Το Vehu Ransomware κλειδώνει μολυσμένα συστήματα

Εντοπίσαμε το Vehu ransomware κατά την ανάλυσή μας για νέα δείγματα κακόβουλου λογισμικού. Η έρευνά μας αποκάλυψε ότι ο Vehu ανήκει στην οικογένεια ransomware Djvu. Κρυπτογραφεί αρχεία και προσαρτά την επέκταση ".vehu" στα ονόματα αρχείων, μαζί με την παρουσίαση μιας σημείωσης λύτρων με το όνομα "_README.txt". Είναι σημαντικό να σημειωθεί ότι το Djvu ransomware συχνά διανέμεται παράλληλα με το RedLine, το Vidar ή παρόμοιο κακόβουλο λογισμικό.

Για παράδειγμα, το Vehu αλλάζει τα ονόματα αρχείων προσθέτοντας ".vehu" σε αυτά, μετονομάζοντας το "1.jpg" σε "1.jpg.vehu" και το "2.png" σε "2.png.vehu" και ούτω καθεξής.

Το σημείωμα λύτρων βεβαιώνει ότι όλα τα αρχεία, συμπεριλαμβανομένων των εικόνων, των βάσεων δεδομένων και των εγγράφων, είναι κρυπτογραφημένα χρησιμοποιώντας ισχυρή κρυπτογράφηση. Για να ανακτήσει την πρόσβαση στα αρχεία, το θύμα πρέπει να αγοράσει ένα εργαλείο αποκρυπτογράφησης και ένα κλειδί. Το εργαλείο αποκρυπτογράφησης κοστίζει 999 $, αλλά εάν το θύμα επικοινωνήσει με τους εισβολείς εντός 72 ωρών, μπορεί να αγοραστεί για 499 $.

Οι οδηγίες κατευθύνουν το θύμα να στείλει email είτε στο support@freshingmail.top είτε στο datarestorehelpyou@airmail.cc. Προειδοποιεί ότι τα αρχεία δεν θα αποκατασταθούν χωρίς πληρωμή. Επιπλέον, η σημείωση αναφέρει ότι το θύμα μπορεί να στείλει ένα κρυπτογραφημένο αρχείο στους εισβολείς και να το λάβει αποκρυπτογραφημένο ως επίδειξη, υπό την προϋπόθεση ότι το αρχείο δεν περιέχει πολύτιμες πληροφορίες.

Το Vehu χρησιμοποιεί τυποποιημένη σημείωση Djvu Ransom

Το πλήρες κείμενο του σημειώματος για τα λύτρα Vehu έχει ως εξής:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Πώς μπορεί το Ransomware να μολύνει το σύστημά σας;

Το Ransomware μπορεί να μολύνει το σύστημά σας μέσω διαφόρων μεθόδων, συχνά εκμεταλλευόμενοι ευπάθειες ή βασιζόμενοι σε τακτικές κοινωνικής μηχανικής. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να διεισδύσει στο σύστημά σας:

Email ηλεκτρονικού ψαρέματος: Μία από τις πιο διαδεδομένες μεθόδους είναι μέσω email ηλεκτρονικού ψαρέματος. Οι εισβολείς στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα, συχνά με συνημμένα ή συνδέσμους. Κάνοντας κλικ σε αυτούς τους συνδέσμους ή κάνοντας λήψη συνημμένων, μπορείτε να κάνετε λήψη και εκτέλεση ransomware στο σύστημά σας.

Κακόβουλοι σύνδεσμοι: Οι εγκληματίες του κυβερνοχώρου μπορούν επίσης να διανέμουν ransomware μέσω κακόβουλων συνδέσμων σε ιστότοπους, πλατφόρμες μέσων κοινωνικής δικτύωσης ή εφαρμογές ανταλλαγής άμεσων μηνυμάτων. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και εγκατάσταση ransomware.

Κιτ εκμετάλλευσης: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες σε λογισμικό ή λειτουργικά συστήματα χρησιμοποιώντας κιτ εκμετάλλευσης. Αυτά τα κιτ είναι αυτοματοποιημένα εργαλεία που χρησιμοποιούνται από τους εισβολείς για τον εντοπισμό και την εκμετάλλευση αδυναμιών του λογισμικού για την παράδοση κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware.

Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ενδέχεται να επιχειρήσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα με αδύναμα ή προεπιλεγμένα διαπιστευτήρια πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware απευθείας στο παραβιασμένο σύστημα.

Λήψεις Drive-by: Το Ransomware μπορεί να ληφθεί και να εγκατασταθεί σιωπηλά όταν επισκέπτεστε παραβιασμένους ή κακόβουλους ιστότοπους. Αυτή η μέθοδος συχνά εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης ιστού ή στις προσθήκες σας.

Κακόβουλη διαφήμιση: Οι επιτιθέμενοι χρησιμοποιούν κακόβουλες διαφημίσεις (malvertising) σε νόμιμους ιστότοπους για την παράδοση ransomware. Κάνοντας κλικ σε αυτές τις διαφημίσεις ή ακόμα και μερικές φορές απλώς η προβολή τους μπορεί να ενεργοποιήσει τη λήψη και την εκτέλεση του ransomware.

Τρωτά σημεία λογισμικού: Η εκμετάλλευση μη επιδιορθωμένης ή ξεπερασμένης ευπάθειας λογισμικού είναι ένας άλλος τρόπος με τον οποίο το ransomware μπορεί να διεισδύσει στα συστήματα. Εάν αποτύχετε να εγκαταστήσετε ενημερώσεις ασφαλείας, το σύστημά σας γίνεται ευάλωτο σε εκμετάλλευση από ransomware και άλλο κακόβουλο λογισμικό.