Το Keylock Ransomware χρησιμοποιεί μεγάλη σημείωση λύτρων

Οι ερευνητές μας αναγνώρισαν το Keylock ως ένα είδος προγράμματος ransomware κατά τη διάρκεια μιας τακτικής εξέτασης νέων αρχείων που υποβλήθηκαν. Το Ransomware λειτουργεί κρυπτογραφώντας αρχεία και στη συνέχεια απαιτώντας πληρωμή για την αποκρυπτογράφηση τους.

Στο δοκιμαστικό μας σύστημα, το Keylock κρυπτογραφούσε αρχεία και πρόσθεσε μια επέκταση ".keylock" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" έγινε "1.jpg.keylock", "2.png" μετατράπηκε σε "2.png.keylock" και ούτω καθεξής για όλα τα επηρεαζόμενα αρχεία.

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, δημιουργήθηκε ένα σημείωμα λύτρων με τον τίτλο "README-id-[username].txt". Το Keylock άλλαξε επίσης την ταπετσαρία της επιφάνειας εργασίας.

Η ταπετσαρία που παρέχεται από το Keylock καθοδηγεί το θύμα στο αρχείο κειμένου. Το σημείωμα λύτρων σε αυτό το αρχείο εξηγεί ότι τα μη προσβάσιμα αρχεία έχουν κρυπτογραφηθεί και υποδηλώνει ότι τα δεδομένα του θύματος έχουν ληφθεί.

Για να ανακτήσει τα δεδομένα, το θύμα πρέπει να αποκτήσει το μοναδικό κλειδί αποκρυπτογράφησης που κατέχουν οι εισβολείς. Η απόκτηση των εργαλείων αποκρυπτογράφησης απαιτεί την πληρωμή απροσδιόριστων λύτρων σε κρυπτονόμισμα Bitcoin. Το θύμα έχει 72 ώρες για να επικοινωνήσει με τους κυβερνοεγκληματίες. Εάν δεν το πράξετε, θα εκτεθούν ή θα πωληθούν τα κλεμμένα εταιρικά δεδομένα.

Πριν πραγματοποιήσει οποιεσδήποτε πληρωμές, το θύμα έχει την επιλογή να δοκιμάσει τη διαδικασία αποκρυπτογράφησης στέλνοντας έως και τρία κρυπτογραφημένα αρχεία στους εισβολείς. Αυτά τα αρχεία δεν πρέπει να υπερβαίνουν τα 2MB σε μέγεθος και δεν πρέπει να περιέχουν πολύτιμες πληροφορίες.

Το μήνυμα προειδοποιεί επίσης για τη μετονομασία, την τροποποίηση ή τη διαγραφή των κρυπτογραφημένων αρχείων, τη μη αυτόματη αποκρυπτογράφηση ή τη χρήση λογισμικού αποκατάστασης τρίτων ή εργαλείων προστασίας από ιούς, καθώς αυτές οι ενέργειες θα μπορούσαν να οδηγήσουν σε μόνιμη απώλεια δεδομένων.

Το σημείωμα λύτρων κλειδώματος κλειδώματος απειλεί με διαρροή 72 ώρες μετά την επίθεση

Το πλήρες κείμενο του σημειώματος λύτρων Keylock έχει ως εξής:

ΤΑ ΑΡΧΕΙΑ ΣΑΣ ΕΙΝΑΙ ΚΡΥΠΤΩΜΕΝΑ

Τα αρχεία σας έχουν κρυπτογραφηθεί με ισχυρούς αλγόριθμους κρυπτογράφησης και έχουν τροποποιηθεί και έχουν πλέον την επέκταση '.keylock'!
Η δομή του αρχείου δεν έχει καταστραφεί. Μην ανησυχείτε ότι το μοναδικό κλειδί κρυπτογράφησης αποθηκεύεται με ασφάλεια στον διακομιστή μας και τα δεδομένα σας μπορούν να αποκρυπτογραφηθούν γρήγορα και με ασφάλεια.
Εγγυόμαστε ότι μπορείτε να ανακτήσετε όλα τα δεδομένα σας εύκολα.
Σας δίνουμε πλήρεις οδηγίες. Και θα σας βοηθήσει μέχρι να ολοκληρωθεί πλήρως η διαδικασία αποκρυπτογράφησης.

