Το AttackFiles Ransomware ανήκει στην οικογένεια MedusaLocker

Κατά την εξέταση νέων αρχείων, η ερευνητική μας ομάδα συνάντησε το κακόβουλο πρόγραμμα AttackFiles, το οποίο σχετίζεται με την οικογένεια ransomware MedusaLocker. Αυτός ο τύπος λογισμικού είναι κατασκευασμένος για να κρυπτογραφεί αρχεία, απαιτώντας λύτρα για την αποκρυπτογράφηση τους.

Όταν εκτελέσαμε ένα δείγμα AttackFiles στο περιβάλλον δοκιμών μας, κρυπτογραφούσε αρχεία και προσάρτησε την επέκταση ".attackfiles" στα ονόματά τους. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" θα γίνει "1.jpg.attackfiles" και το "2.png" θα μετατραπεί σε "2.png.attackfiles" και ούτω καθεξής.

Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, αυτό το ransomware δημιούργησε μια σημείωση λύτρων με τίτλο "How_to_back_files.html". Η σημείωση αναφέρεται στο μολυσμένο σύστημα ως "δίκτυο εταιρείας", υποδεικνύοντας ότι οι στόχοι δεν είναι μεμονωμένοι οικιακούς χρήστες. Στο μήνυμα λύτρων, η AttackFiles ισχυρίζεται ότι το δίκτυο της εταιρείας του θύματος έχει παραβιαστεί, τα αρχεία έχουν κρυπτογραφηθεί χρησιμοποιώντας κρυπτογραφικούς αλγόριθμους RSA και AES και έχουν κλαπεί εμπιστευτικά και προσωπικά δεδομένα.

Για να ανακτήσει τα κρυπτογραφημένα αρχεία, το θύμα λαμβάνει εντολή να πληρώσει λύτρα. Εάν το θύμα αρνηθεί να συμμορφωθεί, το κλεμμένο περιεχόμενο είτε θα διαρρεύσει είτε θα πωληθεί. Πριν εκπληρώσετε τις απαιτήσεις λύτρων, η δυνατότητα αποκρυπτογράφησης μπορεί να δοκιμαστεί σε 2-3 αρχεία δωρεάν. Η σημείωση προειδοποιεί επίσης για ενέργειες που θα μπορούσαν να οδηγήσουν σε μόνιμη απώλεια δεδομένων.

Πλήρης σημείωση AttackFiles Ransom

Το πλήρες κείμενο του σημειώματος λύτρων AttackFiles έχει ως εξής:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Πώς διανέμεται συνήθως το Ransomware στο Διαδίκτυο;

Το Ransomware συνήθως διανέμεται στο διαδίκτυο μέσω διαφόρων μεθόδων, όπως:

Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Οι εισβολείς στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα ή συνδέσμους, μεταμφιεσμένα ως νόμιμα μηνύματα από αξιόπιστες πηγές, όπως τράπεζες, ναυτιλιακές εταιρείες ή κυβερνητικές υπηρεσίες. Μόλις ανοίξει το συνημμένο ή κάνει κλικ στον σύνδεσμο, το ransomware μεταφορτώνεται στο σύστημα του θύματος.

Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε νόμιμους ιστότοπους ενδέχεται να περιέχουν σενάρια που ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν ransomware ή κατεβάζουν απευθείας ransomware στη συσκευή του χρήστη χωρίς να το γνωρίζουν.

Κιτ εκμετάλλευσης: Πρόκειται για προσυσκευασμένα πακέτα λογισμικού που περιέχουν διάφορα exploit που στοχεύουν τρωτά σημεία σε απαρχαιωμένο λογισμικό ή λειτουργικά συστήματα. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης σαρώνει το σύστημά του για ευπάθειες και παραδίδει ωφέλιμα φορτία ransomware.

Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς εκμεταλλεύονται αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης σε υπηρεσίες RDP για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα. Μόλις μπουν μέσα, αναπτύσσουν ransomware απευθείας στο δίκτυο.

Λήψεις Drive-by: Αυτό συμβαίνει όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο και το κακόβουλο λογισμικό γίνεται αυτόματα λήψη και εγκατάσταση στο σύστημά του χωρίς τη συγκατάθεση ή τη γνώση του.

Κοινή χρήση αρχείων Peer-to-Peer (P2P): Το Ransomware μπορεί να διανεμηθεί μέσω πειρατικού λογισμικού, παιχνιδιών ή αρχείων πολυμέσων που μοιράζονται σε δίκτυα P2P. Οι εισβολείς μπορεί να συγκαλύψουν ransomware ως νόμιμα αρχεία για να εξαπατήσουν τους χρήστες να τα κατεβάσουν και να τα εκτελέσουν.

Κακόβουλοι σύνδεσμοι σε εφαρμογές συνομιλίας και μέσα κοινωνικής δικτύωσης: Οι εισβολείς ενδέχεται να διανέμουν ransomware μέσω συνδέσμων που μοιράζονται σε εφαρμογές συνομιλίας ή σε πλατφόρμες μέσων κοινωνικής δικτύωσης, παρακινώντας τους χρήστες να κάνουν κλικ πάνω τους με δελεαστικά μηνύματα ή προσφορές.

Επιθέσεις Watering Hole: Σε αυτήν τη μέθοδο, οι εισβολείς παραβιάζουν ιστότοπους που επισκέπτονται συχνά το κοινό-στόχο τους. Όταν οι χρήστες επισκέπτονται αυτούς τους παραβιασμένους ιστότοπους, εκτίθενται εν αγνοία τους σε ransomware.

Αυτά είναι μερικά μόνο παραδείγματα για το πώς μπορεί να διανεμηθεί διαδικτυακά ransomware. Οι επιτιθέμενοι εξελίσσουν συνεχώς τις τακτικές τους για να παρακάμπτουν τα μέτρα ασφαλείας και να εκμεταλλεύονται τρωτά σημεία, καθιστώντας ζωτικής σημασίας για τους χρήστες και τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να χρησιμοποιούν ισχυρές πρακτικές ασφάλειας στον κυβερνοχώρο.