Az EXISC Ransomware vállalatokat és vállalkozásokat céloz meg

A VirusTotal webhelyen található új beadványok vizsgálata során egy EXISC nevű ransomware programra bukkantunk. Elsődleges célja az adatok titkosítása és a visszafejtésért cserébe fizetés követelése.

Amikor tesztelőrendszerünkön végrehajtottuk az EXISC mintát, azt tapasztaltuk, hogy az sikeresen titkosította a fájlokat, és ".EXISC" kiterjesztést fűzött az eredeti fájlnevekhez. Például egy „1.jpg” nevű fájl „1.jpg.EXISC”-re, míg a „2.png” „2.png.EXISC”-re, és így tovább.

A titkosítási folyamatot követően az EXISC váltságdíjat generált "Kérjük, lépjen velünk kapcsolatba a Restore.txt fájl helyreállításához" címmel. Az üzenet tartalmából nyilvánvalóvá vált, hogy a ransomware elsősorban nagy szervezeteket céloz meg, nem pedig egyéni otthoni felhasználókat.

A váltságdíj azt jelzi az áldozatnak, hogy cégük hálózatát feltörték. A kár mértéke a következőképpen vázolható: a fájlokat titkosították, érzékeny vagy bizalmas adatokat loptak el.

A feljegyzés szerint az áldozatnak váltságdíjat kell fizetnie, hogy visszaszerezze a hozzáférést fájljaihoz, és megakadályozza, hogy a kiszivárgott tartalom kiszivárogjon. Bár a váltságdíj pontos összege nincs meghatározva, kifejezetten megemlítik, hogy a fizetést Bitcoin vagy Monero kriptovalutában kell végrehajtani.

Ezenkívül a megjegyzés azt sugallja, hogy bizonyos számú fájl elküldhető teszt-visszafejtésre. Ennek bizonyítékként kell szolgálnia az áldozat számára, hogy az adatok helyreállítása valóban lehetséges.

Az EXISC Ransom Note Toxon keresztüli kapcsolatfelvételre számít

Az EXISC váltságdíj teljes szövege a következő:

Üdvözöljük! Cége számítógépét én titkosítottam, az adatbázist és az adatokat letöltöttem. Ha nem akarja, hogy nyilvánosságra hozzam ezeket az anyagokat, váltságdíjat kell fizetnie nekem. A váltságdíj kézhezvétele után törölni fogok minden letöltött fájlt, és segítek visszafejteni számítógépe titkosítását, ellenkező esetben, ha ezt megtesszük, nyilvánosságra hozzuk ezeket az anyagokat, és cége soha nem látott következményekkel fog szembenézni.

Csak pénzért dolgozunk, és nem romboljuk le a hálózatát, és nagyon őszinték vagyunk. A váltságdíj beérkezése után tájékoztatást adunk rendszere sebezhetőségéről is, hogy segítsünk a sérülékenység kijavításában az újbóli támadások elkerülése érdekében.

Ha kételkedik abban, hogy képesek vagyunk-e visszafejteni a fájlokat, küldjön nekem néhány titkosított fájlt, és én visszafejtem őket ennek bizonyítására.

Kérjük, fizesse ki a váltságdíjat Bitcoinban vagy Moneróban.

Kérjük, használja a TOX-ot, ha kapcsolatba szeretne lépni velem, vagy e-mailt küld nekem.

E-mail: HonestEcoZ@dnmx.org

TOX ID:(alfanumerikus karakterlánc)
TOX letöltés: hxxps://tox.chat/download.html

Melyek a Ransomware leggyakoribb fertőzési vektorai, mint az EXISC?

Az olyan zsarolóvírusok, mint az EXISC, különféle fertőzési vektorokat alkalmaznak a rendszerekbe és hálózatokba való beszivárgáshoz. Íme néhány a ransomware által használt leggyakoribb fertőzési vektorok közül:

• Adathalász e-mailek: Az adathalász e-mailek továbbra is a zsarolóvírusok terjesztésének elterjedt módja. A kiberbűnözők meggyőző e-maileket készítenek, amelyek legitimnek tűnnek, és gyakran megbízható entitásokat vagy személyeket adnak ki. Ezek az e-mailek rosszindulatú mellékleteket vagy beágyazott hivatkozásokat tartalmaznak, amelyekre kattintva vagy megnyitva elindítják a zsarolóvírus fertőzési folyamatot.
• Rosszindulatú letöltések és mellékletek: A Ransomware véletlenül letölthető rosszindulatú webhelyekről vagy fertőzött fájlmellékleteken keresztül. Ez akkor fordulhat elő, amikor a felhasználók feltört webhelyeket keresnek fel, vagy olyan e-mail-mellékleteket nyitnak meg, amelyek végrehajtható fájlokat, makrókat vagy parancsfájl-alapú fájlokat tartalmaznak.
• Exploit Kits: A kizsákmányoló készletek olyan rosszindulatú eszközök, amelyek kihasználják a webböngészőkben, beépülő modulokban vagy operációs rendszerekben található szoftversérülékenységeket. E sebezhetőségek kihasználásával a zsarolóprogramok csendben eljuthatnak az áldozat rendszeréhez, amikor felkeresnek egy feltört webhelyet, vagy rákattintnak egy rosszindulatú hirdetésre.
• Távoli asztali protokoll (RDP) támadások: A zsarolóvírus-operátorok gyakran olyan rendszereket céloznak meg, amelyeknek nyílt vagy gyengén védett távoli asztali protokoll kapcsolatai vannak. Brute-force technikákat alkalmaznak, hogy jogosulatlan hozzáférést szerezzenek, és telepítsék a ransomware-t.
• Szoftveres sebezhetőségek: A Ransomware kihasználhatja a javítatlan vagy elavult szoftversebezhetőségeket, hogy behatoljon a rendszerekbe. Ide tartoznak az operációs rendszerek, alkalmazások vagy hálózati szolgáltatások sebezhetőségei, amelyek lehetővé teszik a ransomware számára, hogy jogosulatlan hozzáférést kapjon, és végrehajtsa a rakományt.
• Rosszindulatú reklámozás: A rosszindulatú hirdetések vagy rosszindulatú hirdetések legitim webhelyeken vagy hirdetési hálózatokon találhatók. Ezek a hirdetések rejtett szkripteket tartalmaznak, amelyek átirányítják a felhasználókat a ransomware-t tároló rosszindulatú webhelyekre, vagy elindítják a zsarolóprogramok rakományának automatikus letöltését.
• Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, ha a zsarolóprogramokat a rendszer automatikusan letölti a felhasználó beleegyezése vagy beavatkozása nélkül, jellemzően feltört webhelyekről. Ezek a webhelyek olyan rosszindulatú kódot tartalmaznak, amely kihasználja a felhasználó webböngészőjének vagy bővítményeinek sebezhetőségét, lehetővé téve a zsarolóprogramok hangtalan eljuttatását.