3 π.μ. Ransomware κλειδώνει αρχεία θυμάτων

Το 3AM είναι ένα πρόγραμμα ransomware κωδικοποιημένο στη γλώσσα προγραμματισμού Rust. Ο πρωταρχικός του στόχος είναι η κρυπτογράφηση αρχείων. Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, επιχειρεί να διαγράψει τα αντίγραφα του Volume Shadow (VSS). Επιπλέον, το 3AM προσθέτει την επέκταση ".threeamtime" στα ονόματα αρχείων των κρυπτογραφημένων αρχείων και παρουσιάζει ένα μήνυμα λύτρων με το όνομα "RECOVER-FILES.txt".

Για να δείξει πώς το 3AM αλλάζει τα ονόματα αρχείων, μετατρέπει το "1.jpg" σε "1.jpg.threeamtime", το "2.png" σε "2.png.threeamtime" και ούτω καθεξής. Το σημείωμα λύτρων που περιέχεται στο αρχείο "RECOVER-FILES.txt" ενημερώνει τα θύματα ότι τα αρχεία τους έχουν κρυπτογραφηθεί και τα συστήματά τους μπορεί να φαίνονται μη λειτουργικά με τα αντίγραφα ασφαλείας να μην είναι πλέον προσβάσιμα. Η σημείωση συμβουλεύει σθεναρά να μην επιχειρήσετε αυτο-αποκατάσταση, τονίζοντας τον κίνδυνο περαιτέρω απώλειας δεδομένων και ανεπανόρθωτης ζημιάς.

Επιπλέον, το σημείωμα αποκαλύπτει ότι ευαίσθητα δεδομένα από ένα τοπικό δίκτυο έχουν κλαπεί, τα οποία περιλαμβάνουν οικονομικά αρχεία, προσωπικά στοιχεία, έγγραφα που σχετίζονται με την εργασία και πολλά άλλα, με διασφάλιση εμπιστευτικότητας για την αποφυγή βλάβης στις επιχειρήσεις. Το σημείωμα προτείνει την έναρξη διαπραγματεύσεων για την αποτροπή της πώλησης δεδομένων στον σκοτεινό ιστό, την παροχή πληροφοριών επικοινωνίας μέσω του προγράμματος περιήγησης Tor και την αναφορά σε ένα κλειδί πρόσβασης για διαπραγμάτευση.

Σημείωση λύτρων 3 π.μ. Δεν αναφέρει άθροισμα λύτρων

Το πλήρες κείμενο του σημειώματος λύτρων στις 3 το πρωί έχει ως εξής:

Hello. "3 am" The time of mysticism, isn't it?

All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.

All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).

There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.

We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.

We propose to reach an agreement and conclude a deal.

Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.

Please contact us as soon as possible, using Tor-browser:

Access key:

Πώς διανέμεται το Ransomware Like 3AM;

Το ransomware όπως το 3AM διανέμεται συνήθως μέσω διαφόρων μεθόδων και φορέων επίθεσης. Ακολουθούν ορισμένες κοινές μέθοδοι διανομής:

Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για να διανέμουν ransomware. Στέλνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα, συχνά υποδύονται αξιόπιστες οντότητες ή χρησιμοποιώντας δελεαστικές γραμμές θέματος. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ ή ανοίξετε, πραγματοποιούν λήψη και εκτέλεση του ransomware στη συσκευή του θύματος.
Κακόβουλα συνημμένα: Το Ransomware μπορεί να διαδοθεί μέσω συνημμένων email, όπως μολυσμένα έγγραφα (π.χ. αρχεία Word ή PDF) ή εκτελέσιμα αρχεία (π.χ. αρχεία .exe ή .js). Όταν το θύμα ανοίγει αυτά τα συνημμένα, το ωφέλιμο φορτίο ransomware ενεργοποιείται.
Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε ιστότοπους ή διαδικτυακές διαφημίσεις μπορούν να οδηγήσουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης. Αυτά τα κιτ μπορούν να εκμεταλλευτούν τις ευπάθειες στο πρόγραμμα περιήγησης ιστού ή τις προσθήκες του θύματος για την παροχή ransomware.
Λήψεις Drive-By: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να παραβιάσουν νόμιμους ιστότοπους και να εισαγάγουν κακόβουλο κώδικα σε αυτούς. Όταν οι χρήστες επισκέπτονται αυτούς τους παραβιασμένους ιστότοπους, οι συσκευές τους μπορεί να μολυνθούν χωρίς να απαιτείται καμία αλληλεπίδραση.
Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν το RDP είναι ενεργοποιημένο και δεν είναι σωστά ασφαλισμένο στο σύστημα ενός θύματος, οι εισβολείς μπορεί να επιχειρήσουν να αποκτήσουν πρόσβαση μαντεύοντας αδύναμους κωδικούς πρόσβασης ή χρησιμοποιώντας επιθέσεις ωμής βίας. Μόλις μπουν μέσα, μπορούν να αναπτύξουν χειροκίνητα ransomware.
Ευπάθειες λογισμικού: Οι δημιουργοί ransomware ενδέχεται να εκμεταλλευτούν γνωστές ευπάθειες σε λειτουργικά συστήματα ή λογισμικό για να αποκτήσουν πρόσβαση στο σύστημα του θύματος. Η ενημέρωση του λογισμικού και των συστημάτων με ενημερώσεις κώδικα ασφαλείας μπορεί να βοηθήσει στον μετριασμό αυτού του κινδύνου.
Κακόβουλοι σύνδεσμοι: Οι εγκληματίες του κυβερνοχώρου μπορούν επίσης να διανέμουν ransomware μέσω τακτικών κοινωνικής μηχανικής στα μέσα κοινωνικής δικτύωσης, πλατφόρμες ανταλλαγής άμεσων μηνυμάτων ή εξαπατώντας τους χρήστες να κάνουν κλικ σε κακόβουλους συνδέσμους.
USB και αφαιρούμενα μέσα: Το Ransomware μπορεί να εξαπλωθεί μέσω μολυσμένων μονάδων USB ή άλλων αφαιρούμενων μέσων. Όταν ένας χρήστης εισάγει μια μολυσμένη μονάδα δίσκου στον υπολογιστή του, το ransomware μπορεί να εκτελέσει και να ξεκινήσει την κρυπτογράφηση αρχείων.

Μέχρι το Zaib

September 14, 2023

Ransomware

Ελληνικά