A Carver Ransomware egy Phobos klón
A Carver ransomware egy rosszindulatú program, amely a Phobos ransomware családhoz tartozik, és amelyet arra terveztek, hogy titkosítsa az adatokat, és váltságdíjat kérjen a visszafejtésért. Miután egy mintát futtatott a Carver egy tesztgépen, titkosította a fájlokat úgy, hogy a fájlnevüket egyedi azonosítóval, a számítógépes bűnözők e-mail címével és egy „.Carver” kiterjesztéssel módosította. Például egy eredetileg "1.jpg" nevű fájl "1.jpg.id[9ECFA84E-3455][ineedatool@rape.lol].Carver" néven jelent meg.
A titkosítási folyamat befejezése után a Carver ransomware két váltságdíj-feljegyzést készített, az „info.hta” (felugró ablak) és az „info.txt” címet. A szöveges fájl tájékoztatja az áldozatokat arról, hogy adataikat titkosították, és felszólítja őket, hogy lépjenek kapcsolatba a támadókkal. A felugró ablakban látható üzenet világossá teszi, hogy a visszafejtési folyamathoz Bitcoin kriptovaluta váltságdíj fizetésére van szükség. A váltságdíj összegét a feljegyzés nem határozza meg, de állítólag attól függ, milyen gyorsan lépnek kapcsolatba az áldozatok a támadásért felelős internetes bűnözőkkel. A váltságdíj kifizetése előtt az áldozatok ingyenesen tesztelhetik a visszafejtést (bizonyos előírásokon belül).
Az üzenet egy figyelmeztetéssel zárul, hogy ne nevezze át a titkosított fájlokat és ne használjon harmadik féltől származó visszafejtő eszközöket, mivel ez visszafejthetetlenné teheti az adatokat.
A Carver Ransom Note a szokásos Phobos mintát másolja
A Carver ransomware által készített teljes váltságdíj a szokásos Phobos sablont használja, és a következőképpen szól:
Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk az ineedatool@rape.lol e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.
Hogyan kerülhet a Carverhez hasonló Ransomware a rendszerére?
A zsarolóprogramok, mint például a Carver, különféle módszerekkel megfertőzhetik a rendszert. Néhány gyakori módszer:
Adathalász e-mailek: A kiberbűnözők adathalász e-maileket küldhetnek rosszindulatú mellékletekkel vagy hivatkozásokkal. Miután letöltötte és megnyitotta a mellékletet, vagy rákattintott a hivatkozásra, előfordulhat, hogy a ransomware letöltődik a rendszerére.
Rosszindulatú webhelyek: A nem megbízható vagy rosszindulatú webhelyek látogatása zsarolóprogramok letöltését is eredményezheti a rendszerére. A rosszindulatú programok a szoftver sebezhetőségén keresztül vagy hamis szoftverfrissítés letöltésére és telepítésére csalva települhetnek.
Sebezhető szoftverek: A Ransomware kihasználhatja a nem frissített vagy nem javított szoftverek sebezhetőségeit. A támadók elavult szoftvereken, például operációs rendszereken, böngészőkön és bővítményeken keresztül férhetnek hozzá a rendszeréhez.
Nem biztonságos RDP: A Remote Desktop Protocol (RDP) gyakori célpont a támadók számára. Ha a rendszeren engedélyezve van az RDP, és nincs biztonságos jelszavakkal vagy kétfaktoros hitelesítéssel, a támadók könnyen hozzáférhetnek a rendszerhez.
A ransomware támadások megelőzése érdekében elengedhetetlen, hogy rendszerét és szoftverét naprakészen tartsa, erős és egyedi jelszavakat használjon, és legyen óvatos az e-mail mellékletek megnyitása vagy a hivatkozásokra való kattintás során. Javasoljuk továbbá, hogy jó hírű víruskereső szoftvert használjon, és rendszeresen készítsen biztonsági másolatot adatairól.