Το GhostLocker Ransomware θα κρυπτογραφεί τα αρχεία των θυμάτων

Το GhostLocker αντιπροσωπεύει ένα πρόγραμμα ransomware που δημιουργήθηκε από την εγκληματική ομάδα του κυβερνοχώρου GhostSec. Αυτός ο τύπος κακόβουλου λογισμικού, που κατηγοριοποιείται ως ransomware, έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή για την αποκρυπτογράφηση του.

Στο περιβάλλον δοκιμών μας, το GhostLocker κρυπτογραφούσε αρχεία και πρόσθεσε μια επέκταση ".ghost" στα ονόματά τους. Για παράδειγμα, ένα αρχικό αρχείο με το όνομα "1.jpg" θα μεταμορφωνόταν σε "1.jpg.ghost", ενώ το "2.png" θα γίνει "2.png.ghost" και αυτό το μοτίβο εφαρμόστηκε σε όλα τα επηρεαζόμενα αρχεία.

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, κατατέθηκε ένα σημείωμα λύτρων, με τυπικό τίτλο "lmao.html". Αξίζει να σημειωθεί ότι το όνομα του εγγράφου HTML μπορεί να διαφέρει.

Το μήνυμα του GhostLocker ενημερώνει το θύμα ότι τα αρχεία του έχουν κρυπτογραφηθεί χρησιμοποιώντας τους κρυπτογραφικούς αλγόριθμους RSA-2048 και AES-12 και ότι έχουν ληφθεί ευαίσθητα δεδομένα.

Για την αποκρυπτογράφηση των αρχείων, πρέπει να πληρωθούν λύτρα. Το θύμα έχει ένα παράθυρο 48 ωρών για να επικοινωνήσει με τους επιτιθέμενους και η αποτυχία να τηρήσει αυτή την προθεσμία θα οδηγήσει σε αυξημένο ποσό λύτρων. Η άρνηση συμμόρφωσης με τα αιτήματα των εγκληματιών του κυβερνοχώρου θα οδηγήσει σε καταστροφή δεδομένων.

Η σημείωση προειδοποιεί να μην μετονομάσετε τα κρυπτογραφημένα αρχεία ή να χρησιμοποιήσετε εργαλεία ανάκτησης τρίτων, καθώς κάτι τέτοιο μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων. Το θύμα προειδοποιείται επίσης ότι η αναζήτηση βοήθειας από τρίτα μέρη ή αρχές θα οδηγήσει σε απώλεια δεδομένων και στην έκθεση κλεμμένου περιεχομένου.

Το GhostLocker Ransom Note προσπαθεί να ακούγεται έξυπνο

Το πλήρες κείμενο του σημειώματος λύτρων που δημιουργήθηκε μέσα στο αρχείο "lmao.html" έχει ως εξής:

GhostLocker
Τρέχουμε s**t γιατί μπορούμε

ΟΛΑ ΤΑ ΣΗΜΑΝΤΙΚΑ ΑΡΧΕΙΑ ΣΑΣ ΕΙΝΑΙ ΚΛΕΜΜΕΝΑ ΚΑΙ ΚΡΥΠΤΟΠΟΙΗΜΕΝΑ
ΤΟ ΠΡΟΣΩΠΙΚΟ ΣΑΣ ΚΥΡΩΠΤΙΚΟ ID: - (ΑΠΟΘΗΚΕΥΣΕ ΑΥΤΟ)

Όλα τα σημαντικά αρχεία σας έχουν κλαπεί και κρυπτογραφηθεί με κρυπτογράφηση στρατιωτικού βαθμού RSA-2048 και AES-128. Αυτό σημαίνει ότι όσο κι αν προσπαθήσατε, ο μόνος τρόπος για να επαναφέρετε τα αρχεία σας είναι να συνεργαστείτε μαζί μας και να ακολουθήσετε τις απαιτήσεις μας.

Έχετε 48 ώρες (2 ημέρες) για να επικοινωνήσετε μαζί μας. Εάν δεν καταβάλετε προσπάθεια να επικοινωνήσετε μαζί μας εντός αυτού του χρονικού πλαισίου, το ποσό των λύτρων θα αυξηθεί.

