuống từ các trang web độc hại hoặc bị xâm phạm.
  2. Cài đặt thông qua phần mềm lậu, bản cập nhật giả mạo hoặc ứng dụng bị bẻ khóa.
  3. Khai thác lỗ hổng phần mềm chưa được vá và cấu hình Giao thức máy tính từ xa (RDP) yếu.
  4. Quảng cáo độc hại, mạng P2P và ổ đĩa di động (USB) bị nhiễm virus.

Sau khi cài đặt, FIND sẽ mã hóa dữ liệu quan trọng và yêu cầu thanh toán, thường bằng tiền điện tử, để cung cấp khóa giải mã — mặc dù không có gì đảm bảo rằng thanh toán sẽ dẫn đến việc khôi phục thành công.

Thực hành bảo mật tốt nhất để luôn được bảo vệ

Việc phòng thủ chống lại ransomware như FIND đòi hỏi một phương pháp tiếp cận chủ động và nhiều lớp. Người dùng và tổ chức có thể giảm đáng kể nguy cơ lây nhiễm bằng cách thực hiện các biện pháp thiết yếu sau:

  1. Tăng cường bảo mật thiết bị và mạng :
  • Thường xuyên cập nhật hệ điều hành, trình duyệt và phần mềm để vá các lỗ hổng đã biết.
  • Cấu hình tường lửa và công cụ diệt vi-rút để phát hiện và chặn các hoạt động đáng ngờ.
  • Vô hiệu hóa quyền truy cập RDP nếu không cần thiết hoặc hạn chế quyền truy cập thông qua mật khẩu mạnh, xác thực đa yếu tố và danh sách trắng IP.
  1. Thực hành thói quen duyệt web và sử dụng email an toàn :
  • Tránh mở các tệp đính kèm không mong muốn hoặc nhấp vào các liên kết từ người gửi không xác định.
  • Chỉ tải phần mềm từ những nguồn đáng tin cậy và tránh các chương trình torrent hoặc crack.
  • Hãy thận trọng khi trả lời các tin nhắn 'khẩn cấp' hoặc 'cảnh báo an ninh' bất ngờ.
  1. Duy trì bản sao lưu đáng tin cậy :
  • Lưu trữ dữ liệu quan trọng ở chế độ ngoại tuyến hoặc sao lưu trên đám mây.
  • Đảm bảo các thiết bị sao lưu được ngắt kết nối sau khi sử dụng để ngăn chặn mã hóa trong quá trình tấn công.
  1. Giáo dục và Chuẩn bị :
  • Đào tạo tất cả người dùng về cách nhận biết các hành vi lừa đảo và hành vi độc hại.
  • Xây dựng kế hoạch ứng phó sự cố nêu rõ các bước để cô lập các hệ thống bị nhiễm và khôi phục hoạt động.

Suy nghĩ cuối cùng

FIND Ransomware là một bước tiến hóa mới trong dòng Dharma dai dẳng và phá hoại. Bằng cách mã hóa dữ liệu quan trọng, can thiệp vào cài đặt bảo mật và lợi dụng áp lực tâm lý thông qua các ghi chú đòi tiền chuộc, phần mềm độc hại này gây ra mối đe dọa nghiêm trọng cho cả cá nhân và tổ chức.

Duy trì an ninh mạng chặt chẽ, cảnh giác với các hoạt động trực tuyến đáng ngờ và sao lưu dữ liệu thường xuyên vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các mối đe dọa ransomware như vậy.

System Messages

The following system messages may be associated with FIND Ransomware:

All your files has been encrypted!
Don't worry, you can return all your files!
If you want to restore them, contact us: findourtxt@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:findourtxt@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)
Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties.
Financial implications: The threat of data breach could result in significant fines and legal action.
Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work.
We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom message in the text file:
Text in this file:

All your data has been encrypted.

For decryption contact:

findourtxt@tuta.io or findourtxt@mailum.com

Bài viết liên quan

xu hướng

Phiên bản hộp thư của bạn sẽ bị ngừng hoạt động lừa đảo

Lừa đảo, Thư rác
Những kẻ lừa đảo trực tuyến liên tục phát triển các thủ đoạn mới để lừa đảo người dùng và đánh cắp dữ liệu quan trọng. Một ví dụ điển hình là trò lừa đảo "Phiên bản Hộp thư của bạn sẽ bị ngừng hoạt động", một chiến dịch lừa đảo được thiết kế để thu thập thông tin đăng nhập từ những nạn nhân nhẹ dạ cả tin. Các chuyên gia an ninh mạng cảnh báo rằng những tin nhắn lừa đảo này không liên quan đến...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,974
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...