A Pzcqyq Ransomware a Snatch családhoz tartozik

A beküldött minták elemzése során csapatunk sikeresen azonosította a Pzcqyq-et, amely a Snatch családhoz kapcsolódó ransomware egy változata. Vizsgálatunk során kiderült, hogy a Pzcqyq titkosítási technikákat használ a fájlok védelmére. Hozzáfűzi a ".pzcqyq" kiterjesztést a fájlnevekhez, és váltságdíjat generál, konkrétan "HOGYAN VISSZAÁLLÍTSA A PZCQYQ FILES.TXT-t".

Annak szemléltetésére, hogy a Pzcqyq hogyan változtatja meg a fájlneveket, gondolja át a következőt: az „1.jpg”-t „1.jpg.pzcqyq”-vé alakítja, és ezt a mintát folytatja az olyan fájlok esetében, mint például a „2.png”, így „2.png.pzcqyq” lesz. hamar.

A váltságdíj-levél tartalma tájékoztatja az áldozatokat, hogy hálózatukon egy szimulált penetrációs teszten estek át, melynek során fájljaikat titkosították. Az elkövetők azt állítják, hogy 100 GB-ot meghaladó adattömeget töltöttek le. Ide tartoznak a személyes adatok, marketing információk, bizalmas dokumentumok, pénzügyi nyilvántartások és bizonyos postafiókok másolatai.

A kiberbűnözők határozottan figyelmeztetnek minden kézi visszafejtési kísérletre vagy harmadik féltől származó eszközök használatára. Hangsúlyozzák, hogy csak a visszafejtő eszközük rendelkezik a fájlok hatékony visszaállításának képességével. Hangsúlyozzák, hogy bármely más szoftver további károkat okozhat a fájlokban, és helyreállíthatatlanná teheti azokat. A váltságdíjról szóló értesítés egy pár e-mail-címet tartalmaz, a „goodwork2020@mailfence.com” és a „2020host2021@tutanota.com”, amelyekkel az áldozatok kommunikálhatnak.

Ezen felül a támadók ajánlatot tesznek legfeljebb három fájl ingyenes visszafejtésére, feltéve, hogy azok együttes mérete 1 MB alatt marad. Kiemelték továbbá a titkosított fájlok nyilvános közzétételének lehetőségét is, ha nem kapnak választ három napon belül.

A Pzcqyq Ransom Note 100 GB-ot elloptak

A Pzcqyq váltságdíj teljes szövege a következő:

A TELJES HÁLÓZAT TITKOSÍTVA AZ ÖN VÁLLALKOZÁSA PÉNZET VESZT!

Tisztelt vezetőség! Tájékoztatjuk, hogy a hálózatán átesett egy penetrációs teszt, melynek során titkosítottunk
fájljait, és több mint 100 GB-nyi adatot letöltött

Személyes adatok
Marketing adatok
Bizalmas dokumentumok
Könyvelés
Néhány postafiók másolata

Fontos! Ne próbálja meg saját maga vagy harmadik féltől származó segédprogramok segítségével visszafejteni a fájlokat.
Az egyetlen program, amely visszafejtheti őket, a dekódolónk, amelyet az alábbi elérhetőségeken kérhet.
Bármely más program csak úgy károsítja a fájlokat, hogy azok visszaállítása lehetetlenné válik.
Írjon nekünk közvetlenül, közvetítők igénybevétele nélkül, megtévesztik Önt.

Minden szükséges bizonyítékot beszerezhet, megbeszélheti velünk a probléma lehetséges megoldásait, és kérhet visszafejtőt
az alábbi elérhetőségeken.
Garanciaként ingyenes visszafejtés. Küldj nekünk 3 fájlt ingyenes visszafejtéshez.
A teljes fájlméret nem haladhatja meg az 1 MB-ot! (nincs az archívumban).

Felhívjuk figyelmét, hogy amennyiben 3 napon belül nem kapunk választ Öntől, fenntartjuk a jogot, hogy a fájlokat nyilvánosságra hozzuk.

Lépjen kapcsolatba velünk:
goodwork2020@mailfence.com vagy 2020host2021@tutanota.com

Hogyan fertőzheti meg a rendszerét a Ransomware, mint a Pzcqyq?

A zsarolóvírusok, például a Pzcqyq módszerei sokfélék behatolhatnak a rendszerébe, és gyakran használják ki a szoftverek, az emberi viselkedés vagy a hálózatbiztonság sebezhetőségeit. Néhány gyakori fertőzési vektor a következők:

• Adathalász e-mailek: A kiberbűnözők gyakran küldenek megtévesztő e-maileket rosszindulatú mellékletekkel vagy hivatkozásokkal. Ezek az e-mailek jogosnak tűnhetnek, és arra ösztönzik a címzetteket, hogy kattintsanak a mellékletekre vagy linkekre, amelyek aztán végrehajtják a zsarolóvírus-terhelést.
• Rosszindulatú letöltések: Feltört webhelyek látogatása, vagy nem megbízható forrásból származó szoftverek, fájlok vagy média letöltése zsarolóprogram-fertőzéshez vezethet. Ezek a letöltések rejtett rosszindulatú programokat tartalmazhatnak, amelyek végrehajtáskor aktiválódnak.
• Drive-by letöltések: A rosszindulatú kód bejuthat a legális webhelyekre. Amikor felkeres egy ilyen webhelyet, a rosszindulatú program az Ön tudta vagy beleegyezése nélkül letöltődik és végrehajtódik.
• Exploit Kits: Ezek olyan eszközcsomagok, amelyek a szoftveralkalmazások sebezhetőségeit célozzák meg, és gyakran használják a kiberbűnözők arra, hogy zsarolóprogramokat juttatjanak el feltört webhelyeken.
• Távoli asztali protokoll (RDP) támadások: Ha a rendszer RDP-je nincs megfelelően védett, a támadók hozzáférhetnek, és zsarolóprogramokat telepíthetnek.
• Rosszindulatú hirdetések: A támadók rosszindulatú hirdetéseket helyezhetnek el legitim webhelyeken. Ha ezekre a hirdetésekre kattint, az ransomware fertőzéshez vezethet.
• Social Engineering: A támadók kihasználhatják az emberi pszichológiát, hogy rávegyék a felhasználókat rosszindulatú programok letöltésére vagy végrehajtására, gyakran úgy, hogy legitim szervezeteknek vagy magánszemélyeknek adják ki magukat.
• Szoftver sebezhetősége: Az operációs rendszerek vagy szoftveralkalmazások javítatlan biztonsági résének kihasználása gyakori módja annak, hogy a támadók jogosulatlan hozzáféréshez jussanak.