Μπορούμε να αποδείξουμε ότι μπορούμε να αποκρυπτογραφήσουμε όλα τα δεδομένα σας. Απλώς στείλτε μας 3 μη σημαντικά, μικρά (~2mb) κρυπτογραφημένα αρχεία, τα οποία αποθηκεύονται τυχαία στον διακομιστή σας. Επισυνάψτε επίσης το README-id.txt που έχετε αφήσει σε κάθε φάκελο.
Θα αποκρυπτογραφήσουμε αυτά τα αρχεία και θα σας τα στείλουμε ως απόδειξη. Λάβετε υπόψη ότι τα αρχεία για δωρεάν δοκιμαστική αποκρυπτογράφηση δεν πρέπει να περιέχουν πολύτιμες πληροφορίες.

Εάν δεν ξεκινήσετε έναν διάλογο μαζί μας σε 72 ώρες, θα αναγκαστούμε να δημοσιεύσουμε τα αρχεία σας σε δημόσιο τομέα. Οι πελάτες και οι συνεργάτες σας θα ενημερωθούν για τη διαρροή δεδομένων.
Με αυτόν τον τρόπο, η φήμη σας θα καταστραφεί. Εάν δεν αντιδράσετε, θα αναγκαστούμε να πουλήσουμε τις πιο σημαντικές πληροφορίες όπως βάσεις δεδομένων και προσωπικά δεδομένα σε ενδιαφερόμενα μέρη για να δημιουργήσουμε κάποιο κέρδος.
Είναι απλώς μια επιχείρηση.
Δεν νοιαζόμαστε απολύτως για εσάς και τις προσφορές σας, εκτός από το να λαμβάνετε οφέλη.
Εάν δεν κάνουμε τη δουλειά και τις υποχρεώσεις μας - κανείς δεν θα συνεργαστεί μαζί μας. Δεν είναι προς το συμφέρον μας.

Εάν θέλετε να αποκρυπτογραφήσετε τα αρχεία σας, θα πρέπει να πληρώσετε σε Bitcoin.
Εάν θέλετε να επιλύσετε αυτήν την κατάσταση, επισυνάψτε με γράμμα αυτό το αρχείο README-id.txt και γράψτε σε ΟΛΕΣ από αυτές τις 2 διευθύνσεις email:

keychain@onionmail.org
keybranch@mailfence.com

Μπορείτε επίσης να μας στείλετε μήνυμα στο Telegram: hxxps://t.me/key_chain

ΣΠΟΥΔΑΙΟΣ!
Σας συνιστούμε να επικοινωνήσετε μαζί μας απευθείας για να αποφύγετε την υπερπληρωμή των αντιπροσώπων. Τα δεδομένα σας είναι κρυπτογραφημένα και μόνο ΕΙΜΑΣΤΕ έχουμε κλειδί αποκρυπτογράφησης. Για να αποκρυπτογραφήσετε τα δεδομένα σας χρειάζεστε μόλις 1 ώρα, μετά την πληρωμή, όχι περισσότερο από.
Ζητάμε να στείλουμε το μήνυμά σας σε ΟΛΕΣ τις 2 διευθύνσεις email και στο Telegram μας, γιατί για διάφορους λόγους, το email σας ενδέχεται να μην παραδοθεί.
Το μήνυμά μας μπορεί να αναγνωριστεί ως ανεπιθύμητο, οπότε φροντίστε να ελέγξετε τον φάκελο ανεπιθύμητων μηνυμάτων.
Εάν δεν σας απαντήσουμε εντός 24 ωρών, γράψτε μας από άλλη διεύθυνση email.
Παρακαλούμε μην χάνετε χρόνο, θα έχει ως αποτέλεσμα μόνο πρόσθετη ζημιά στην εταιρεία σας.
Μην μετονομάσετε και προσπαθήστε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας. Δεν θα είμαστε σε θέση να σας βοηθήσουμε εάν τα αρχεία τροποποιηθούν.
Εάν προσπαθήσετε να χρησιμοποιήσετε οποιοδήποτε λογισμικό τρίτων για την επαναφορά των δεδομένων σας ή των λύσεων προστασίας από ιούς, δημιουργήστε ένα αντίγραφο ασφαλείας για όλα τα κρυπτογραφημένα αρχεία.
Εάν διαγράψετε τυχόν κρυπτογραφημένα αρχεία από τον τρέχοντα υπολογιστή, ενδέχεται να μην μπορείτε να τα αποκρυπτογραφήσετε.

