A Cash Ransomware leállítása és eltávolítása

A kiberfenyegetettség egy újabb fenyegetést jelentett, a Cash Ransomware néven ismert. Ez a rosszindulatú program, amelyet a Cash RAT (Remote Access Trojan) és a MintStealer mögött ugyanaz a fenyegető szereplő fejlesztett ki, az adatok titkosítására és a visszafejtésért való fizetés követelésére szolgál. A Cash Ransomware „.CashRansomware” kiterjesztéssel fűzi hozzá a titkosított fájlok fájlnevét, az „1.jpg”-t „1.jpg.CashRansomware”-vé, a „2.png”-t pedig „2.png.CashRansomware”-vé alakítja.

Ransom Note Részletek

A Cash Ransomware három váltságdíjat hoz létre: egy asztali háttérképet, egy felugró ablakot és egy „Cash Ransomware.html” nevű HTML-fájlt. Ezek a megjegyzések, bár megjelenésükben eltérőek, ugyanazt a kritikus információt közölnek:

• Értesítés arról, hogy a fájlok titkosítva lettek.
• Váltságdíjat követel az adatok visszafejtése érdekében.
• Figyelmeztetések az adatok helyreállítását akadályozó műveletekre.

Az üzenetek azt jelzik, hogy a fájlok titkosítása XChaCha20, Poly1305 és AES-256-GCM kriptográfiai algoritmusokkal történt. Az áldozatokat arra utasítják, hogy fizessenek 80 USD-t Monero (XMR) kriptovalutában a visszafejtésért. Ezenkívül a megjegyzések figyelmeztetnek az eszköz újraindítására vagy víruskereső programok futtatására, mivel ezek a műveletek végleg visszafejthetetlenné tehetik a fájlokat. A hálózatról való leválasztás szintén nem ajánlott, mivel akadályozhatja a tárgyalásokat és a helyreállítási erőfeszítéseket.

A Cash Ransomware megjegyzése így szól:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Cash Ransomware elemzés

A ransomware fertőzések kutatása során szerzett kiterjedt tapasztalat alapján nyilvánvaló, hogy a visszafejtés a támadók közreműködése nélkül ritkán lehetséges. A váltságdíj kifizetése nem garantálja az adatok helyreállítását, mivel a kiberbűnözők gyakran még azután sem adják meg a visszafejtési kulcsot, hogy teljesítették követeléseiket. Ezért erősen nem tanácsos a váltságdíj követeléseinek teljesítése, mivel az csak bűnözői tevékenységeket szít.

Érdekes módon a Cash Ransomware által követelt váltságdíj viszonylag alacsony, ami gyanús. A zsarolóvírusok általában három-négy számjegyű (USD-ban) összegeket követelnek az otthoni felhasználóktól. Ha a váltságdíj szokatlanul alacsony, előfordulhat, hogy a támadók nem vesznek fáradságot azzal, hogy helyreállítási eszközöket küldjenek az áldozatoknak, ami arra utalhat, hogy a zsarolóprogram bevételszerzésre vagy új szoftverek/technikák tesztelésére használható.

Enyhítés és megelőzés

A további titkosítás elkerülése érdekében a Cash Ransomware-t el kell távolítani az operációs rendszerből. Ez azonban nem állítja vissza a már érintett fájlokat. A helyreállítás csak biztonsági másolatból lehetséges, ezzel is hangsúlyozva a biztonsági mentések több helyen (pl. távoli szervereken, leválasztott tárolóeszközökön) történő fenntartásának fontosságát.

Figyelemre méltó Ransomware példák

A LockBit 5, a Risen, a Cronus, a Lynx és a HorrorDead a ransomware legújabb példái, amelyek mindegyike hasonlóan működik, titkosítja az adatokat, és fizetést követel a visszafejtésért. A zsarolóprogramok elsősorban a használt kriptográfiai algoritmusokban (szimmetrikus vagy aszimmetrikus) és a váltságdíj nagyságában különböznek egymástól, ami a célponttól (otthoni felhasználók és nagyvállalatok, például vállalatok és szervezetek) függően változik.

Fertőzés vektorok

A Cash Ransomware-t RaaS (Ransomware-as-a-Service) néven kínálják, ami azt jelenti, hogy fejlesztői kiberbűnözőknek adják el. Következésképpen a proliferációs módszer változhat. Általában a rosszindulatú programokat adathalász és közösségi manipulációs taktikák révén terjesztik, gyakran legitim tartalomnak álcázva vagy azzal együtt. A rosszindulatú fájlok lehetnek végrehajtható fájlok, archívumok, dokumentumok, JavaScript stb., és a letöltési/telepítési lánc a fertőzött fájl megnyitásakor indul el.

A rosszindulatú programok gyakori terjesztési technikái a következők:

• Loader/backdoor típusú trójaiak.
• Drive-by letöltések.
• Kétes letöltési források (pl. ingyenes oldalak, P2P hálózatok).
• Rosszindulatú mellékletek/linkek a spam levelekben.
• Online csalások.
• Illegális szoftveraktiváló ("cracking") eszközök.
• Hamis frissítések.

Ezenkívül egyes rosszindulatú programok önmagukban is terjedhetnek a helyi hálózatokon és cserélhető tárolóeszközökön keresztül.

Védelmi intézkedések

A ransomware fertőzések elleni védelem érdekében:

• Csak hivatalos és ellenőrzött csatornákról töltsd le.
• Programok aktiválása és frissítése eredeti funkciók/eszközök használatával.
• Óvatosan kezelje a bejövő e-maileket és üzeneteket.
• Kerülje a gyanús mellékletek vagy hivatkozások megnyitását.
• Legyen éber böngészés közben, hogy elkerülje a csalárd tartalmat.
• Telepítse és rendszeresen frissítse a jó hírű víruskereső szoftvereket.
• Végezzen rendszeres rendszerellenőrzést a fenyegetések észleléséhez és eltávolításához.

Ha a számítógépe Cash Ransomware vírussal fertőzött, javasoljuk, hogy futtasson le egy ellenőrzést egy kártevőirtó programmal a fenyegetés automatikus megszüntetése érdekében. Maradjon biztonságban, és óvja adatait a bevált gyakorlatok betartásával.