Πώς να σταματήσετε και να αφαιρέσετε το Cash Ransomware

Το τοπίο απειλών στον κυβερνοχώρο εισήγαγε μια ακόμη απειλή, γνωστή ως Cash Ransomware. Αυτό το κακόβουλο πρόγραμμα, που αναπτύχθηκε από τον ίδιο παράγοντα απειλής πίσω από το Cash RAT (Remote Access Trojan) και το MintStealer, έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή για αποκρυπτογράφηση. Το Cash Ransomware προσθέτει τα ονόματα αρχείων των κρυπτογραφημένων αρχείων με επέκταση ".CashRansomware", μετατρέποντας το "1.jpg" σε "1.jpg.CashRansomware" και το "2.png" σε "2.png.CashRansomware".

Λεπτομέρειες σημειώματος λύτρων

Το Cash Ransomware δημιουργεί τρεις σημειώσεις λύτρων: μια ταπετσαρία επιφάνειας εργασίας, ένα αναδυόμενο παράθυρο και ένα αρχείο HTML με το όνομα "Cash Ransomware.html". Αυτές οι σημειώσεις, αν και διαφορετικές στην εμφάνιση, μεταφέρουν τις ίδιες κρίσιμες πληροφορίες:

• Ειδοποίηση ότι τα αρχεία έχουν κρυπτογραφηθεί.
• Απαιτείται πληρωμή λύτρων για την αποκρυπτογράφηση των δεδομένων.
• Προειδοποιήσεις για ενέργειες που θα μπορούσαν να εμποδίσουν την ανάκτηση δεδομένων.

Τα μηνύματα προσδιορίζουν ότι τα αρχεία κρυπτογραφήθηκαν χρησιμοποιώντας κρυπτογραφικούς αλγόριθμους XChaCha20, Poly1305 και AES-256-GCM. Τα θύματα λαμβάνουν οδηγίες να πληρώσουν 80 USD σε κρυπτονόμισμα Monero (XMR) για αποκρυπτογράφηση. Επιπλέον, οι σημειώσεις προειδοποιούν κατά της επανεκκίνησης της συσκευής ή της εκτέλεσης προγραμμάτων προστασίας από ιούς, καθώς αυτές οι ενέργειες ενδέχεται να καταστήσουν τα αρχεία μόνιμα μη αποκρυπτογραφημένα. Η αποσύνδεση από το δίκτυο επίσης αποθαρρύνεται καθώς μπορεί να εμποδίσει τις προσπάθειες διαπραγμάτευσης και ανάκτησης.

Το σημείωμα Cash Ransomware έχει ως εξής:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Ανάλυση Ransomware με μετρητά

Αντλώντας από την εκτενή εμπειρία στην έρευνα για μολύνσεις ransomware, είναι προφανές ότι η αποκρυπτογράφηση χωρίς τη συμμετοχή των εισβολέων είναι σπάνια δυνατή. Η πληρωμή των λύτρων δεν εγγυάται την ανάκτηση δεδομένων, καθώς οι εγκληματίες του κυβερνοχώρου συχνά αποτυγχάνουν να παράσχουν το κλειδί αποκρυπτογράφησης ακόμη και μετά την ικανοποίηση των απαιτήσεών τους. Ως εκ τούτου, συνιστάται ανεπιφύλακτα να μην συμμορφώνεται με τις απαιτήσεις για λύτρα, καθώς τροφοδοτεί μόνο εγκληματικές δραστηριότητες.

Είναι ενδιαφέρον ότι το ποσό λύτρων που ζητείται από το Cash Ransomware είναι σχετικά χαμηλό, κάτι που είναι ύποπτο. Το Ransomware απαιτεί συνήθως ποσά που κυμαίνονται από τρία έως τέσσερα ψηφία (σε USD) από τους οικιακούς χρήστες. Όταν τα λύτρα είναι ασυνήθιστα χαμηλά, οι εισβολείς μπορεί να μην ενοχλούν την αποστολή εργαλείων ανάκτησης στα θύματα, υποδηλώνοντας ότι το ransomware μπορεί να χρησιμοποιηθεί για τη δημιουργία εσόδων ή τη δοκιμή νέου λογισμικού/τεχνικών.

