A Bl00dyAdmin Ransomware adatszivárgással fenyeget
Az új rosszindulatú programok mintáinak elemzése során azonosítottuk a zsarolóprogramok egy változatát, a Bl00dyAdmin néven. Ez a rosszindulatú szoftver titkosítja az adatokat, és megváltoztatja a titkosított fájlok nevét a „.CRYPT” kiterjesztéssel. Ezenkívül a Bl00dyAdmin létrehoz egy "Read_instructions_To_Decrypt.txt" nevű fájlt, amely utasításokat tartalmaz a váltságdíj kifizetéséhez.
A Bl00dyAdmin fájl átnevezési mintáját példázza az „1.jpg” „1.jpg.CRYPT”, a „2.png” „2.png.CRYPT” és így tovább átalakítása. A váltságdíjról szóló feljegyzés azt állítja, hogy a szervezet szerverein és az összekapcsolt eszközökön lévő összes fájl titkosítva van, ami potenciális jogsértést vagy hálózati behatolást jelez. A feljegyzés leír egy megoldási folyamatot, amely magában foglalja a visszafejtő szoftver megszerzését a támadóktól. A váltságdíj összege nincs meghatározva, de állítólag 24 óránként 1000 dollárral emelkedik, hangsúlyozva a gyors intézkedés szükségességét 72 órás időkereten belül.
Ezenkívül a jegyzet elérhetőségi információkat tartalmaz e-mailben (bl00dyadmin@dnmx.org) és egy Tox csevegőalkalmazáson keresztül. Tartalmazza a visszafejtő szoftver beszerzésére vonatkozó utasításokat, valamint egy demonstrációs ajánlatot három fájl ingyenes visszafejtésére a hatékonyság ellenőrzése érdekében. A feljegyzés azonban súlyos figyelmeztetéseket is tartalmaz az előírások be nem tartása súlyos következményeire, beleértve az ellopott adatok nyilvánosságra hozatalával való fenyegetést is.
Bl00dyAdmin Ransom Note teljes terjedelmében
A Bl00dyAdmin váltságdíjról szóló értesítés teljes szövege a következő:
Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your serversI keep the breach private only if your cooperate
Hogyan fertőzheti meg a Ransomware a rendszerét?
A zsarolóprogramok különféle módokon megfertőzhetik a rendszert, és a támadók gyakran alkalmaznak kifinomult taktikákat a sebezhetőségek kihasználására. Íme néhány gyakori módszer, amellyel a zsarolóvírusok behatolhatnak a rendszerbe:
Adathalász e-mailek: A támadók gyakran használnak adathalász e-maileket zsarolóvírusok kézbesítésére. Ezek az e-mailek rosszindulatú mellékleteket vagy linkeket tartalmazhatnak, amelyekre kattintva elindítják a zsarolóprogram letöltését és végrehajtását. Az e-mailek legitimnek tűnhetnek, gyakran jó hírű entitásokat adnak ki, és sürgős vagy csábító üzeneteket tartalmazhatnak, amelyek cselekvésre ösztönzik a címzettet.
Rosszindulatú webhelyek: A feltört vagy rosszindulatú webhelyek látogatása zsarolóprogramoknak teheti ki a rendszert. Ez történhet gyorsletöltésekkel, vagy a felhasználók rábírásával olyan ártalmatlannak tűnő tartalomra, amely valójában rosszindulatú rakományt hordoz.
Rosszindulatú reklámozás: A kiberbűnözők feltörhetik az online hirdetési hálózatokat rosszindulatú hirdetések terjesztése érdekében. Azok a felhasználók, akik ezekre a hirdetésekre kattintanak, tudtukon kívül ransomware-t tölthetnek le rendszerükre. Ez a módszer malvertising néven ismert.
Szoftver sebezhetőségeinek kihasználása: A Ransomware kihasználhatja a szoftverek, operációs rendszerek vagy alkalmazások sebezhetőségeit. A kiberbűnözők aktívan keresik és kihasználják a biztonsági hiányosságokat, és ha egy rendszert nem frissítenek azonnal a legújabb biztonsági javításokkal, akkor az érzékeny lesz a zsarolóprogramok támadásaira.
Távoli asztali protokoll (RDP) támadások: Ha a Remote Desktop Services rosszul van konfigurálva vagy gyenge hitelesítési adatokkal vannak biztosítva, a támadók nyers erőt vagy más módszereket alkalmazhatnak az illetéktelen hozzáférés érdekében. A bejutást követően zsarolóprogramokat telepíthetnek a feltört rendszerre vagy hálózatra.
Drive-by Downloads: A zsarolóprogramok indítási letöltéseken keresztül is elérhetők, ahol a rosszindulatú kódok automatikusan letöltésre és végrehajtásra kerülnek, amikor a felhasználó feltört vagy rosszindulatú webhelyet látogat meg, gyakran a felhasználó beavatkozása vagy tudatosítása nélkül.
Fertőzött szoftvertelepítők: A kiberbűnözők feltörhetik a törvényes szoftvertelepítőket, és zsarolóprogramokat juttathatnak beléjük. Azok a felhasználók, akik tudtukon kívül letöltik és telepítik ezeket a fertőzött alkalmazásokat, véletlenül ransomware-t juttathatnak a rendszerükbe.