Ολόκληρο το Ransomware απειλεί με διαρροές δεδομένων

Κατά τη διάρκεια της έρευνάς μας για δείγματα κακόβουλου λογισμικού που υποβλήθηκαν πρόσφατα, οι ερευνητές μας βρήκαν ένα πρόγραμμα ransomware με το όνομα "Whole". Έχουμε διαπιστώσει ότι προέρχεται από το ransomware Keylock. Αυτό το κακόβουλο λογισμικό κρυπτογραφεί δεδομένα και απαιτεί λύτρα με αντάλλαγμα την αποκρυπτογράφηση τους.

Στη δοκιμή μας, το "Whole" ransomware κρυπτογραφούσε αρχεία και πρόσθεσε μια επέκταση ".whole" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα εμφανίζεται ως "1.jpg.whole" και το "2.png" ως "2.png.whole".

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, η ταπετσαρία της επιφάνειας εργασίας άλλαξε και δημιουργήθηκε μια σημείωση λύτρων με τίτλο "README-ID-[victim's_ID].txt". Από το περιεχόμενο αυτής της σημείωσης, είναι προφανές ότι αυτό το ransomware στοχεύει κυρίως επιχειρήσεις και όχι μεμονωμένους χρήστες.

Το μήνυμα που εμφανίζεται στην ταπετσαρία επιφάνειας εργασίας "Ολόκληρη" δίνει οδηγίες στο θύμα να διαβάσει το σχετικό αρχείο κειμένου ("README-ID-[victim's_ID].txt"). Αυτό το σημείωμα λύτρων εξηγεί ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και το διαβεβαιώνει ότι το μοναδικό κλειδί αποκρυπτογράφησης είναι αποθηκευμένο με ασφάλεια στους διακομιστές των εισβολέων.

Η ανάκτηση μπορεί να δοκιμαστεί χωρίς κόστος με την αποστολή μερικών κρυπτογραφημένων αρχείων στους εγκληματίες του κυβερνοχώρου (εντός ορισμένων κατευθυντήριων γραμμών). Εάν το θύμα δεν επιχειρήσει να επικοινωνήσει με τους εισβολείς εντός 3 ημερών, ενδέχεται να εκτεθούν ή να πουληθούν τα ευαίσθητα επαγγελματικά του δεδομένα.

Το μήνυμα περιλαμβάνει επίσης προειδοποιήσεις, οι οποίες ενημερώνουν το θύμα ότι η μετονομασία ή η τροποποίηση των επηρεαζόμενων αρχείων, καθώς και η χρήση εργαλείων ανάκτησης τρίτων ή λογισμικού προστασίας από ιούς, μπορεί να καταστήσει τα δεδομένα μη ανακτήσιμα.

Ολόκληρο το Ransomware ρίχνει το Lengthy Note

Το πλήρες κείμενο του Ολόκληρου του σημειώματος λύτρων έχει ως εξής:

ΤΑ ΑΡΧΕΙΑ ΣΑΣ ΕΙΝΑΙ ΚΡΥΠΤΩΜΕΝΑ

Τα αρχεία σας έχουν κρυπτογραφηθεί με ισχυρούς αλγόριθμους κρυπτογράφησης και έχουν τροποποιηθεί!
Μην ανησυχείτε ότι το μοναδικό κλειδί κρυπτογράφησης αποθηκεύεται με ασφάλεια στον διακομιστή μας και τα δεδομένα σας μπορούν να αποκρυπτογραφηθούν γρήγορα και με ασφάλεια.

Μπορούμε να αποδείξουμε ότι μπορούμε να αποκρυπτογραφήσουμε όλα τα δεδομένα σας. Απλώς στείλτε μας 3 μη σημαντικά, μικρά (~2mb) κρυπτογραφημένα αρχεία, τα οποία αποθηκεύονται τυχαία στον διακομιστή σας. Επίσης, επισυνάψτε αυτό το αρχείο README-ID-.txt που έχουμε αφήσει σε κάθε φάκελο.
Θα αποκρυπτογραφήσουμε αυτά τα αρχεία και θα σας τα στείλουμε ως απόδειξη. Λάβετε υπόψη ότι τα αρχεία για δωρεάν δοκιμαστική αποκρυπτογράφηση δεν πρέπει να περιέχουν πολύτιμες πληροφορίες.

Εάν δεν ξεκινήσετε έναν διάλογο μαζί μας σε 72 ώρες, θα αναγκαστούμε να δημοσιεύσουμε τα αρχεία σας σε δημόσιο τομέα. Οι πελάτες και οι συνεργάτες σας θα ενημερωθούν για τη διαρροή δεδομένων.
Με αυτόν τον τρόπο, η φήμη σας θα καταστραφεί. Εάν δεν αντιδράσετε, θα αναγκαστούμε να πουλήσουμε τις πιο σημαντικές πληροφορίες όπως βάσεις δεδομένων και προσωπικά δεδομένα σε ενδιαφερόμενα μέρη για να δημιουργήσουμε κάποιο κέρδος.

