Το ReadText Ransomware θα κρυπτογραφήσει τις μονάδες δίσκου σας

Η ερευνητική μας ομάδα συνάντησε το ReadText ransomware κατά την εξέταση νέων υποβολών. Αυτό το κακόβουλο λογισμικό ανήκει στην οικογένεια ransomware MedusaLocker.

Το ReadText λειτουργεί με τρόπο τυπικό του ransomware. Κρυπτογραφούσε τα αρχεία στη δοκιμαστική μηχανή μας, προσθέτοντας μια επέκταση ".readtext4" στα αρχικά ονόματα αρχείων. Ο συγκεκριμένος αριθμός που χρησιμοποιείται στη δημιουργία λεπτών επεκτάσεων μπορεί να διαφέρει ανάλογα με την παραλλαγή του ransomware. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" θα μετατραπεί σε "1.jpg.readtext4" και "2.png" σε "2.png.readtext4" και ούτω καθεξής.

Στη συνέχεια, κατέθεσε ένα μήνυμα λύτρων με το όνομα "How_to_back_files.html". Από αυτό το μήνυμα, είναι προφανές ότι το ReadText στοχεύει επιχειρήσεις και χρησιμοποιεί τακτικές διπλού εκβιασμού.

Η σημείωση που σχετίζεται με το ransomware ReadText αναφέρει ότι το εταιρικό δίκτυο του θύματος έχει παραβιαστεί. Τα κρίσιμα αρχεία έχουν κρυπτογραφηθεί και τα ευαίσθητα ή προσωπικά δεδομένα έχουν κλαπεί.

Το μήνυμα συμβουλεύει να μην τροποποιήσετε τα ονόματα αρχείων των κρυπτογραφημένων αρχείων ή να μην επιχειρήσετε ανάκτηση χρησιμοποιώντας εργαλεία αποκρυπτογράφησης τρίτων, καθώς τέτοιες ενέργειες θα καθιστούσαν τα δεδομένα μη ανακτήσιμα.

Το θύμα ενημερώνεται για την ανάγκη να πληρώσει λύτρα. Η μη συμμόρφωση θα έχει ως αποτέλεσμα τη διαρροή ή την πώληση των δεδομένων που έχουν διεισδυθεί. Επιπλέον, η καθυστέρηση της επαφής για περισσότερες από 72 ώρες θα κλιμακώσει το ποσό των λύτρων. Πριν από την πραγματοποίηση της πληρωμής, το θύμα έχει την επιλογή να δοκιμάσει τη διαδικασία αποκρυπτογράφησης στέλνοντας στους εισβολείς δύο έως τρία κρυπτογραφημένα αρχεία.

Το ReadText Ransom Note απειλεί με διαρροές δεδομένων

Το πλήρες κείμενο του σημειώματος λύτρων ReadText έχει ως εξής:

Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ:

ΤΟ ΕΤΑΙΡΙΚΟ ΔΙΚΤΥΟ ΣΑΣ ΕΧΕΙ ΔΙΕΙΣΧΥΘΕΙ
Όλα τα σημαντικά αρχεία σας έχουν κρυπτογραφηθεί!

Τα αρχεία σας είναι ασφαλή! Μόνο τροποποιημένο. (RSA+AES)

ΟΠΟΙΑΔΗΠΟΤΕ ΠΡΟΣΠΑΘΕΙΑ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΑΡΧΕΙΩΝ ΣΑΣ ΜΕ ΛΟΓΙΣΜΙΚΟ ΤΡΙΤΩΝ
ΘΑ ΤΟ ΔΙΑΦΘΩΣΕΙ ΜΟΝΙΜΩΣ.
ΜΗΝ ΤΡΟΠΟΠΟΙΕΙΤΕ ΚΡΥπτογραφημένα ΑΡΧΕΙΑ.
ΜΗ ΜΕΤΟΝΟΜΑΣΙΑ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΩΝ ΑΡΧΕΙΩΝ.

Κανένα λογισμικό διαθέσιμο στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.

Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..

Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.

Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.

Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:
ithelp15@securitymy.name
ithelp15@yousheltered.com

Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com
ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.

Tor-chat για να είστε πάντα σε επαφή:

Πώς διανέμεται το Ransomware στο Διαδίκτυο;

Το ransomware διανέμεται στο διαδίκτυο μέσω διαφόρων μεθόδων, συχνά εκμεταλλευόμενες ευπάθειες σε λογισμικό, τεχνικές κοινωνικής μηχανικής και κακόβουλα συνημμένα ή συνδέσμους. Ακολουθούν ορισμένοι συνήθεις τρόποι διανομής ransomware:

Email ηλεκτρονικού ψαρέματος:
Τα email ηλεκτρονικού ψαρέματος είναι μια διαδεδομένη μέθοδος για τη διάδοση ransomware. Οι εισβολείς στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από νόμιμες πηγές, όπως τράπεζες, κρατικές υπηρεσίες ή αξιόπιστους οργανισμούς. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ ή ανοίξετε, πραγματοποιούν λήψη και εκτέλεση ransomware στον υπολογιστή του θύματος.

Κακή διαφήμιση:
Η κακόβουλη διαφήμιση περιλαμβάνει εγκληματίες του κυβερνοχώρου που τοποθετούν κακόβουλες διαφημίσεις σε νόμιμους ιστότοπους. Όταν ένας χρήστης κάνει κλικ σε αυτές τις διαφημίσεις, μπορεί εν αγνοία του να ενεργοποιήσει τη λήψη του ransomware ή να ανακατευθυνθεί σε έναν ιστότοπο που φιλοξενεί κιτ εκμετάλλευσης, τα οποία στη συνέχεια παραδίδουν το ωφέλιμο φορτίο ransomware.

Λήψεις Drive-By:
Οι λήψεις μέσω Drive πραγματοποιούνται όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο. Σε ορισμένες περιπτώσεις, ο ιστότοπος εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης ιστού ή στις προσθήκες του χρήστη για αυτόματη λήψη και εγκατάσταση ransomware στο σύστημα του επισκέπτη χωρίς καμία αλληλεπίδραση με τον χρήστη.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που χρησιμοποιούνται από τους εισβολείς για τον εντοπισμό και την εκμετάλλευση τρωτών σημείων στο λογισμικό ενός θύματος. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο ή κάνει κλικ σε έναν κακόβουλο σύνδεσμο, το κιτ εκμετάλλευσης σαρώνει για ευπάθειες και παραδίδει το ωφέλιμο φορτίο ransomware εάν εντοπιστεί ευπάθεια.

Επιθέσεις Remote Desktop Protocol (RDP):
Οι εισβολείς στοχεύουν εκτεθειμένες θύρες RDP και προσπαθούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή ή το δίκτυο ενός θύματος. Μόλις μπουν μέσα, αναπτύσσουν ransomware απευθείας στο σύστημα.

Κακόβουλα συνημμένα:
Το Ransomware μπορεί να διαδοθεί μέσω συνημμένων email, συχνά μεταμφιεσμένων σε αβλαβή αρχεία όπως PDF, έγγραφα Word ή αρχεία ZIP. Όταν ανοίγουν αυτά τα συνημμένα, εκτελούν κακόβουλα σενάρια ή μακροεντολές που ξεκινούν τη λήψη ransomware.