A Deep Ransomware lezárja a rendszert
A legutóbbi fájlok áttekintése során kutatóink egy Deep néven ismert ransomware programra bukkantak, amely a Phobos ransomware családhoz tartozik. A Deep (Phobos) úgy működik, hogy titkosítja az adatokat, majd fizetést követel a visszafejtési kulcsért cserébe.
Tesztrendszerünkön ez a zsarolóprogram titkosította a fájlokat, és módosította a nevüket. Az eredeti fájlneveket az áldozathoz rendelt egyedi azonosítóval, a kiberbűnözők e-mail címével és egy ".deep" kiterjesztéssel bővítették. Példaként az eredetileg „1.jpg” nevű fájl „1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep” formátumban jelenik meg.
A titkosítási folyamat befejezése után váltságdíj-jegyzetek jöttek létre, és megjelentek egy „info.hta” feliratú felugró ablakban és egy „info.txt” nevű szövegfájlban.
A Deep (Phobos) ransomware-hez társított szövegfájl azt állítja, hogy az áldozat fájljait titkosították, és arra kéri őket, hogy lépjenek kapcsolatba a támadókkal a visszafejtési segítségért.
A felugró ablak további információkat tartalmaz a ransomware fertőzésről, elmagyarázva, hogy az adatok helyreállítása csak Bitcoin kriptovalutában történő váltságdíj fizetésével érhető el. A fizetés előtt az áldozatnak lehetősége van tesztelni a visszafejtési folyamatot úgy, hogy bizonyos előírásoknak megfelelően legfeljebb három titkosított fájlt küld a kiberbűnözőknek.
A megjegyzést figyelmeztetések zárják a titkosított fájlok átnevezésével vagy harmadik féltől származó helyreállítási szoftver használatának megkísérlésével szemben, mivel ez végleges adatvesztéshez vezethet. Ezen túlmenően, ha harmadik féltől kér segítséget, az anyagi veszteségek növekedéséhez vezethet.
A Deep Ransomware Note Phobos sablont használ
A Deep ransomware által generált váltságdíj teljes szövege a következő:
Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a captain-america@tuta.io e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
Ha nem kap választ 24 órán belül, kérjük, vegye fel velünk a kapcsolatot a Telegram.org fiókon keresztül: @HostUppp
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.
Hogyan kerülhet a rendszerébe a Ransomware, mint a Deep?
Az olyan zsarolóvírusok, mint a Deep, különféle módon beszivároghatnak a rendszerbe, gyakran kihasználva a sebezhetőségeket vagy szociális tervezési taktikákat alkalmazva. Íme néhány gyakori módja annak, hogy a zsarolóvírusok a rendszerére kerüljenek:
- Adathalász e-mailek: A kiberbűnözők meggyőző, de rosszindulatú e-maileket küldenek, amelyek úgy tűnik, megbízható forrásból származnak. Ezek az e-mailek mellékleteket vagy linkeket tartalmazhatnak, amelyek megnyitásakor végrehajtják a ransomware kódot a rendszeren.
- Rosszindulatú webhelyek: A feltört vagy rosszindulatú webhelyek látogatása gyors letöltéseket indíthat el, ahol a zsarolóprogramok automatikusan letöltődnek és az Ön tudta nélkül végrehajtódnak a rendszeren.
- Fertőzött szoftverek vagy fájlok: Nem megbízható forrásból származó szoftverek vagy fájlok letöltése, különösen kalóz vagy feltört szoftverek, növeli a zsarolóvírus-fertőzés kockázatát. Ezek a fájlok rejtett rosszindulatú programokat tartalmazhatnak.
- A sérülékenységek kihasználása: A Ransomware kihasználhatja az operációs rendszer vagy az alkalmazások szoftveres sebezhetőségeit. A szoftver frissítésének és a biztonsági javítások telepítésének elmulasztása esetén a rendszer ki van téve az ilyen támadásoknak.
- Távoli asztali protokoll (RDP) támadások: Ha az RDP engedélyezve van, és gyenge vagy könnyen kitalálható jelszavakat használ, a támadók távolról hozzáférhetnek a rendszerhez, és zsarolóprogramokat telepíthetnek.
- Rosszindulatú hirdetések: A kiberbűnözők rosszindulatú hirdetéseket helyezhetnek el legitim webhelyeken. Ha ezekre a hirdetésekre kattint, vagy akár csak egy feltört webhelyet keres fel, az ransomware fertőzéshez vezethet.
- Social Engineering: A támadók műszaki támogatási személyzetnek vagy más megbízható személyeknek adják ki magukat, hogy rávegyék Önt zsarolóprogramok letöltésére vagy végrehajtására.
- USB és cserélhető adathordozók: A rosszindulatú programok fertőzött USB-meghajtókon vagy más cserélhető adathordozókon keresztül terjedhetnek. Egy fertőzött eszköz csatlakoztatása zsarolóprogramot juttathat a rendszerbe.