Backoff Ransomware megváltoztatja a rendszer háttérképét

Kutatócsoportunk új fájlminták vizsgálata során azonosította a Backoff ransomware-t. Ez a rosszindulatú szoftver a Chaos ransomware család része, egy olyan típusú rosszindulatú program, amely az adatok titkosításáról és a visszafejtésért váltságdíjat követel.

A Backoff titkosítja a fájlokat, és ".backoff" kiterjesztést ad a nevükhöz. Például egy eredeti "1.jpg" nevű fájlból "1.jpg.backoff" lett, a "2.png" pedig "2.png.backoff"-ra és így tovább. Ezenkívül a ransomware megváltoztatja az asztal háttérképét, és létrehoz egy "read_it.txt" nevű váltságdíjat.

Backoff üzenete szerint a ransomware-t állítólag tesztelési célból adták ki. Nevezetesen, a jegyzet nem tartalmaz utasításokat a visszafejtéshez vagy a váltságdíj fizetéséhez, de megadja a támadók elérhetőségét. A feljegyzés azt sugallja, hogy a ransomware szerzője tudja, hogy a zsarolóprogramot egy tesztágy rendszeren belül fogják megvizsgálni, így valószínűleg ez egy nagyon korai verzió, amely még mindig aktív fejlesztés alatt áll.

Backoff Ransom Note röviden tartja

A Backoff által készített nagyon rövid váltságdíj teljes szövege a következő:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

Hogyan terjedhet a Ransomware az interneten keresztül?

A zsarolóvírusok különféle módszerekkel terjedhetnek az interneten, kihasználva a sebezhetőségeket és az emberi viselkedést. Íme néhány gyakori módszer:

Adathalász e-mailek: A kiberbűnözők gyakran használnak adathalász e-maileket zsarolóprogramok terjesztésére. Ezek az e-mailek rosszindulatú mellékleteket vagy linkeket tartalmaznak, amelyekre kattintva letöltheti és végrehajthatja a zsarolóprogramot az áldozat rendszerén.

Rosszindulatú webhelyek és letöltések: A feltört vagy rosszindulatú webhelyek felkeresése a felhasználókat futólagos letöltéseknek teheti ki, ahol a rosszindulatú programok, beleértve a zsarolóprogramokat is, automatikusan letöltődnek és a felhasználó tudta nélkül végrehajtódnak a felhasználó számítógépén.

Kizsákmányoló készletek: A kiberbűnözők olyan kihasználó készleteket használhatnak, amelyek a szoftverek és operációs rendszerek sebezhetőségeit célozzák meg. Ha a felhasználó rendszere nincs megfelelően javítva vagy frissítve, ezek a készletek a sérülékenységeket kihasználva zsarolóvírust telepíthetnek.

Rosszindulatú reklámozás: A rosszindulatú reklámozás magában foglalja a rosszindulatú kód elhelyezését az online hirdetésekben. Azok a felhasználók, akik ezekre a hirdetésekre kattintanak, tudtukon kívül ransomware-t tölthetnek le rendszerükre.

Drive-by-letöltések: A zsarolóprogramok indítási letöltéseken keresztül is szállíthatók, ahol a rosszindulatú programok automatikusan letöltődnek és települnek, amikor a felhasználó feltört vagy rosszindulatú webhelyet keres fel. Ez megtörténhet anélkül, hogy a felhasználónak bármilyen teendője lenne.

Remote Desktop Protocol (RDP) kihasználása: A támadók kihasználhatják a Remote Desktop Protocol (RDP) biztonsági réseit, hogy jogosulatlan hozzáférést szerezzenek a rendszerhez. Ha bejutottak, telepíthetik a zsarolóprogramokat.

Social Engineering: A kiberbűnözők social engineering technikákat alkalmaznak, hogy rávegyék az egyéneket rosszindulatú fájlok letöltésére vagy linkekre kattintva. Ez történhet hamis szoftverfrissítésekkel, hamis értesítésekkel vagy csábító ajánlatokkal.

Watering Hole Attacks: Az akvárium elleni támadások során a kiberbûnözõk feltörik a célközönség által gyakran látogatott webhelyeket. Amikor a felhasználók felkeresik ezeket a feltört webhelyeket, tudtukon kívül letölthetnek zsarolóprogramot.