Το Pzcqyq Ransomware ανήκει στην οικογένεια Snatch

Κατά τη διάρκεια της ανάλυσης των υποβληθέντων δειγμάτων, η ομάδα μας εντόπισε με επιτυχία το Pzcqyq, το οποίο είναι μια παραλλαγή του ransomware που σχετίζεται με την οικογένεια Snatch. Η εξέτασή μας αποκάλυψε ότι το Pzcqyq χρησιμοποιεί τεχνικές κρυπτογράφησης για την ασφάλεια των αρχείων. Προσθέτει την επέκταση ".pzcqyq" στα ονόματα αρχείων και δημιουργεί μια σημείωση λύτρων, με τον συγκεκριμένο τίτλο "HOW TO RESTORE YOUR PZCQYQ FILES.TXT".

Για να δείξετε πώς το Pzcqyq αλλάζει τα ονόματα αρχείων, σκεφτείτε το εξής: μετατρέπει το "1.jpg" σε "1.jpg.pzcqyq" και συνεχίζει αυτό το μοτίβο για αρχεία όπως το "2.png" που γίνεται "2.png.pzcqyq" και σύντομα.

Το περιεχόμενο του σημειώματος για τα λύτρα ενημερώνει τα θύματα ότι το δίκτυό τους έχει υποβληθεί σε δοκιμασία προσομοίωσης διείσδυσης, κατά την οποία τα αρχεία τους υποβλήθηκαν σε κρυπτογράφηση. Οι δράστες ισχυρίζονται ότι κατέβασαν μια σειρά δεδομένων, που ξεπερνούν τα 100 GB. Αυτό περιλαμβάνει προσωπικά δεδομένα, πληροφορίες μάρκετινγκ, εμπιστευτικά έγγραφα, οικονομικά αρχεία και αντίγραφα επιλεγμένων γραμματοκιβωτίων.

Οι εγκληματίες του κυβερνοχώρου εκδίδουν μια ισχυρή προειδοποίηση για τυχόν απόπειρες χειροκίνητης αποκρυπτογράφησης ή χρήση εργαλείων τρίτων. Τονίζουν ότι μόνο το εργαλείο αποκρυπτογράφησης τους έχει τη δυνατότητα να επαναφέρει αποτελεσματικά τα αρχεία. Τονίζουν ότι οποιοδήποτε άλλο λογισμικό θα μπορούσε ενδεχομένως να προκαλέσει περαιτέρω βλάβη στα αρχεία, καθιστώντας τα μη ανακτήσιμα. Το σημείωμα λύτρων παρέχει ένα ζευγάρι διευθύνσεων ηλεκτρονικού ταχυδρομείου, "goodwork2020@mailfence.com" και "2020host2021@tutanota.com", για να επικοινωνούν τα θύματα.

Επιπλέον, οι εισβολείς παρουσιάζουν μια προσφορά για δωρεάν αποκρυπτογράφηση έως και τριών αρχείων, υπό την προϋπόθεση ότι το συνδυασμένο μέγεθός τους παραμένει κάτω από 1 MB. Υπογραμμίζουν επίσης τη δυνατότητα δημόσιας έκθεσης αυτών των κρυπτογραφημένων αρχείων εάν δεν λάβουν απάντηση εντός τριών ημερών.

Το Pzcqyq Ransom Note αξιώνει 100 GB κλεμμένα

Το πλήρες κείμενο του σημειώματος λύτρων Pzcqyq έχει ως εξής:

ΟΛΟ ΤΟ ΔΙΚΤΥΟ ΕΙΝΑΙ ΚΡΥΠΤΟΠΟΙΗΜΕΝΟ Η ΕΠΙΧΕΙΡΗΣΗ ΣΑΣ ΧΑΝΕΙ ΧΡΗΜΑΤΑ!

Αγαπητή Διοίκηση! Σας ενημερώνουμε ότι το δίκτυό σας έχει υποβληθεί σε δοκιμή διείσδυσης, κατά τη διάρκεια του οποίου κάναμε κρυπτογράφηση
τα αρχεία σας και κατέβασαν περισσότερα από 100 GB των δεδομένων σας

Προσωπικά δεδομένα
Δεδομένα μάρκετινγκ
Εμπιστευτικά έγγραφα
Λογιστική
Αντίγραφο μερικών γραμματοκιβωτίων

Σπουδαίος! Μην προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας ή χρησιμοποιώντας βοηθητικά προγράμματα τρίτων.
Το μόνο πρόγραμμα που μπορεί να τα αποκρυπτογραφήσει είναι ο αποκρυπτογραφητής μας, τον οποίο μπορείτε να ζητήσετε από τις παρακάτω επαφές.
Οποιοδήποτε άλλο πρόγραμμα θα βλάψει μόνο τα αρχεία με τέτοιο τρόπο που θα είναι αδύνατη η επαναφορά τους.
Γράψτε μας απευθείας, χωρίς να καταφύγετε σε μεσάζοντες, θα σας εξαπατήσουν.

