A Mynvhefutrx Ransomware egy Snatch klón
Az újonnan beküldött fájlminták vizsgálata során kutatócsoportunk jelentős felfedezést tett: a Mynvhefutrx rosszindulatú szoftvert. Ez a konkrét program a Snatch ransomware családjába tartozik, a rosszindulatú programok kategóriájába, amelyek célja a fájlok titkosítása és váltságdíj követelése azok kiadásáért.
Tesztelési szakaszunk során megfigyeltük, hogy a Mynvhefutrx sikeresen titkosította a fájlokat a kijelölt gépünkön, és hozzáfűzte a „.mynvhefutrx” kiterjesztést az eredeti fájlnevekhez. Például egy eredeti neve "1.jpg" átalakult "1.jpg.mynvhefutrx"-re, míg a "2.png" "2.png.mynvhefutrx"-re változott, és így tovább.
A titkosítási folyamat befejezését követően a zsarolóprogram váltságdíj-feljegyzést generált "HOGYAN VISSZAÁLLÍTJA A MYNVHEFUTRX FILES.TXT". A feljegyzés tartalma azt mutatja, hogy a ransomware elsősorban vállalati szervezeteket céloz meg, nem pedig egyéni otthoni felhasználókat. Kifejezetten tájékoztatja az áldozatokat fájljaik titkosításáról, egy lehangoló részlet kíséretében: több mint 100 GB adatot vontak ki a hálózatukból. Az ellopott adatok érzékeny információkat tartalmaznak, például pénzügyi nyilvántartásokat, adatbázisokat, ügyféladatokat, bizalmas dokumentumokat és személyes adatokat.
A váltságdíjról szóló feljegyzés kifejezetten figyelmezteti az áldozatokat a harmadik féltől származó visszafejtő eszközök használatára, hangsúlyozva, hogy ez visszafordíthatatlanul károsíthatja az érintett fájlokat, lehetetlenné téve azok visszafejtését. Továbbá arra is figyelmeztet, hogy ha három napon belül nem sikerül felvenni a kommunikációt a támadókkal, az azt eredményezheti, hogy a kiberbűnözők nyilvánosan nyilvánosságra hozzák az ellopott adatokat.
A Mynvhefutrx Ransom Note adatszivárgást fenyeget
A Mynvhefutrx váltságdíjról szóló értesítés teljes szövege a következő:
Tájékoztatjuk, hogy a hálózatán átesett egy penetrációs teszt, melynek során titkosítottunk
fájljait, és több mint 100 GB-nyi adatot letöltött, beleértve:Könyvelés
Bizalmas dokumentumok
Személyes adatok
Adatbázisok
ÜgyfélfájlokFontos! Ne próbálja meg saját maga vagy harmadik féltől származó segédprogramok segítségével visszafejteni a fájlokat.
Az ezek visszafejtésére alkalmas program a mi dekódolónk, amelyet az alábbi elérhetőségeken kérhet.
Minden más program csak a fájlokat károsíthatja.Kérjük, vegye figyelembe, hogy ha 3 napon belül nem kapunk választ Öntől, fenntartjuk a jogot, hogy közzétegye fájljait.
Lépjen kapcsolatba velünk:
franklin1328@gmx.com vagy protec5@tutanota.com
Hogyan kerülhet a Mynvhefutrx-hez hasonló Ransomware a rendszerébe?
A zsarolóvírusok, mint például a Mynvhefutrx, különféle módszereket alkalmazhatnak a számítógépes rendszerekbe való behatolásra. Íme néhány gyakori mód, amellyel a zsarolóvírusok hozzáférhetnek:
- E-mail mellékletek: A Ransomware gyakran rosszindulatú e-mail mellékleteken keresztül terjed. A támadók jogosnak tűnő e-maileket küldenek, de a mellékletek fertőzött fájlokat, például végrehajtható fájlokat vagy rosszindulatú makrókat tartalmazó Office-dokumentumokat tartalmaznak. Amikor a felhasználók megnyitják ezeket a mellékleteket, a zsarolóprogram végrehajtásra kerül, megfertőzve a rendszert.
