Az AttackFiles Ransomware a MedusaLocker családhoz tartozik

Az új fájlok vizsgálata során kutatócsoportunk az AttackFiles rosszindulatú programra bukkant, amely a MedusaLocker ransomware családhoz kapcsolódik. Az ilyen típusú szoftvereket fájlok titkosítására tervezték, és váltságdíjat követelnek a visszafejtésükért.

Amikor végrehajtottunk egy mintát az AttackFiles-ből a tesztelési környezetünkben, az titkosította a fájlokat, és hozzáfűzte a nevükhöz az „.attackfiles” kiterjesztést. Például egy "1.jpg" nevű fájl "1.jpg.attackfiles" lesz, a "2.png" pedig "2.png.attackfiles" lesz, és így tovább.

A titkosítási folyamat befejezése után ez a zsarolóprogram egy váltságdíjat generált "How_to_back_files.html" címmel. A megjegyzés a fertőzött rendszert "vállalati hálózatnak" nevezi, jelezve, hogy a célpontok nem egyéni otthoni felhasználók. A váltságdíj üzenetében az AttackFiles azt állítja, hogy az áldozat vállalati hálózatát feltörték, a fájlokat RSA és AES kriptográfiai algoritmusokkal titkosították, valamint bizalmas és személyes adatokat is elloptak.

A titkosított fájlok visszaszerzéséhez az áldozatot váltságdíj fizetésére utasítják. Ha az áldozat nem hajlandó megfelelni, az ellopott tartalmat vagy kiszivárogtatják, vagy eladják. A váltságdíj követeléseinek teljesítése előtt a visszafejtési képesség 2-3 fájlon ingyenesen tesztelhető. A megjegyzés figyelmeztet az olyan műveletekre is, amelyek végleges adatvesztést okozhatnak.

Az AttackFiles Ransom Note teljes terjedelmében

Az AttackFiles váltságdíjról szóló feljegyzés teljes szövege a következő:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Általában hogyan terjesztik a Ransomware-t online?

A Ransomware-t általában különféle módszerekkel terjesztik online, többek között:

Adathalász e-mailek: A támadók rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó e-maileket küldenek, amelyek legitim üzenetnek álcázzák őket megbízható forrásokból, például bankokból, szállítmányozási társaságokból vagy kormányzati szervekből. A melléklet megnyitása vagy a hivatkozásra való kattintás után a zsarolóprogram letöltődik az áldozat rendszerére.

Rosszindulatú hirdetések: A törvényes webhelyeken megjelenő rosszindulatú hirdetések (rosszindulatú hirdetések) tartalmazhatnak olyan szkripteket, amelyek átirányítják a felhasználókat ransomware-t tároló webhelyekre, vagy közvetlenül a felhasználó tudta nélkül töltenek le zsarolóprogramot a felhasználó eszközére.

Exploit Kits: Ezek előre csomagolt szoftvercsomagok, amelyek különféle kihasználásokat tartalmaznak, amelyek az elavult szoftverek vagy operációs rendszerek sebezhetőségeit célozzák meg. Amikor egy felhasználó meglátogat egy feltört webhelyet, a kizsákmányoló készlet átvizsgálja a rendszert a sebezhetőségekért, és zsarolóprogramokat szállít.

Távoli asztali protokoll (RDP) támadások: A támadók az RDP-szolgáltatások gyenge vagy alapértelmezett jelszavait használják ki, hogy jogosulatlan hozzáférést kapjanak a rendszerekhez. A bejutást követően közvetlenül a hálózatra telepítik a ransomware-t.

Drive-by Downloads: Ez akkor fordul elő, ha a felhasználó feltört vagy rosszindulatú webhelyet keres fel, és a rendszer automatikusan letölti és telepíti a rosszindulatú programokat a beleegyezése vagy tudta nélkül.

Peer-to-Peer (P2P) fájlmegosztás: A Ransomware kalózszoftvereken, játékokon vagy P2P hálózatokon megosztott médiafájlokon keresztül terjeszthető. A támadók törvényes fájlokként álcázhatják a zsarolóprogramokat, hogy rávegyék a felhasználókat azok letöltésére és végrehajtására.

Rosszindulatú linkek a csevegőalkalmazásokban és a közösségi médiában: A támadók zsarolóprogramokat terjeszthetnek csevegőalkalmazásokban vagy közösségi médiaplatformokon megosztott linkeken keresztül, csábító üzenetekkel vagy ajánlatokkal rábírva a felhasználókat, hogy kattintsanak rájuk.

Watering Hole Attacks: Ezzel a módszerrel a támadók feltörik a célközönségük által gyakran látogatott webhelyeket. Amikor a felhasználók felkeresik ezeket a feltört webhelyeket, tudtukon kívül ki vannak téve a ransomware-nek.

Ez csak néhány példa arra, hogyan lehet ransomware-t terjeszteni online. A támadók folyamatosan fejlesztik taktikájukat, hogy megkerüljék a biztonsági intézkedéseket és kihasználják a sebezhetőségeket, így a felhasználók és a szervezetek számára létfontosságú az éberség és a robusztus kiberbiztonsági gyakorlatok alkalmazása.