Az Adfuhbazi Ransomware zárolja az összes fájlját
Az új rosszindulatú programok elemzése során kutatóink rábukkantak az Adfuhbazira, a Snatch ransomware családhoz tartozó ransomware programra. Ez a rosszindulatú szoftver titkosítja a fájlokat, és ".adfuhbazi" kiterjesztést ad a fájlnevekhez. Például egy „1.jpg” nevű fájl „1.jpg.adfuhbazi”-ra, a „2.png” pedig „2.png.adfuhbazi”-ra, és így tovább minden titkosított fájl esetében.
A titkosítási folyamatot követően „HOGYAN VISSZAÁLLÍTÁSA AZ ADFUHBAZI FILES.TXT” címmel váltságdíj-jegyzet jön létre. Az üzenet tartalma azt jelzi, hogy ez a zsarolóprogram elsősorban nagy szervezeteket céloz meg, nem pedig egyéni felhasználókat. A váltságdíjról szóló feljegyzés, amelyet az áldozatnak címeztek „menedzsmentként”, arról tájékoztatja őket, hogy fájljaikat titkosították, és több mint 200 GB adatot vontak ki a feltört hálózatból. Az ellopott adatok érzékeny információkat tartalmaznak, például könyvelési adatokat, bizalmas dokumentumokat, ügyféladatbázisokat és személyes nyilvántartásokat.
A megjegyzés kifejezetten javasolja a harmadik féltől származó visszafejtő eszközök használatát, hangsúlyozva, hogy az ilyen eszközök visszakereshetetlenné tennék a titkosított adatokat. Az üzenet továbbá figyelmeztetésül is szolgál, és leszögezi, hogy ha az áldozat három napon belül nem veszi fel a kapcsolatot a támadókkal, akkor valószínűleg nyilvánosságra hozzák az ellopott adatokat.
Adfuhbazi Ransomware cégeket céloz meg
Az Adfuhbazi által használt váltságdíj teljes szövege egyértelművé teszi, hogy a ransomware vállalkozásokat céloz meg. A teljes feljegyzés így hangzik:
Tisztelt vezetőség!
Tájékoztatjuk, hogy a hálózatán átesett egy penetrációs teszt, melynek során titkosítottunk
fájljait, és több mint 200 GB-nyi adatot letöltött, beleértve:Könyvelés
Bizalmas dokumentumok
Személyes adatok
Ügyfél adatbázisokFontos! Ne próbálja meg saját maga vagy harmadik féltől származó segédprogramok segítségével visszafejteni a fájlokat.
Az ezek visszafejtésére alkalmas program a mi dekódolónk, amelyet az alábbi elérhetőségeken kérhet.
Minden más program csak a fájlokat károsíthatja.Kérjük, vegye figyelembe, hogy ha 3 napon belül nem kapunk választ Öntől, fenntartjuk a jogot, hogy közzétegye fájljait.
Lépjen kapcsolatba velünk:
777doctor@proton.me vagy 777doctor@swisscows.email
Hogyan telepíthető a Ransomware, mint az Adfuhbazi a Victim Systems rendszeren?
A zsarolóprogramok, például az Adfuhbazi áldozati rendszereken történő telepítése általában a kiberbűnözők által alkalmazott különféle technikákat és stratégiákat foglal magában. Noha a konkrét módszerek eltérőek lehetnek, itt egy általános áttekintés a zsarolóvírusok általános telepítéséről:
Adathalász e-mailek: Az egyik gyakori módszer az adathalász e-mailek, amelyek során a támadók megtévesztő e-maileket küldenek, amelyek jogos entitásnak adják ki magukat, vagy rosszindulatú mellékleteket tartalmaznak. Ezek az e-mailek megtéveszthetik a címzetteket, hogy fertőzött mellékleteket nyissanak meg, vagy rosszindulatú hivatkozásokra kattintsanak, amelyek aztán elindítják a zsarolóprogram letöltését.
Kizsákmányoló készletek: A kiberbűnözők kihasználhatják a szoftverek, operációs rendszerek vagy webböngészők sebezhetőségeit, hogy zsarolóprogramokat küldjenek el. Kizsákmányoló készleteket használnak, amelyek olyan automatizált eszközök, amelyek képesek azonosítani és kihasználni a biztonsági gyengeségeket, lehetővé téve a zsarolóprogramok csendben történő letöltését és végrehajtását az áldozat rendszerén.
Rosszindulatú hirdetések: A rosszindulatú hirdetéseket, más néven rosszindulatú hirdetéseket legitim webhelyekre vagy hirdetési hálózatokra lehet bevinni. Amikor a felhasználók ezekre a hirdetésekre kattintanak, tudtukon kívül ransomware letöltését és végrehajtását indíthatják el.
Távoli asztali protokoll (RDP) támadások: A támadók olyan rendszereket célozhatnak meg, amelyeknek a Remote Desktop Protocol konfigurációja gyenge vagy veszélyeztetett. Azáltal, hogy jogosulatlanul hozzáférnek az áldozat rendszeréhez, manuálisan telepíthetnek és futtathatnak ransomware-t.
Szoftver sebezhetőségei: A Ransomware fejlesztői gyakran használják ki a gyakran használt szoftverek biztonsági réseit. Ha a felhasználó nem frissíti azonnal a szoftverét, akkor rendszere ki van téve ezeknek a sebezhetőségeknek, ami lehetővé teszi a zsarolóprogramok telepítését.
Drive-by letöltések: Rosszindulatú kódokat lehet bevinni a feltört vagy rosszindulatú webhelyekre. Amikor a felhasználók meglátogatják ezeket a webhelyeket, a zsarolóprogram letölthető és végrehajtható az ő tudta vagy beleegyezése nélkül.
A zsarolóprogram-fertőzések kockázatának csökkentése érdekében kulcsfontosságú, hogy az egyének és a szervezetek olyan szilárd biztonsági intézkedéseket hajtsanak végre, mint például a szoftverek rendszeres frissítése, erős jelszavak használata, e-mail-szűrőrendszerek alkalmazása, valamint a felhasználók oktatása a biztonságos online gyakorlatokról.
