A GhostLocker Ransomware titkosítja az áldozatok fájljait
A GhostLocker egy zsarolóprogramot képvisel, amelyet a GhostSec számítógépes bűnözői csoport hozott létre. Az ilyen típusú, zsarolóvírusként besorolt rosszindulatú programokat úgy tervezték, hogy titkosítsák az adatokat, és fizetést kérjenek a visszafejtésükért.
Tesztkörnyezetünkben a GhostLocker titkosította a fájlokat, és ".ghost" kiterjesztést adott a nevükhöz. Például egy eredeti „1.jpg” nevű fájl „1.jpg.ghost”-ra, míg a „2.png” „2.png.ghost”-ra változik, és ez a minta minden érintett fájlra érvényes.
A titkosítási folyamat befejeztével egy váltságdíj-jegyet helyeztek el, melynek címe általában "lmao.html". Érdemes megjegyezni, hogy a HTML-dokumentum neve változhat.
A GhostLocker üzenete tájékoztatja az áldozatot, hogy fájljait RSA-2048 és AES-12 kriptográfiai algoritmusokkal titkosították, és érzékeny adatokat vettek el.
A fájlok visszafejtéséhez váltságdíjat kell fizetni. Az áldozat 48 órás időtartamot kap, hogy kapcsolatba lépjen a támadókkal, és ennek a határidőnek a be nem tartása a váltságdíj megnövekedését vonja maga után. A számítógépes bűnözők követeléseinek való megfelelés megtagadása az adatok megsemmisítéséhez vezet.
A megjegyzés figyelmeztet a titkosított fájlok átnevezésére vagy harmadik féltől származó helyreállítási eszközök használatára, mivel ez végleges adatvesztést okozhat. Az áldozatot arra is figyelmeztetik, hogy a harmadik felek vagy hatóságok segítségének kérése adatvesztést és ellopott tartalom nyilvánosságra hozatalát eredményezheti.
A GhostLocker Ransom Note okosan hangzik
Az "lmao.html" fájlban generált váltságdíj teljes szövege a következő:
GhostLocker
Azért rohanunk, mert megtehetjükAZ ÖSSZES FONTOS FÁJLJÁT ELLOPTÁK ÉS TITKOSÍTVA
AZ ÖN SZEMÉLYES TITKOSÍTÁSI AZONOSÍTÓJA: - (MENTÉS)Minden fontos fájlját ellopták, és RSA-2048 és AES-128 katonai minőségű titkosítással titkosították. Ez azt jelenti, hogy bármennyire is próbálkozott, az egyetlen módja annak, hogy visszaszerezze a fájljait, ha velünk dolgozik, és követi az igényeinket.
48 órája (2 napja) áll rendelkezésére, hogy kapcsolatba lépjen velünk. Ha nem törekszik arra, hogy ezen az időn belül kapcsolatba lépjen velünk, a váltságdíj összege megnő.
Ha nem fizeti ki a váltságdíjat, fájljai örökre megsemmisülnek.
Az alábbi elérhetőségeken veheti fel velünk a kapcsolatot
Figyelem
NE fizesse ki a váltságdíjat senki másnak, csak az ott említett legfontosabb elérhetőségeken.
NE nevezze át a titkosított fájlokat
NE próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat
A bűnüldöző/adat-helyreállító csapatok/harmadik fél biztonsági szolgáltatók bármilyen bevonása végleges adatvesztéshez és azonnali nyilvános adatszolgáltatáshoz vezet.
Hogyan juthat be a Ransomware a rendszerébe?
A zsarolóvírusok különféle módszerekkel behatolhatnak a rendszerébe, és ezeknek a belépési pontoknak a megértése elengedhetetlen az ilyen támadások megelőzéséhez. Íme néhány gyakori mód, amellyel a zsarolóvírusok hozzáférhetnek a rendszeréhez:
- Adathalász e-mailek: A leggyakoribb módszer az adathalász e-mailek. Előfordulhat, hogy olyan e-mailt kap, amely törvényes forrásból származik, de rosszindulatú mellékleteket vagy hivatkozásokat tartalmaz. E mellékletek megnyitása vagy ezekre a hivatkozásokra való kattintás elindíthatja a ransomware letöltését és végrehajtását a számítógépén.
- Rosszindulatú webhelyek: A rosszindulatú vagy feltört webhelyek látogatása zsarolóprogramoknak teheti ki rendszerét. Ezek a webhelyek kihasználhatják a webböngésző vagy a beépülő modulok sebezhetőségét a zsarolóprogram letöltésére és végrehajtására.
- Rosszindulatú reklámozás: Az online hirdetések zsarolóvírusok terjesztésére használhatók. A kiberbűnözők rosszindulatú hirdetéseket helyezhetnek el jogszerű webhelyeken, és ha rájuk kattint, véletlenül letöltheti a zsarolóprogramot.
- Drive-By Downloads: Egyes webhelyek úgy vannak kialakítva, hogy az Ön beleegyezése nélkül automatikusan letöltsenek fájlokat a számítógépére. Ezek a meghajtó letöltések zsarolóvírust telepíthetnek, ha a rendszer nincs megfelelően védve.
- Szoftver sebezhetőségei: Az elavult vagy nem javított szoftverek biztonsági réseket tartalmazhatnak, amelyeket a zsarolóprogramok kihasználhatnak. Kulcsfontosságú, hogy operációs rendszerét, alkalmazásait és biztonsági szoftvereit naprakészen tartsa.
- Távoli asztali protokoll (RDP) támadások: A kiberbűnözők gyenge vagy alapértelmezett RDP-hitelesítési adatait kihasználva távolról hozzáférhetnek a számítógéphez. Ha bejutottak, telepíthetik a zsarolóprogramokat.
- Rosszindulatú mellékletek: A zsarolóprogramok rosszindulatú e-mail-mellékletek, például fertőzött Microsoft Office-dokumentumok vagy futtatható fájlok útján is eljuthatnak. Ezek a mellékletek kihasználhatják a szoftver sebezhetőségeit, vagy rávehetik a futtatásra.