Εάν θέλετε να επιλύσετε αυτήν την κατάσταση, επισυνάψτε με γράμμα αυτό το αρχείο README-ID-.txt και γράψτε σε ΟΛΕΣ από αυτές τις 2 διευθύνσεις email:

pmmx@techmail.info
wholekey@mailfence.com

ΣΠΟΥΔΑΙΟΣ!
Σας συνιστούμε να επικοινωνήσετε μαζί μας απευθείας για να αποφύγετε την υπερπληρωμή των αντιπροσώπων.
Ζητάμε να στείλουμε το μήνυμά σας σε ΟΛΕΣ τις 2 διευθύνσεις email μας γιατί για διάφορους λόγους, το email σας ενδέχεται να μην παραδοθεί.
Το μήνυμά μας μπορεί να αναγνωριστεί ως ανεπιθύμητο, οπότε φροντίστε να ελέγξετε τον φάκελο ανεπιθύμητων μηνυμάτων.
Εάν δεν σας απαντήσουμε εντός 24 ωρών, γράψτε μας από άλλη διεύθυνση email.
Παρακαλούμε μην χάνετε χρόνο, θα έχει ως αποτέλεσμα μόνο πρόσθετη ζημιά στην εταιρεία σας.
Μην μετονομάσετε και προσπαθήστε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας. Δεν θα είμαστε σε θέση να σας βοηθήσουμε εάν τα αρχεία τροποποιηθούν.
Εάν προσπαθήσετε να χρησιμοποιήσετε οποιοδήποτε λογισμικό τρίτων για την επαναφορά των δεδομένων σας ή των λύσεων προστασίας από ιούς, δημιουργήστε ένα αντίγραφο ασφαλείας για όλα τα κρυπτογραφημένα αρχεία.
Εάν διαγράψετε τυχόν κρυπτογραφημένα αρχεία από τον τρέχοντα υπολογιστή, ενδέχεται να μην μπορείτε να τα αποκρυπτογραφήσετε.

Πώς μπορεί το Ransomware να εισέλθει στο σύστημά σας;

Το Ransomware μπορεί να διεισδύσει στο σύστημά σας με διάφορα μέσα και η κατανόηση αυτών των σημείων εισόδου είναι ζωτικής σημασίας για την προστασία του συστήματός σας από τέτοιες επιθέσεις. Ακολουθούν οι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να εισέλθει στο σύστημά σας:

• Συνημμένα email: Τα μηνύματα ηλεκτρονικού ψαρέματος είναι μια διαδεδομένη μέθοδος διανομής ransomware. Οι εγκληματίες του κυβερνοχώρου στέλνουν φαινομενικά νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου με μολυσμένα συνημμένα (π.χ. PDF, έγγραφα Word ή αρχεία ZIP) ή συνδέσμους σε κακόβουλους ιστότοπους. Όταν οι χρήστες ανοίγουν αυτά τα συνημμένα ή κάνουν κλικ στους συνδέσμους, το ransomware κατεβάζεται και εκτελείται στα συστήματά τους.
• Κακόβουλοι σύνδεσμοι: Το Ransomware μπορεί επίσης να παραδοθεί μέσω παραπλανητικών ή κακόβουλων συνδέσμων σε email, άμεσα μηνύματα ή σε ιστότοπους. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση του ransomware.
• Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να χρησιμοποιήσουν κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε νόμιμους ιστότοπους για την παράδοση ransomware. Η απλή επίσκεψη σε έναν παραβιασμένο ιστότοπο με αυτές τις διαφημίσεις μπορεί να προκαλέσει αυτόματη λήψη του κακόβουλου λογισμικού.
• Εκμετάλλευση ευπαθειών: Οι δημιουργοί ransomware μπορούν να εκμεταλλευτούν ευπάθειες λογισμικού στο λειτουργικό σύστημα ή τις εφαρμογές σας. Εάν το σύστημά σας δεν είναι ενημερωμένο με ενημερώσεις κώδικα ασφαλείας, μπορεί να είναι ευάλωτο σε επιθέσεις που βασίζονται σε εκμετάλλευση.
• Λήψεις Drive-By: Το Ransomware μπορεί να παραδοθεί μέσω "λήψεων μέσω οδήγησης", όπου οι χρήστες κατεβάζουν εν αγνοία τους κακόβουλο κώδικα ενώ επισκέπτονται παραβιασμένους ή κακόβουλους ιστότοπους. Αυτές οι λήψεις μπορούν να πραγματοποιηθούν χωρίς καμία αλληλεπίδραση ή συναίνεση του χρήστη.
• Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς ενδέχεται να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια RDP για να αποκτήσουν πρόσβαση σε απομακρυσμένα συστήματα. Μόλις μπουν μέσα, μπορούν να εγκαταστήσουν ransomware και να κρυπτογραφήσουν αρχεία.
• Λήψεις λογισμικού: Η λήψη λογισμικού ή αρχείων από μη αξιόπιστες ή πειρατικές πηγές μπορεί να εκθέσει το σύστημά σας σε ransomware. Το παράνομο λογισμικό ή οι σπασμένες εκδόσεις συνοδεύονται συχνά από κρυφά ωφέλιμα φορτία κακόβουλου λογισμικού.