Genindlæs ransomware er baseret på Makop

I vores analyse af genindlæsnings-malwaren har vi fastslået, at den tilhører Makop-familien og fungerer som ransomware, primært designet til filkryptering. Udover at kryptere data, taber Genindlæs også en løsesumseddel med navnet "+README-WARNING+.txt" og ændrer filnavne.

Genindlæs tilføjer en sekvens af tilfældige tegn, formentlig offerets ID, en e-mailadresse og ".reload"-udvidelsen til de originale filnavne. For eksempel omdanner den "1.jpg" til "1.jpg.[2AF20FA3].[reload2024@outlook.com].reload," og "2.png" til "2.png.[2AF20FA3].[reload2024@ outlook.com].reload," og så videre.

Løsesedlen starter med en klar erklæring, der angiver, at alle filer er blevet krypteret og nu bærer ".reload"-udvidelsen. Det understreger, at det haster med at kontakte angriberne omgående for at forhindre, at de krypterede filer bliver offentliggjort på internettet. Noten angiver e-mailadressen reload2024@outlook.com til kommunikationsformål.

Desuden udsteder notatet en trussel om permanent filtab, hvis ofrene undlader at engagere sig direkte med angriberne til filgendannelse, hvilket udtrykkeligt fraråder brugen af mellemliggende virksomheder eller internetbaserede programmer til genoprettelsesbestræbelser.

Genindlæs løsesumnotatet i sin helhed

Den komplette tekst i løsesumsedlen, der er genereret af Reload, lyder som følger:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Hvordan distribueres Ransomware Like Reload online?

Genindlæsning distribueres, ligesom mange ransomware-varianter, typisk online gennem forskellige metoder, der sigter mod at udnytte sårbarheder eller narre brugere til at downloade og udføre skadeligt indhold. Her er almindelige distributionsmetoder til ransomware som Reload:

Phishing-e-mails: Cyberkriminelle bruger ofte phishing-e-mails til at levere ransomware. Disse e-mails kan forekomme legitime og indeholde ondsindede vedhæftede filer eller links. I tilfælde af Reload kan brugere blive lokket til at åbne en vedhæftet fil, såsom et tilsyneladende uskadeligt dokument eller en fil, som derefter udløser malwareinstallationsprocessen.

Ondsindede websteder: Besøg af kompromitterede eller ondsindede websteder kan føre til utilsigtet download og installation af ransomware. Cyberkriminelle kan udnytte sårbarheder i browsere eller plugins til at levere den ondsindede nyttelast.

Udnyttelsessæt: Cyberangribere kan bruge udnyttelsessæt til at målrette mod kendte sårbarheder i software, operativsystemer eller browsere. Når en bruger besøger et kompromitteret websted, scanner udnyttelsessættet for sårbarheder og leverer ransomware-nyttelasten, hvis der findes en passende sårbarhed.

Drive-By-downloads: Ubevidst download af ondsindet indhold, mens du besøger websteder, ofte gennem pop-ups eller automatiske downloads, kan resultere i installation af ransomware. Brugere er muligvis ikke opmærksomme på disse downloads, hvilket gør det nemmere for malwaren at infiltrere systemet.

Ondsindede annoncer (malvertising): Cyberkriminelle kan bruge onlinereklamer til at distribuere ransomware. Ved at klikke på en inficeret annonce kan du omdirigere brugere til et websted, der hoster malwaren, eller udløse en automatisk download.

Kompromitteret software: Angribere kan kompromittere legitime softwareinstallatører eller opdateringer ved at injicere ransomware i dem, før brugerne downloader og installerer den tilsyneladende autentiske software.