IRIS Ransomware

По време на проверка на киберсигурността, насочена към потенциални заплахи от злонамерен софтуер, изследователите се натъкнаха на злонамерен софтуер, наречен IRIS. Основната му функция се върти около криптирането на файлове, съхранявани на компрометираните устройства. След криптирането заплахата изисква плащане на откуп от засегнатите жертви в замяна на дешифриране на техните файлове.

При изпълнение IRIS рансъмуерът инициира процеса на криптиране, насочен към различни типове файлове, открити в системата. Той променя оригиналните имена на файлове чрез добавяне на разширение, състоящо се от четири произволно генерирани знака. Например, файл с първоначално име „1.pdf“ сега ще се показва като „1.pdf.592m“, докато „2.png“ ще се трансформира в „2.png.2n32“ и така нататък за всички криптирани файлове. След завършване на процеса на криптиране, IRIS променя тапета на работния плот и депозира бележка за откуп с надпис „read_it.txt“. Освен това изследователите са установили, че IRIS принадлежи към семейството на Chaos Ransomware .

Ransomware IRIS може да блокира жертвите от достъп до техните данни

Съобщението за откуп, изпратено от IRIS, очертава ситуацията: файловете на жертвата са криптирани и за възстановяването им се изисква плащане от $350 в XMR (криптовалута Monero). Въпреки това, бележката отива по-далеч, като се твърди, че нападателите също така са ексфилтрирали чувствителни данни като хронология на сърфирането, лична информация, идентификационни данни за вход и номера на кредитни карти. Това усложнява нещата, тъй като форматирането на устройството не се смята за жизнеспособно решение, тъй като няма да изтрие откраднатите данни. Вместо това, намекът е, че нападателите ще заплашат да изтекат тази информация, ако откупът не бъде платен.

В типични сценарии за рансъмуер декриптирането без участието на нападателите е почти невъзможно, освен в редки случаи, когато рансъмуерът е със сериозни дефекти. Въпреки това, дори когато жертвите се съобразяват с исканията за откуп, те често не получават инструменти за дешифриране. Ето защо експертите силно съветват да не плащате откупа, тъй като той не само не гарантира възстановяване на данни, но и подкрепя незаконни дейности чрез финансиране на киберпрестъпници.

За да попречите на IRIS Ransomware да криптира допълнително файлове, е изключително важно да го премахнете от операционната система. Важно е обаче да се отбележи, че премахването на рансъмуера няма да възстанови автоматично криптираните данни.

Вземете мерки за защита на вашите устройства срещу зловреден софтуер и рансъмуер

Защитата на устройствата срещу злонамерен софтуер и ransomware е от решаващо значение в днешния цифров пейзаж. Ето изчерпателно ръководство, очертаващо различни мерки, които потребителите могат да предприемат, за да защитят ефективно своите устройства:

• Инсталирайте реномиран софтуер за сигурност : Започнете с инсталиране на надежден софтуер против зловреден софтуер на всички устройства. Изберете реномиран доставчик, който предлага сканиране в реално време, автоматични актуализации и цялостни възможности за откриване на зловреден софтуер.

• Поддържайте софтуера актуализиран : Редовно актуализирайте операционните системи, приложенията и софтуера, за да коригирате уязвимостите в сигурността. Активирайте автоматичните актуализации, когато е възможно, за да сте сигурни, че устройствата са защитени срещу най-новите заплахи.

• Бъдете внимателни с имейли : Бъдете внимателни, когато взаимодействате с прикачени файлове и връзки към имейли, особено тези от неизвестни или подозрителни източници. Избягвайте да взаимодействате с връзки или да изтегляте прикачени файлове от нежелани имейли, тъй като те могат да съдържат злонамерен софтуер или да доведат до фишинг тактика.

• Използвайте защитата на защитната стена : Активирайте защитните стени на устройствата, за да проследявате и контролирате входящия и изходящия мрежов трафик. Защитните стени се използват като бариера срещу опити за неоторизиран достъп и помагат за блокиране на вредна дейност.

• Внедряване на силни пароли : Създайте силни, уникални пароли за всички акаунти и устройства. Използвайте комбинация от малки и главни букви, специални знаци и цифри. Помислете за мениджър на пароли като алтернатива за безопасно съхранение и управление на пароли.

• Активиране на двуфакторно удостоверяване (2FA) : Подобрете сигурността на акаунта, като активирате двуфакторно удостоверяване (2FA), където е възможно. 2FA изисква потребителите да предоставят друг формуляр за потвърждение, като например код, изпратен на мобилното им устройство, преди достъп до акаунт.

• Редовно правете резервно копие на данни : Прилагайте редовна стратегия за архивиране, за да защитите жизненоважни данни от атаки на ransomware. Архивирайте данни на външен твърд диск, услуга за съхранение в облак или мрежово устройство за съхранение (NAS). Уверете се, че архивирането се извършва редовно и се съхранява сигурно.

• Образовайте потребителите : Обучете себе си и другите относно добре познатите заплахи за киберсигурността и как да останете защитени онлайн. Обучете служители, членове на семейството и приятели да разпознават опити за фишинг, подозрителни уебсайтове и други потенциални рискове.

• Ограничете потребителските привилегии : Ограничете потребителските привилегии на устройствата, за да сведете до минимум въздействието на инфекции със зловреден софтуер. Избягвайте да използвате администраторски акаунти за ежедневни задачи и давайте административни привилегии само на доверени потребители, когато е необходимо.

• Бъдете информирани: Бъдете информирани за най-новите заплахи и тенденции за киберсигурността, като следвате уважавани източници на информация. Бъдете в крак с нововъзникващите варианти на злонамерен софтуер и рансъмуер, актуализации за сигурност и най-добри практики за защита на устройства.

Чрез прилагането на тези всеобхватни мерки потребителите могат да сведат до минимум риска от заразяване със злонамерен софтуер и ransomware на своите устройства и да защитят своите ценни данни от компрометиране.

Пълният текст на бележката за откуп, създадена от рансъмуера IRIS, е:

'HACKED BY IRIS!!!!!!!!!!!

Hello!

First off, this is not personal, its just businuss

All of your files have been encrypted!

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.

What happens if i don't pay?

You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.

How do I buy Monero/XMR?

Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.

Payment Type: Monero/Xmr Coin

Amount: $350 USD In Monero/XMR

Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

If you have any questions or issues contact: iriswaresupport@proton.me

HACKED BY IRIS (THE ONE AND ONLY)'