Γιατί οι ηθοποιοί Ransomware χρησιμοποιούν απειλές διαρροής δεδομένων;

Οι φορείς ransomware χρησιμοποιούν απειλές διαρροής δεδομένων για διάφορους λόγους:

• Αυξημένη μόχλευση: Η απειλή για διαρροή ευαίσθητων δεδομένων δίνει στους χειριστές ransomware αυξημένη μόχλευση έναντι των θυμάτων τους. Προσθέτει ένα επιπλέον επίπεδο πίεσης κάνοντας το θύμα να αισθάνεται ότι όχι μόνο τα αρχεία του είναι κρυπτογραφημένα και απρόσιτα, αλλά οι ιδιωτικές και δυνητικά επιζήμιες πληροφορίες του θα μπορούσαν επίσης να εκτεθούν στο κοινό.
• Πληρωμές υψηλότερων λύτρων: Τα θύματα είναι πιο πιθανό να πληρώσουν υψηλότερο ποσό λύτρων όταν πιστεύουν ότι τα κλεμμένα δεδομένα είναι ευαίσθητα, εμπιστευτικά ή πολύτιμα. Ο φόβος της βλάβης της φήμης, των νομικών συνεπειών ή της οικονομικής απώλειας μπορεί να οδηγήσει τα θύματα να ικανοποιήσουν τις απαιτήσεις για λύτρα.
• Ζημιά στη φήμη: Οι διαρροές δεδομένων μπορούν να βλάψουν σοβαρά τη φήμη ενός οργανισμού. Εάν εκτεθούν ευαίσθητες ή ιδιωτικές πληροφορίες, μπορεί να διαβρώσει την εμπιστοσύνη μεταξύ των πελατών, των συνεργατών και των ενδιαφερομένων. Οι επιχειρήσεις συχνά θέλουν να αποτρέψουν τη διαρροή δεδομένων με κάθε κόστος για να προστατεύσουν την εικόνα τους.
• Νομικές ανησυχίες και προβλήματα συμμόρφωσης: Οι απειλές διαρροής δεδομένων μπορούν να δημιουργήσουν σημαντικά νομικά ζητήματα και ζητήματα συμμόρφωσης για οργανισμούς. Ανάλογα με τη φύση των κλεμμένων δεδομένων, οι οργανισμοί ενδέχεται να υπόκεινται σε ρυθμιστικά πρόστιμα και νομικές ενέργειες. Η πληρωμή των λύτρων μπορεί να φαίνεται σαν ένας τρόπος αποφυγής αυτών των πιθανών συνεπειών.
• Δημόσια ντροπή: Ορισμένες ομάδες ransomware χρησιμοποιούν απειλές διαρροής δεδομένων ως τακτική για να ντροπιάσουν δημόσια τα θύματά τους. Ενδέχεται να διαρρεύσουν μέρος των κλεμμένων δεδομένων ή να παράσχουν απόδειξη της παραβίασης, γεγονός που μπορεί να οδηγήσει σε αρνητική προσοχή των μέσων ενημέρωσης και δημόσια αμηχανία για την οργάνωση-θύμα.
• Πίεση για γρήγορη πληρωμή: Η απειλή διαρροής δεδομένων συχνά συνοδεύεται από περιορισμένη προθεσμία, αναγκάζοντας τα θύματα να λάβουν γρήγορες αποφάσεις. Αυτή η επείγουσα ανάγκη μπορεί να οδηγήσει σε βιαστικές πληρωμές λύτρων για την πρόληψη της έκθεσης δεδομένων.