Hele ransomware truer med datalækage

Under vores undersøgelse af nyligt indsendte malware-prøver, stødte vores forskere på et ransomware-program ved navn "Hele." Vi har fastslået, at det er afledt af Keylock ransomware. Denne ondsindede software krypterer data og kræver løsesum i bytte for at dekryptere dem.

I vores test krypterede "Hele" ransomwaren filer og tilføjede en ".whole"-udvidelse til deres filnavne. For eksempel vil en fil, der oprindeligt hedder "1.jpg" blive vist som "1.jpg.whole" og "2.png" som "2.png.whole".

Da krypteringsprocessen var afsluttet, blev skrivebordsbaggrunden ændret, og en løsesumseddel med titlen "README-ID-[offers_ID].txt" blev genereret. Fra indholdet af denne note er det tydeligt, at denne ransomware primært er rettet mod virksomheder snarere end individuelle brugere.

Meddelelsen, der vises på "Hele" skrivebordsbaggrunden, instruerer offeret om at læse den tilknyttede tekstfil ("README-ID-[offers_ID].txt"). Denne løsesum forklarer, at ofrets filer er blevet krypteret og forsikrer dem om, at deres unikke dekrypteringsnøgle er sikkert gemt på angribernes servere.

Gendannelse kan testes uden omkostninger ved at sende nogle få krypterede filer til de cyberkriminelle (inden for visse retningslinjer). Hvis offeret ikke forsøger at kontakte angriberne inden for 3 dage, kan deres følsomme forretningsrelaterede data blive afsløret eller solgt.

Meddelelsen indeholder også advarsler, der informerer offeret om, at omdøbning eller ændring af de berørte filer, samt brug af tredjepartsgendannelsesværktøjer eller antivirussoftware, kan gøre dataene uigenkaldelige.

Hele ransomware falder lang note

Den fulde ordlyd af hele løsesumsedlen lyder som følger:

DINE FILER ER KRYPTET

Dine filer er blevet krypteret med stærke krypteringsalgoritmer og modificeret!
Bare rolig, din unikke krypteringsnøgle er opbevaret sikkert på vores server, og dine data kan dekrypteres hurtigt og sikkert.

Vi kan bevise, at vi kan dekryptere alle dine data. Send os venligst 3 ikke vigtige, små (~2mb) krypterede filer, som er tilfældigt gemt på din server. Vedhæft også denne fil README-ID-.txt efterladt af os i hver mappe.
Vi dekrypterer disse filer og sender dem til dig som bevis. Bemærk venligst, at filer til gratis testdekryptering ikke bør indeholde værdifuld information.

Hvis du ikke starter en dialog med os inden for 72 timer, vil vi være tvunget til at offentliggøre dine filer i det offentlige domæne. Dine kunder og samarbejdspartnere vil blive informeret om datalækket.
På denne måde vil dit omdømme blive ødelagt. Hvis du ikke reagerer, vil vi være tvunget til at sælge de vigtigste informationer såsom databaser og persondata til interesserede parter for at skabe en vis fortjeneste.

Hvis du ønsker at løse denne situation, skal du vedhæfte denne fil README-ID-.txt i brevet og skrive til ALLE disse 2 e-mailadresser:

pmmx@techmail.info
wholekey@mailfence.com

VIGTIG!
Vi anbefaler, at du kontakter os direkte for at undgå overbetalende agenter.
Vi beder om at sende din besked til ALLE vores 2 e-mail-adresser, fordi din e-mail af forskellige årsager muligvis ikke bliver leveret.
Vores besked kan blive genkendt som spam, så sørg for at tjekke spam-mappen.
Hvis vi ikke svarer dig inden for 24 timer, så skriv til os fra en anden e-mailadresse.
Spild ikke tiden, det vil kun resultere i yderligere skade på din virksomhed.
Venligst ikke omdøb og prøv at dekryptere filerne selv. Vi vil ikke være i stand til at hjælpe dig, hvis filer vil blive ændret.
Hvis du vil forsøge at bruge tredjepartssoftware til at gendanne dine data eller antivirusløsninger, bedes du lave en sikkerhedskopi af alle krypterede filer.
Hvis du sletter krypterede filer fra den aktuelle computer, kan du muligvis ikke dekryptere dem.

Hvordan kan ransomware komme ind i dit system?

Ransomware kan infiltrere dit system på forskellige måder, og at forstå disse indgangspunkter er afgørende for at beskytte dit system mod sådanne angreb. Her er almindelige måder, hvorpå ransomware kan komme ind i dit system:

• E-mailvedhæftede filer: Phishing-e-mails er en udbredt metode til distribution af ransomware. Cyberkriminelle sender tilsyneladende legitime e-mails med inficerede vedhæftede filer (f.eks. PDF'er, Word-dokumenter eller ZIP-filer) eller links til ondsindede websteder. Når brugere åbner disse vedhæftede filer eller klikker på linkene, downloades ransomwaren og udføres på deres systemer.
• Ondsindede links: Ransomware kan også leveres gennem vildledende eller ondsindede links i e-mails, onlinemeddelelser eller på websteder. Hvis du klikker på disse links, kan det føre til download og udførelse af ransomware.
• Malvertising: Cyberkriminelle kan bruge ondsindede reklamer (malvertisements) på legitime websteder til at levere ransomware. Blot at besøge et kompromitteret websted med disse annoncer kan udløse en automatisk download af malwaren.
• Udnyttelse af sårbarheder: Ransomware-forfattere kan udnytte softwaresårbarheder i dit operativsystem eller dine programmer. Hvis dit system ikke er opdateret med sikkerhedsrettelser, kan det være sårbart over for udnyttelsesbaserede angreb.
• Drive-By-downloads: Ransomware kan leveres gennem "drive-by-downloads", hvor brugere ubevidst downloader ondsindet kode, mens de besøger kompromitterede eller ondsindede websteder. Disse downloads kan forekomme uden brugerinteraktion eller samtykke.
• Remote Desktop Protocol (RDP)-angreb: Angribere kan udnytte svage eller standard RDP-legitimationsoplysninger til at få adgang til fjernsystemer. Når de først er inde, kan de installere ransomware og kryptere filer.
• Softwaredownloads: Download af software eller filer fra upålidelige eller piratkopierede kilder kan udsætte dit system for ransomware. Ulovlig software eller crackede versioner kommer ofte med skjulte malware-nyttelaster.