A Farao Ransomware portugál nyelvű Ransom Note-t tartalmaz
Az új zsarolóvírus-minták vizsgálata során kutatócsoportunk a Farao ransomware-re bukkant, amely úgy tűnik, hogy a Chaos ransomware-ből származik. Ez a rosszindulatú szoftver titkosítja a fájlokat, majd fizetést követel a visszafejtésükért.
Elemzésünk során megfigyeltük, hogy Farao titkosította a fájlokat a tesztrendszerünkön, és négykarakteres kiterjesztést adott a fájlnevükhöz. Például egy "1.jpg" nevű fájl "1.jpg.qigb" lesz, a "2.png" pedig "2.png.0wbb" lesz, és így tovább. A titkosítási folyamat befejezése után egy „LEIA-ME.txt” elnevezésű váltságdíjat generáltunk.
A portugálról nagyjából lefordított váltságdíj-cédula arról tájékoztatja az áldozatot, hogy fájljaikat titkosították és túszul ejtették. 48 órás határidőt szab az áldozatnak a váltságdíj megfizetésére, figyelmeztetve a határidő be nem tartása esetén a végleges adatvesztésre. A követelt váltságdíj 250 BRL (brazil real), amelyet Bitcoin kriptovalutában kell fizetni.
Farao Ransom Note teljes egészében
A Farao által generált rövid váltságdíj teljes szövege a következő:
{TODOS OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS E ROUBADOS}
{VOCE TEM 48 HORAS PRA EFETUAR O VALOR DE 250 REAIS EM CRYPTOMOEDA
ENDERECO DA CARTEIRA ABAIXO}DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}LEMBRANDO QUE OU VOCE PAGA, OU PERDERA TODOS OS SEUS DADDOS E ARQUIVOS, CASO FORMATE SEU COMPUTADOR, SEU SISTEMA OPERACIONAL SERA CORROMPIDO E SEU COMPUTADOR FICARA INULTILIZAVEL
PAGAMENTO EXPIRA EM 48 HORAS
DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}
TELEGRAM CONTATO; @Faraorasoware EVIAR COMPROVANTE PARA ESSE TELEGRAM
Hogyan fertőzheti meg a Faraohoz hasonló zsarolóvírus a számítógépét?
A zsarolóvírusok, mint például a Farao, különféle módon megfertőzhetik számítógépét, többek között:
Adathalász e-mailek: Az egyik gyakori módszer a rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-mailek. Ezek az e-mailek gyakran törvényes entitásokat vagy szolgáltatásokat adnak ki, és ráveszik a felhasználókat, hogy tudtukon kívül töltsék le és hajtsák végre a zsarolóprogramot.
Rosszindulatú webhelyek: Feltört vagy rosszindulatú webhelyek látogatása zsarolóprogramoknak teheti ki számítógépét. Ezek a webhelyek olyan kizsákmányoló készleteket tartalmazhatnak, amelyek csendben letölthetik és az Ön tudta nélkül telepíthetik a zsarolóprogramokat a rendszerére.
A sérülékenységek kihasználása: A Ransomware szoftverek vagy operációs rendszerek biztonsági réseit kihasználva jogosulatlan hozzáférést szerezhet a számítógépéhez. Alapvető fontosságú, hogy szoftverét és operációs rendszerét naprakészen tartsa a legújabb biztonsági javításokkal, hogy csökkentse a kizsákmányolás kockázatát.
Drive-by letöltések: A zsarolóprogramok az Ön beleegyezése nélkül is letölthetők a számítógépére, miközben jogos webhelyeket keres fel, amelyeket feltörtek. Ez az úgynevezett drive-by download, ahol rosszindulatú szkripteket vagy kódokat fecskendeznek be a webhelyre, hogy elindítsák a zsarolóprogramok letöltését és telepítését.
Rosszindulatú hirdetések (rosszindulatú hirdetések): A rosszindulatú hirdetések, más néven rosszindulatú hirdetések, átirányíthatják a felhasználókat ransomware-t tartalmazó webhelyekre, vagy zsarolóprogramok letöltését kezdeményezhetik a rendszerükre, ha rájuk kattintanak.
Cserélhető tárolóeszközök: A Ransomware fertőzött USB-meghajtókon, külső merevlemezeken vagy más cserélhető tárolóeszközökön keresztül terjedhet. Ha egy fertőzött eszközt csatlakoztat a számítógépéhez, a zsarolóvírus átterjedhet a rendszerére.
A Remote Desktop Protocol (RDP) kihasználása: A zsarolóvírus-támadók kihasználhatják a távoli asztali protokoll (RDP) kapcsolatok gyenge vagy alapértelmezett jelszavait, hogy illetéktelenül hozzáférjenek a számítógépekhez, és zsarolóvírusokat telepítsenek.
Számítógépe zsarolóprogram-fertőzésekkel szembeni védelme érdekében kulcsfontosságú, hogy robusztus kiberbiztonsági intézkedéseket hajtson végre, beleértve a jó hírű vírusirtó szoftverek telepítését, az adatok rendszeres biztonsági mentését, az e-mail mellékletek megnyitásakor vagy a hivatkozásokra való kattintáskor, a szoftver naprakészen tartását, valamint az erős, egyedi jelszavak minden fiókhoz.