Εάν δεν πληρώσετε τα λύτρα, τα αρχεία σας θα καταστραφούν για πάντα.

Μπορείτε να επικοινωνήσετε μαζί μας στα παρακάτω

Προσοχή
ΜΗΝ πληρώσετε τα λύτρα σε κανέναν άλλο εκτός από τα κορυφαία στοιχεία επικοινωνίας που αναφέρονται εκεί.
ΜΗΝ μετονομάζετε τα κρυπτογραφημένα αρχεία
ΜΗΝ προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων
Οποιαδήποτε εμπλοκή των αρχών επιβολής του νόμου/ομάδων ανάκτησης δεδομένων/τρίτων προμηθευτών ασφαλείας θα οδηγήσει σε μόνιμη απώλεια δεδομένων και σε δημόσια απελευθέρωση δεδομένων αμέσως

Πώς μπορεί το Ransomware να διεισδύσει στο σύστημά σας;

Το Ransomware μπορεί να διεισδύσει στο σύστημά σας μέσω διαφόρων μεθόδων και η κατανόηση αυτών των σημείων εισόδου είναι ζωτικής σημασίας για την πρόληψη τέτοιων επιθέσεων. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να αποκτήσει πρόσβαση στο σύστημά σας:

• Email ηλεκτρονικού ψαρέματος: Η πιο κοινή μέθοδος είναι μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος. Μπορεί να λάβετε ένα email που φαίνεται να προέρχεται από νόμιμη πηγή, αλλά περιέχει κακόβουλα συνημμένα ή συνδέσμους. Το άνοιγμα αυτών των συνημμένων ή κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να ενεργοποιήσει τη λήψη και την εκτέλεση του ransomware στον υπολογιστή σας.
• Κακόβουλοι ιστότοποι: Η επίσκεψη σε κακόβουλους ή παραβιασμένους ιστότοπους μπορεί να εκθέσει το σύστημά σας σε ransomware. Αυτοί οι ιστότοποι ενδέχεται να εκμεταλλευτούν ευπάθειες στο πρόγραμμα περιήγησής σας στον ιστό ή στις προσθήκες σας για λήψη και εκτέλεση του ransomware.
• Malvertising: Οι διαδικτυακές διαφημίσεις μπορούν να χρησιμοποιηθούν για τη διανομή ransomware. Οι εγκληματίες του κυβερνοχώρου ενδέχεται να τοποθετήσουν κακόβουλες διαφημίσεις σε νόμιμους ιστότοπους και, αν κάνετε κλικ σε αυτούς, θα μπορούσατε να κατεβάσετε ακούσια ransomware.
• Λήψεις Drive-By: Ορισμένοι ιστότοποι έχουν σχεδιαστεί για αυτόματη λήψη αρχείων στον υπολογιστή σας χωρίς τη συγκατάθεσή σας. Αυτές οι λήψεις μέσω Drive-by μπορούν να εγκαταστήσουν ransomware εάν το σύστημά σας δεν προστατεύεται σωστά.
• Ευπάθειες λογισμικού: Το απαρχαιωμένο ή μη επιδιορθωμένο λογισμικό μπορεί να έχει ευπάθειες ασφαλείας που μπορεί να εκμεταλλευτεί το ransomware. Είναι σημαντικό να διατηρείτε ενημερωμένα το λειτουργικό σας σύστημα, τις εφαρμογές και το λογισμικό ασφαλείας.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια RDP για να αποκτήσουν πρόσβαση στον υπολογιστή σας εξ αποστάσεως. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware.
• Κακόβουλα συνημμένα: Το Ransomware μπορεί να παραδοθεί μέσω κακόβουλων συνημμένων email, όπως μολυσμένα έγγραφα του Microsoft Office ή εκτελέσιμα αρχεία. Αυτά τα συνημμένα ενδέχεται να εκμεταλλευτούν ευπάθειες λογισμικού ή να σας ξεγελάσουν για να τα εκτελέσετε.