Το Deep Ransomware θα κλειδώσει το σύστημά σας

Κατά την εξέταση των πρόσφατων υποβολών αρχείων, οι ερευνητές μας βρήκαν ένα πρόγραμμα ransomware γνωστό ως Deep, το οποίο ανήκει στην οικογένεια ransomware Phobos. Το Deep (Phobos) λειτουργεί κρυπτογραφώντας δεδομένα και στη συνέχεια απαιτώντας πληρωμή με αντάλλαγμα το κλειδί αποκρυπτογράφησης.

Στο δοκιμαστικό μας σύστημα, αυτό το ransomware κρυπτογραφούσε αρχεία και τροποποίησε τα ονόματά τους. Τα αρχικά ονόματα αρχείων επεκτάθηκαν με ένα μοναδικό αναγνωριστικό που εκχωρήθηκε στο θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση ".deep". Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα εμφανιζόταν ως "1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep."

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, δημιουργήθηκαν σημειώσεις λύτρων και εμφανίστηκαν τόσο σε ένα αναδυόμενο παράθυρο με την ένδειξη "info.hta" και σε ένα αρχείο κειμένου με το όνομα "info.txt".

Το αρχείο κειμένου που σχετίζεται με το ransomware Deep (Phobos) δηλώνει ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και τους προτρέπει να επικοινωνήσουν με τους εισβολείς για βοήθεια στην αποκρυπτογράφηση.

Το αναδυόμενο παράθυρο παρέχει πρόσθετες πληροφορίες σχετικά με τη μόλυνση με ransomware, εξηγώντας ότι η ανάκτηση δεδομένων μπορεί να επιτευχθεί μόνο με την πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Πριν από την πραγματοποίηση της πληρωμής, το θύμα έχει τη δυνατότητα να δοκιμάσει τη διαδικασία αποκρυπτογράφησης αποστέλλοντας στους κυβερνοεγκληματίες έως και τρία κρυπτογραφημένα αρχεία, σύμφωνα με ορισμένες προδιαγραφές.

Η σημείωση ολοκληρώνεται με προειδοποιήσεις κατά της μετονομασίας των κρυπτογραφημένων αρχείων ή της απόπειρας χρήσης λογισμικού ανάκτησης τρίτων, καθώς κάτι τέτοιο μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων. Επιπλέον, η αναζήτηση βοήθειας από τρίτους θα μπορούσε να οδηγήσει σε αυξημένες οικονομικές απώλειες.

Η σημείωση Deep Ransomware χρησιμοποιεί πρότυπο Phobos

Το πλήρες κείμενο του σημειώματος λύτρων που δημιουργήθηκε από το Deep ransomware έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί!

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί λόγω προβλήματος ασφαλείας με τον υπολογιστή σας. Αν θέλετε να τα επαναφέρετε, γράψτε μας στο e-mail captain-america@tuta.io
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας -
Εάν δεν λάβετε απάντηση εντός 24 ωρών, επικοινωνήστε μαζί μας μέσω του λογαριασμού Telegram.org: @HostUppp
Πρέπει να πληρώσετε για την αποκρυπτογράφηση σε Bitcoin. Η τιμή εξαρτάται από το πόσο γρήγορα θα μας γράψετε. Μετά την πληρωμή θα σας στείλουμε το εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.

Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 3 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 4 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)

Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς μπορεί να εισέλθει στο σύστημά σας το Ransomware όπως το Deep;

Το Ransomware όπως το Deep μπορεί να διεισδύσει στο σύστημά σας με διάφορα μέσα, συχνά εκμεταλλευόμενο τα τρωτά σημεία ή χρησιμοποιώντας τακτικές κοινωνικής μηχανικής. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να εισέλθει στο σύστημά σας:

• Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου στέλνουν πειστικά αλλά κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από αξιόπιστες πηγές. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν συνημμένα ή συνδέσμους που, όταν ανοίξουν, εκτελούν τον κώδικα ransomware στο σύστημά σας.
• Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστοτόπους μπορεί να προκαλέσει λήψεις μέσω οδήγησης, όπου το ransomware γίνεται αυτόματα λήψη και εκτέλεση στο σύστημά σας χωρίς να το γνωρίζετε.
• Μολυσμένο λογισμικό ή αρχεία: Η λήψη λογισμικού ή αρχείων από μη αξιόπιστες πηγές, ειδικά πειρατικό ή κατεστραμμένο λογισμικό, αυξάνει τον κίνδυνο μόλυνσης από ransomware. Αυτά τα αρχεία ενδέχεται να περιέχουν κρυφό κακόβουλο λογισμικό.
• Εκμετάλλευση ευπαθειών: Το Ransomware μπορεί να εκμεταλλευτεί τις ευπάθειες λογισμικού στο λειτουργικό σύστημα ή τις εφαρμογές σας. Εάν δεν ενημερώσετε το λογισμικό σας και δεν εφαρμόσετε ενημερώσεις κώδικα ασφαλείας, το σύστημά σας είναι επιρρεπές σε τέτοιες επιθέσεις.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν έχετε ενεργοποιημένο το RDP και χρησιμοποιείτε αδύναμους ή εύκολα μαντέψιμους κωδικούς πρόσβασης, οι εισβολείς μπορούν να αποκτήσουν πρόσβαση στο σύστημά σας από απόσταση και να εγκαταστήσουν ransomware.
• Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου μπορούν να τοποθετήσουν κακόβουλες διαφημίσεις σε νόμιμες ιστοσελίδες. Κάνοντας κλικ σε αυτές τις διαφημίσεις ή ακόμα και απλώς η επίσκεψη σε έναν παραβιασμένο ιστότοπο μπορεί να οδηγήσει σε μόλυνση με ransomware.
• Κοινωνική Μηχανική: Οι εισβολείς ενδέχεται να υποδυθούν το προσωπικό τεχνικής υποστήριξης ή άλλα αξιόπιστα άτομα για να σας εξαπατήσουν ώστε να κατεβάσετε ή να εκτελέσετε ransomware.
• USB και αφαιρούμενα μέσα: κακόβουλο λογισμικό μπορεί να εξαπλωθεί μέσω μολυσμένων μονάδων USB ή άλλων αφαιρούμενων μέσων. Η σύνδεση μιας μολυσμένης συσκευής μπορεί να εισαγάγει ransomware στο σύστημά σας.