FBIRAS Ransomware forsøger gamle sociale ingeniørtricks
Vores forskerhold afslørede FBIRAS ransomware under vores analyse af nye malware-prøver. Denne malware krypterer data og kræver løsesum for dekryptering.
Under vores test observerede vi, at ransomwaren krypterede filer og tilføjede en ".FBIRAS"-udvidelse til deres filnavne. For eksempel vil en fil, der oprindeligt hedder "1.jpg" vises som "1.jpg.FBIRAS", og nogle gange blev udvidelsen duplikeret, hvilket resulterede i filnavne som "1.jpg.FBIRAS.FBIRAS".
Når krypteringen er færdig, blev der genereret en løsesum med navnet "Readme.txt". I dette notat identificerer gerningsmændene sig fejlagtigt som "lovhåndhævere" og forsøger at bedrage ofrene til at tro, at infektionen er en konsekvens af cyberlovovertrædelser.
Løsesedlen henvendte sig til offeret som en "skatteyder" og forklarede, at deres filer var krypteret på grund af påståede brud på cyberlovgivningen. Ofre bliver bedt om at kontakte de cyberkriminelle, der udgiver sig for at være "lovhåndhævere", for at betale en "bøde" til gengæld for at genoprette adgangen til deres filer. Afvisning af at efterkomme kravene resulterer i øgede bøder og permanent tab af data. Notatet advarer også mod at manipulere med filerne eller forsøge at fjerne ransomwaren, da det ville gøre dataene uigenkaldelige.
Det skal understreges, at dette ransomware-angreb åbenbart ikke har nogen tilknytning til lovlige retshåndhævende myndigheder.
FBIRAS løsesumnotat gør et svagt forsøg på at se legitim ud
Den fulde tekst af FBIRAS løsesum noten lyder som følger:
Attention Tax payer:
All Your files have been locked with ransomware by law enforcement for violating cyber laws. All of your important documents, photos, and videos have been encrypted and cannot be accessed without a decryption key. This is a serious offense and you must pay a fine to unlock your files.
To unlock your files, follow these instructions:
- Contact us on telegram = @Lawinfo19
- We will tell about you problem
- You need us to pay a amount for your criminal activity
- Use the decryption key to unlock your files.
If you fail to comply with these instructions, the fine will increase and your files will be permanently deleted.
Do not attempt to remove the ransomware or tamper with your files. Any attempts to do so will result in the permanent loss of your data.
We understand the inconvenience this may cause, but it is necessary to ensure that cyber laws are not violated. We apologize for any inconvenience and hope to resolve this matter as soon as possible.
Sincerely,
Law Enforcement
Hvordan kan ransomware komme ind i dit system?
Ransomware kan infiltrere et system på forskellige måder, herunder:
Phishing-e-mails: Cyberkriminelle distribuerer ofte ransomware gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links. Disse e-mails kan forekomme legitime, hvilket lokker modtagere til at åbne vedhæftede filer eller klikke på links, som derefter downloader og udfører ransomwaren på systemet.
Ondsindede websteder: Besøg af kompromitterede eller ondsindede websteder kan udsætte brugere for ransomware. Disse websteder kan indeholde udnyttelsessæt, der automatisk downloader og installerer ransomware på besøgendes systemer gennem sårbarheder i deres webbrowsere eller plugins.
Malvertising: Cyberkriminelle kan injicere ondsindet kode i onlineannoncer (malvertising), som, når de klikkes, omdirigerer brugere til websteder, der hoster ransomware, eller starter automatiske downloads på brugernes systemer.
Drive-by-downloads: Ransomware kan også leveres gennem drive-by-downloads, hvor malware automatisk downloades og installeres på en brugers system uden deres samtykke eller viden, når de besøger kompromitterede websteder.
Upatchet software: Udnyttelse af sårbarheder i forældet eller upatchet software er en almindelig metode for angribere til at levere ransomware. De udnytter kendte svagheder i operativsystemer, applikationer eller plugins til at få adgang til systemer og udføre ransomware.
Fildelingsnetværk: Ransomware kan spredes gennem peer-to-peer (P2P) fildelingsnetværk, hvor brugere ubevidst downloader inficerede filer eller softwarepakker, der indeholder ransomware.