Μετριασμός και Πρόληψη

Για να αποτραπεί περαιτέρω κρυπτογράφηση, το Cash Ransomware πρέπει να αφαιρεθεί από το λειτουργικό σύστημα. Ωστόσο, αυτό δεν θα επαναφέρει τα ήδη επηρεασμένα αρχεία. Η ανάκτηση είναι δυνατή μόνο από ένα αντίγραφο ασφαλείας, δίνοντας έμφαση στη σημασία της διατήρησης αντιγράφων ασφαλείας σε πολλές τοποθεσίες (π.χ. απομακρυσμένοι διακομιστές, αποσυνδεδεμένες συσκευές αποθήκευσης).

Αξιοσημείωτα παραδείγματα Ransomware

Τα LockBit 5, Risen, Cronus, Lynx και HorrorDead είναι πρόσφατα παραδείγματα ransomware, όλα λειτουργούν παρόμοια κρυπτογραφώντας δεδομένα και απαιτώντας πληρωμή για αποκρυπτογράφηση. Τα προγράμματα ransomware διαφέρουν κυρίως ως προς τους κρυπτογραφικούς αλγόριθμους που χρησιμοποιούνται (συμμετρικοί ή ασύμμετροι) και το μέγεθος των λύτρων, το οποίο ποικίλλει ανάλογα με τον στόχο (οικιακούς χρήστες έναντι μεγάλων οντοτήτων όπως εταιρείες και οργανισμοί).

Φορείς Λοιμώξεων

Το Cash Ransomware προσφέρεται ως RaaS (Ransomware-as-a-Service), που σημαίνει ότι οι προγραμματιστές του το πωλούν σε εγκληματίες του κυβερνοχώρου. Κατά συνέπεια, η μέθοδος πολλαπλασιασμού μπορεί να ποικίλλει. Γενικά, το κακόβουλο λογισμικό διαδίδεται μέσω phishing και τακτικών κοινωνικής μηχανικής, που συχνά συγκαλύπτονται ή συνοδεύονται από νόμιμο περιεχόμενο. Τα κακόβουλα αρχεία μπορεί να είναι εκτελέσιμα, αρχεία, έγγραφα, JavaScript κ.λπ., με την αλυσίδα λήψης/εγκατάστασης να ενεργοποιείται κατά το άνοιγμα του μολυσμένου αρχείου.

Οι κοινές τεχνικές διανομής κακόβουλου λογισμικού περιλαμβάνουν:

• Τρώες τύπου Loader/backdoor.
• Drive-by λήψεις.
• Αμφίβολες πηγές λήψης (π.χ. ιστότοποι δωρεάν λογισμικού, δίκτυα P2P).
• Κακόβουλα συνημμένα/σύνδεσμοι σε ανεπιθύμητη αλληλογραφία.
• Διαδικτυακές απάτες.
• Παράνομα εργαλεία ενεργοποίησης λογισμικού («σπάσιμο»).
• Ψεύτικες ενημερώσεις.

Επιπλέον, κάποιο κακόβουλο λογισμικό μπορεί να διαδοθεί μόνο του μέσω τοπικών δικτύων και αφαιρούμενων συσκευών αποθήκευσης.

Μέτρα Προστασίας

Για προστασία από μολύνσεις ransomware:

• Λήψη μόνο από επίσημα και επαληθευμένα κανάλια.
• Ενεργοποιήστε και ενημερώστε προγράμματα χρησιμοποιώντας αυθεντικές λειτουργίες/εργαλεία.
• Αντιμετωπίστε τα εισερχόμενα email και μηνύματα με προσοχή.
• Αποφύγετε το άνοιγμα ύποπτων συνημμένων ή συνδέσμων.
• Διατηρήστε επαγρύπνηση κατά την περιήγηση για να αποφύγετε δόλιο περιεχόμενο.
• Εγκαταστήστε και ενημερώστε τακτικά αξιόπιστο λογισμικό προστασίας από ιούς.
• Πραγματοποιήστε τακτικές σαρώσεις συστήματος για τον εντοπισμό και την αφαίρεση απειλών.

Εάν ο υπολογιστής σας έχει μολυνθεί με Cash Ransomware, συνιστάται να εκτελέσετε μια σάρωση με ένα πρόγραμμα προστασίας από κακόβουλο λογισμικό για να εξαλείψετε αυτόματα την απειλή. Μείνετε ασφαλείς και διατηρήστε τα δεδομένα σας προστατευμένα, τηρώντας αυτές τις βέλτιστες πρακτικές.