- Adathalász kampányok: A kiberbűnözők adathalász kampányokat indíthatnak, hogy rávegyék a felhasználókat arra, hogy rosszindulatú linkekre kattintsanak, vagy bizalmas információkat adjanak meg. Ezek az adathalász e-mailek törvényes szervezeteket vagy szolgáltatásokat utánoznak, és csalárd webhelyekkel való interakcióra csábítják a felhasználókat. Az ilyen hivatkozásokra kattintva a felhasználók tudtukon kívül ransomware-t töltenek le rendszerükre.
- Rosszindulatú letöltések: A Ransomware legitim szoftvernek vagy az internetről letölthető fájlnak álcázható. A felhasználók tudtukon kívül letölthetnek és végrehajthatnak fertőzött fájlokat nem megbízható forrásokból, beleértve a feltört webhelyeket, torrentplatformokat vagy peer-to-peer hálózatokat. A szoftvertörések, a keygen-ek és más nem hivatalos javítások szintén gyakori hordozói a zsarolóvírusoknak.
- Szoftver sebezhetőségeinek kihasználása: A kiberbűnözők aktívan keresik az operációs rendszerek, szoftverek vagy bővítmények sebezhetőségét. Olyan exploitokat fejlesztenek ki, amelyek megkerülhetik a biztonsági intézkedéseket, és zsarolóvírusokat juttathatnak be olyan rendszerekbe, amelyek nem frissültek a legújabb javításokkal és biztonsági javításokkal. Ez a módszer különösen akkor hatékony, ha a szervezetek vagy egyének elhanyagolják a rendszeres szoftverfrissítéseket.
- Remote Desktop Protocol (RDP) támadások: Az RDP lehetővé teszi a felhasználók számára, hogy távolról csatlakozzanak egy másik számítógéphez a hálózaton keresztül. Ha a támadók gyenge vagy alapértelmezett RDP-hitelesítő adatokat fedeznek fel, jogosulatlan hozzáférést kaphatnak a rendszerhez, és zsarolóprogramokat telepíthetnek. Az RDP sebezhetőségeit is kihasználva behatolhatnak a hálózatokba, és zsarolóvírusokat terjeszthetnek a csatlakoztatott eszközökre.
- Drive-by letöltések: A zsarolóprogramok indítási letöltéseken keresztül is elérhetők, amelyek akkor fordulnak elő, amikor a felhasználók feltört webhelyeket keresnek fel. Ezek a webhelyek kihasználják a felhasználó böngészőjének vagy annak beépülő moduljainak sebezhetőségeit, automatikusan letöltik és végrehajtják a zsarolóprogramokat a rendszerre, minden felhasználói beavatkozás vagy beleegyezés nélkül.
- Rosszindulatú hirdetések: A kiberbűnözők rosszindulatú hirdetéseket (rosszindulatú hirdetéseket) használhatnak zsarolóprogramok terjesztésére. Rosszindulatú kódot juttatnak be a legális hirdetési hálózatokba, vagy félrevezető hirdetéseket jelenítenek meg a feltört webhelyeken. Amikor a felhasználók ezekre a hirdetésekre kattintanak, tudtukon kívül ransomware letöltését és végrehajtását indíthatják el.
- Társadalmi manipuláció és vízhiányos támadások: A támadók manipulálhatják a felhasználókat szociális manipulációs technikákkal, például arra késztethetik őket, hogy kattintsanak a fertőzött linkekre vagy töltsenek le fájlokat úgy, hogy kívánatosnak vagy sürgősnek álcázzák őket. A vízhiányos támadások magukban foglalják a célközönség által gyakran látogatott legitim webhelyek feltörését, és zsarolóprogramok bejuttatását ezekbe a webhelyekbe, növelve a gyanútlan látogatók megfertőzésének esélyét.