A Ransomwared Ransomware meztelen képeket kér Bitcoin helyett

A Ransomwared nevű ransomware család a közelmúltban tette közzé a híreket, és ennek legalább két nagyon jó oka van. Egyrészt az egyéni felhasználókra, nem pedig a nagy szervezetekre irányul, ami manapság kissé szokatlan. Talán még figyelemre méltóbbak azok a követelmények, amelyeket a csalók támasztanak alá. Úgy tűnik, hogy már nem minden a bitcoinokkal kapcsolatos.

Nem sok részlet a közelmúltban a Ransomwared kampányról

Noha úgy tűnik, hogy nagyon sok ember beszél az újonnan felfedezett Ransomwared mintákról, a fenyegetés terjedésének és működésének tényleges részletei a helyszínen vékonyak. A szakértők, akik megvizsgálták, nem mondtak semmit arról, hogy miként botlik meg. Nincs információ a terjesztési módszerekről és az áldozatok becsapására használt szociális technikáról a ransomware telepítésében, és csak azt tudjuk kitalálni, hogy hány embert sújtottak.

Amit tudunk biztosan az, hogy a csalók soha nem akartak pénzt keresni a jelenlegi kampányból.

A Crooks titkosítja a felhasználói fájlokat, és kifejezett képeket igényel a dekódolóért cserébe

A telepítés után a Ransomwared titkosítja a fertőzött számítógépen talált fájlokat, és a legújabb verziókban csatolja a.iwanttits fájlkiterjesztést. A technikai elemzés hiánya azt jelenti, hogy nem tudjuk biztosan megmondani, hogy mely fájlok tartalmazzák a Ransomwared célokat, ám a képernyőképeket megosztott biztonsági kutatók azt sugallják, hogy csak a következő mappákban találja meg az adatokat:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

A legtöbb ilyen típusú rosszindulatú programcsaládtól eltérően a Ransomwared nem hagy váltságdíjat. Ehelyett, miután készen áll a titkosításra, megjelenik egy felugró ablak a következő üzenettel:

"A fájlok titkosítva vannak. Mutasd meg neked, hogy mit tudsz visszafejteni."

Az OK gombra kattintva egy másik ablak nyílik meg, amely azt mutatja, hogy a fent említett négy könyvtárban található fájlok titkosítva vannak. Van egy mező a helyreállítási kulcshoz és egy második üzenet:

"Felelősséggel jár! A fájlok helyreállításához kérjük, írja meg nekünk a melleit: sashagrey@blured.credit"

Az Emsisoft kutatói közelebbről megvizsgálták az új mintákat, és helyesen rámutattak, hogy a csalók elfelejtették megemlíteni, hogy milyen ciciket keresnek. A szakértők azt sugallták, hogy ahelyett, hogy önmagáról fényképeket készítenek, és e-mailben elküldnék egy korábbi pornósztár elnevezésű címre, az áldozatok megpróbálhatnak képeket küldeni kis dalmadarakról, és megnézhetik, hogy ez megfelel-e a bűnözők vágyainak. Még erre sem lesz szükség, mivel a Ransomwared-rel titkosított fájlok könnyen visszafejthetők.

Az adatok visszaállításához nem szükséges meztelen képeket bevonni

Lehet, hogy a Ransomwared operátorok viszonylag nemrégiben alkalmazott technikát kérnek meztelen képekért az áldozatok fájljaik felszabadításáért, de maga a rosszindulatú program egyáltalán nem új. Néhány perc alatt a Google megmondja, hogy a törzs először fordult elő 2018 végén, és bár akkoriban az igények kissé hagyományosabbak voltak, a ransomware működése nagyjából azonos volt. Amikor először látta, a biztonsági kutatók elemezték a ransomware családot és gyorsan rájöttek, hogy nem túl fejlett.

A Ransomwared titkosítási mechanizmusa a DES-re (az Data Encryption Standard rövidítésre) támaszkodik, egy szimmetrikus kulcsú titkosítási algoritmusra, amelyet az 1970-es években fejlesztettek ki. Ez a legjobb időkben gyenge algoritmus, és a legfontosabb: a legutóbbi Ransomwared minták műszaki elemzése azt mutatta, hogy az emberek fájljainak feloldására szolgáló kulcsot a rosszindulatú programok forráskódjában tárolják egyszerű szövegben.

A fájlok visszafejtéséhez azonban nem kell átvágnia a kódot. A hónap elején az Emsisoft kiadott egy ingyenes dekódoló eszközt, amely feloldhatja a Ransomwared új és régi verziói által titkosított fájlokat.

A Ransomware áldozatai gyakran elkövetik azt a hibát, hogy ugrálnak a fegyverre, és anélkül teljesítik a csalók igényeit, hogy a következményekre gondolkodnak. Mint láthatja, gyakran néhány percnyi kutatás elegendő néhány kripto-érme, vagy ebben az esetben sok kínos megmentéséhez. Az említett kutatás képet ad arról is, hogy milyen fontosak a biztonsági mentések.

February 14, 2020

Válaszolj