Az Allahu Akbar Ransomware valószínűleg tesztkiadás
Az Allahu Akbar néven ismert zsarolóprogram-változatot kutatócsoportunk az újonnan benyújtott kártevő-minták vizsgálata során azonosította. Ez a rosszindulatú szoftver úgy működik, hogy titkosítja az adatokat, majd a visszafejtési kulcsért cserébe fizetést követel.
Kísérleti környezetünkben az Allahu Akbar ransomware hajtotta végre a fájlok titkosítását és módosította a fájlnevüket. Konkrétan ".allahuakbar" kiterjesztést adott az eredeti fájlnevekhez. Például egy „1.jpg” nevű fájl „1.jpg.allahuakbar”-ra, a „2.png” pedig „2.png.allahuakbar”-ra és így tovább.
A titkosítási eljárás befejezése után váltságdíj-jegyzet jött létre "how_to_decrypt.txt" néven. A megjegyzés tartalma arra utal, hogy a zsarolóprogram valószínűleg még fejlesztés alatt áll. A feljegyzés tájékoztatja az áldozatot fájljaik titkosításáról, és biztosítja, hogy a támadók rendelkeznek a zárolt adatok visszaállításához szükséges eszközökkel. Képességük demonstrálására az áldozatnak lehetőséget kínálnak arra, hogy ingyenesen tesztelje a visszafejtési folyamatot három fájlon.
A visszafejtés folytatásához az áldozatot arra utasítják, hogy váltságdíjat fizessen a Bitcoin kriptovaluta használatával. A megjegyzés útmutatást ad a fizetés kezdeményezéséhez, de a megadott elérhetőségek érvénytelenek. Ez arra utal, hogy az Allahu Akbar zsarolóvírus még mindig fejlesztés alatt áll.
Az Allahu Akbar Ransom Note helyőrző elérhetőséget használ
Az Allahu Akbar váltságdíj teljes szövege a következő:
Minden fájlja titkosítva van.
Mivel Önt nem érdekli a biztonság, mi, az Allahu Akbar Team segítünk a biztonságos tárolásban.
Elküldheti 3 titkosított fájlját, és mi ingyenesen visszafejtjük.
A fájlok visszafejtéséhez kövesse az alábbi lépéseket:
1) Írjon e-mailünkre: test@test.com (Ha 24 órán belül nem érkezik válasz, ellenőrizze a spam mappát
vagy írjon nekünk erre az e-mail címre: test2@test.com)2) Szerezzen be Bitcoint (Bitcoinban kell fizetni a visszafejtésért.
Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.)
Hogyan terjesztik az Allahu Akbarhoz hasonló Ransomware-t általában online?
A zsarolóprogramok terjesztése, beleértve az olyan változatokat, mint az "Allahu Akbar", általában különféle taktikákat és technikákat foglal magában, amelyek kihasználják a sebezhetőségeket, az emberi viselkedést és a biztonsági gyengeségeket. Szeretném azonban tisztázni, hogy az "Allahu Akbar" kifejezés az iszlám imákban használatos kifejezés, és nem feltétlenül áll közvetlen kapcsolatban a ransomware terjesztésével. Fontos, hogy ne hozzunk létre indokolatlan asszociációkat a szakkifejezések és a kulturális vagy vallási kifejezések között.
A zsarolóprogramokat általában a következő módszerekkel terjesztik:
- Adathalász e-mailek: A támadók gyakran küldenek jogosnak tűnő e-maileket, amelyek rosszindulatú mellékleteket vagy linkeket tartalmaznak. Ezek az e-mailek jól ismert cégeknek, bankoknak vagy kormányzati szervezeteknek adják ki magukat, és rávehetik a címzetteket, hogy nyissa meg a mellékletet vagy kattintson a linkre. Ha rákattint, a zsarolóprogramok terhelése végrehajtódik.
- Rosszindulatú linkek: A kiberbűnözők e-mailekben, közösségi médián vagy üzenetküldő platformokon keresztül küldhetnek linkeket, amelyek fertőzött webhelyekre vagy letöltésekre vezetnek. Ezek a linkek ártalmatlan URL-eknek álcázhatják magukat, de végül eljuttatják a zsarolóprogramot az áldozat eszközére.
- Rosszindulatú hirdetések: rosszindulatú hirdetéseket lehet bevinni legitim webhelyekre. Ha ezekre a hirdetésekre kattintunk, az átvezető letöltésekhez vezethet, ahol a zsarolóprogram csendben letöltődik és az áldozat tudta nélkül végrehajtódik az áldozat rendszerén.
- Exploit Kits: Ezek olyan rosszindulatú eszközkészletek, amelyek a szoftveralkalmazások ismert sebezhetőségeit célozzák meg. Ha a felhasználó szoftvere nem naprakész, egy fertőzött webhely felkeresése zsarolóprogramok automatikus letöltéséhez és telepítéséhez vezethet.
- Távoli asztali protokoll (RDP) támadások: A támadók kihasználják az RDP gyenge vagy veszélyeztetett hitelesítő adatait, hogy illetéktelenül hozzáférjenek az áldozat rendszeréhez. A bejutást követően zsarolóvírust telepítenek.
- Szoftvercsomagolás: Egyes ransomware-ek látszólag legitim szoftverekkel vagy letöltésekkel vannak csomagolva. Azok a felhasználók, akik tudtukon kívül letöltenek és telepítenek ilyen szoftvert, szintén telepítik a zsarolóprogramot.
- Drive-by-letöltések: Egyszerűen egy feltört webhely meglátogatása elindíthatja a zsarolóprogramok automatikus letöltését és végrehajtását a felhasználó böngészőjének vagy bővítményeinek biztonsági résein keresztül.
- USB és cserélhető adathordozó: A támadók megfertőzhetik az USB-meghajtókat vagy más cserélhető adathordozókat zsarolóvírussal. Amikor a fertőzött adathordozót egy számítógéphez csatlakoztatják, a zsarolóvírus terjed.