Το Reload Ransomware βασίζεται στο Makop

Στην ανάλυσή μας για το κακόβουλο λογισμικό Reload, προσδιορίσαμε ότι ανήκει στην οικογένεια Makop και λειτουργεί ως ransomware, κυρίως σχεδιασμένο για κρυπτογράφηση αρχείων. Εκτός από την κρυπτογράφηση δεδομένων, το Reload ρίχνει επίσης ένα σημείωμα λύτρων, που ονομάζεται "+README-WARNING+.txt", και τροποποιεί τα ονόματα των αρχείων.

Το Reload προσθέτει μια ακολουθία τυχαίων χαρακτήρων, πιθανώς το ID του θύματος, μια διεύθυνση email και την επέκταση ".reload" στα αρχικά ονόματα αρχείων. Για παράδειγμα, μετατρέπει το "1.jpg" σε "1.jpg.[2AF20FA3].[reload2024@outlook.com].reload" και το "2.png" σε "2.png.[2AF20FA3].[reload2024@ outlook.com].reload" και ούτω καθεξής.

Το σημείωμα λύτρων ξεκινά με μια σαφή δήλωση που υποδεικνύει ότι όλα τα αρχεία έχουν κρυπτογραφηθεί και τώρα φέρουν την επέκταση ".reload". Υπογραμμίζει τον επείγοντα χαρακτήρα της άμεσης επικοινωνίας με τους εισβολείς για να αποτραπεί η δημοσίευση των κρυπτογραφημένων αρχείων στο Διαδίκτυο. Η σημείωση παρέχει τη διεύθυνση email reload2024@outlook.com για λόγους επικοινωνίας.

Επιπλέον, το σημείωμα απειλεί μόνιμη απώλεια αρχείων, εάν τα θύματα δεν επικοινωνήσουν απευθείας με τους εισβολείς για την ανάκτηση αρχείων, αποθαρρύνοντας ρητά τη χρήση ενδιάμεσων εταιρειών ή προγραμμάτων που βασίζονται στο Διαδίκτυο για προσπάθειες ανάκτησης.

Επαναφόρτωση σημείωσης Ransom πλήρως

Το πλήρες κείμενο του σημειώματος λύτρων που δημιουργήθηκε από το Reload έχει ως εξής:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Πώς διανέμεται στο Διαδίκτυο το Ransomware Like Reload;

Η επαναφόρτωση, όπως πολλές παραλλαγές ransomware, συνήθως διανέμεται στο διαδίκτυο μέσω διαφόρων μεθόδων που στοχεύουν στην εκμετάλλευση τρωτών σημείων ή στην εξαπάτηση των χρηστών για λήψη και εκτέλεση κακόβουλου περιεχομένου. Ακολουθούν κοινές μέθοδοι διανομής για ransomware όπως το Reload:

Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για την παράδοση ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να φαίνονται νόμιμα και να περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Στην περίπτωση της Επαναφόρτωσης, οι χρήστες ενδέχεται να παρασυρθούν να ανοίξουν ένα συνημμένο, όπως ένα φαινομενικά αβλαβές έγγραφο ή αρχείο, το οποίο στη συνέχεια ενεργοποιεί τη διαδικασία εγκατάστασης κακόβουλου λογισμικού.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να οδηγήσει σε ακούσια λήψη και εγκατάσταση ransomware. Οι εγκληματίες του κυβερνοχώρου ενδέχεται να εκμεταλλευτούν ευπάθειες σε προγράμματα περιήγησης ή προσθήκες για να παραδώσουν το κακόβουλο ωφέλιμο φορτίο.

Κιτ εκμετάλλευσης: Οι εισβολείς στον κυβερνοχώρο ενδέχεται να χρησιμοποιήσουν κιτ εκμετάλλευσης για να στοχεύσουν γνωστά τρωτά σημεία σε λογισμικό, λειτουργικά συστήματα ή προγράμματα περιήγησης. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης σαρώνει για τρωτά σημεία και παραδίδει το ωφέλιμο φορτίο ransomware εάν βρεθεί κατάλληλη ευπάθεια.

Λήψεις Drive-By: Η ακούσια λήψη κακόβουλου περιεχομένου κατά την επίσκεψη σε ιστότοπους, συχνά μέσω αναδυόμενων παραθύρων ή αυτόματων λήψεων, μπορεί να οδηγήσει στην εγκατάσταση ransomware. Οι χρήστες ενδέχεται να μην γνωρίζουν αυτές τις λήψεις, γεγονός που διευκολύνει τη διείσδυση του κακόβουλου λογισμικού στο σύστημα.

Κακόβουλες διαφημίσεις (Κακόβουλη διαφήμιση): Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιούν διαδικτυακές διαφημίσεις για τη διανομή ransomware. Κάνοντας κλικ σε μια μολυσμένη διαφήμιση μπορεί να ανακατευθύνει τους χρήστες σε έναν ιστότοπο που φιλοξενεί το κακόβουλο λογισμικό ή να ενεργοποιήσει μια αυτόματη λήψη.

Παραβιασμένο λογισμικό: Οι εισβολείς ενδέχεται να θέτουν σε κίνδυνο τα νόμιμα προγράμματα εγκατάστασης λογισμικού ή ενημερώσεις, εισάγοντας ransomware σε αυτά πριν οι χρήστες κατεβάσουν και εγκαταστήσουν το φαινομενικά αυθεντικό λογισμικό.