Μπορείτε να λάβετε όλα τα απαραίτητα στοιχεία, να συζητήσετε μαζί μας πιθανές λύσεις σε αυτό το πρόβλημα και να ζητήσετε αποκρυπτογράφηση
χρησιμοποιώντας τις παρακάτω επαφές.
Δωρεάν αποκρυπτογράφηση ως εγγύηση. Στείλτε μας 3 αρχεία για δωρεάν αποκρυπτογράφηση.
Το συνολικό μέγεθος αρχείου δεν πρέπει να είναι μεγαλύτερο από 1 MB! (όχι στο αρχείο).

Λάβετε υπόψη ότι εάν δεν λάβουμε απάντηση από εσάς εντός 3 ημερών, διατηρούμε το δικαίωμα να δημοσιεύσουμε αρχεία στο κοινό.

Επικοινωνήστε μαζί μας:
goodwork2020@mailfence.com ή 2020host2021@tutanota.com

Πώς μπορεί το Ransomware όπως το Pzcqyq να μολύνει το σύστημά σας;

Οι μέθοδοι μέσω των οποίων το ransomware όπως το Pzcqyq μπορεί να διεισδύσει στο σύστημά σας είναι ποικίλες και συχνά εκμεταλλεύονται ευπάθειες σε λογισμικό, ανθρώπινη συμπεριφορά ή ασφάλεια δικτύου. Μερικοί κοινοί φορείς μόλυνσης περιλαμβάνουν:

• Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται νόμιμα και να προτρέπουν τους παραλήπτες να κάνουν κλικ στα συνημμένα ή στους συνδέσμους, τα οποία στη συνέχεια εκτελούν το ωφέλιμο φορτίο ransomware.
• Κακόβουλες λήψεις: Η επίσκεψη σε παραβιασμένους ιστότοπους ή η λήψη λογισμικού, αρχείων ή πολυμέσων από μη αξιόπιστες πηγές μπορεί να οδηγήσει σε μολύνσεις ransomware. Αυτές οι λήψεις ενδέχεται να περιέχουν κρυφό κακόβουλο λογισμικό που ενεργοποιείται κατά την εκτέλεση.
• Λήψεις Drive-by: Κακόβουλος κώδικας μπορεί να εισαχθεί σε νόμιμους ιστότοπους. Όταν επισκέπτεστε έναν τέτοιο ιστότοπο, το κακόβουλο λογισμικό λαμβάνεται και εκτελείται χωρίς τη γνώση ή τη συγκατάθεσή σας.
• Κιτ εκμετάλλευσης: Πρόκειται για πακέτα εργαλείων που στοχεύουν τρωτά σημεία σε εφαρμογές λογισμικού, που χρησιμοποιούνται συχνά από εγκληματίες του κυβερνοχώρου για την παράδοση ransomware μέσω ιστοτόπων που έχουν παραβιαστεί.
• Επιθέσεις Remote Desktop Protocol (RDP): Εάν το RDP του συστήματός σας δεν είναι επαρκώς ασφαλισμένο, οι εισβολείς μπορούν να αποκτήσουν πρόσβαση και να αναπτύξουν ransomware.
• Κακόβουλη διαφήμιση: Οι επιτιθέμενοι μπορούν να τοποθετήσουν κακόβουλες διαφημίσεις σε νόμιμες ιστοσελίδες. Το κλικ σε αυτές τις διαφημίσεις μπορεί να οδηγήσει σε μολύνσεις ransomware.
• Κοινωνική Μηχανική: Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την ανθρώπινη ψυχολογία για να ξεγελάσουν τους χρήστες ώστε να κατεβάσουν ή να εκτελέσουν κακόβουλο λογισμικό, συχνά παριστάνοντας ως νόμιμους οργανισμούς ή άτομα.
• Ευπάθειες λογισμικού: Η εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων σε λειτουργικά συστήματα ή εφαρμογές λογισμικού είναι ένας κοινός τρόπος για τους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση.