A ReadText Ransomware titkosítja meghajtóit
Kutatócsoportunk az új beadványok vizsgálata során találkozott a ReadText ransomware-rel. Ez a rosszindulatú szoftver a MedusaLocker ransomware családhoz tartozik.
A ReadText a zsarolóprogramokra jellemző módon működik. Titkosította a tesztgépünkön lévő fájlokat, és egy ".readtext4" kiterjesztést adott az eredeti fájlnevekhez. A finom kiterjesztés generálásához használt konkrét szám a ransomware változatától függően változhat. Például az eredetileg „1.jpg” nevű fájl „1.jpg.readtext4”-re, a „2.png” pedig „2.png.readtext4”-re és így tovább.
Ezt követően váltságdíj-üzenetet helyezett el "How_to_back_files.html" néven. Ebből az üzenetből nyilvánvaló, hogy a ReadText a vállalkozásokat célozza meg, és kettős zsarolási taktikát alkalmaz.
A ReadText ransomware-hez kapcsolódó feljegyzés azt írja, hogy az áldozat vállalati hálózatát feltörték. A kritikus fájlokat titkosították, és az érzékeny vagy személyes adatokat ellopták.
Az üzenet azt tanácsolja, hogy ne módosítsa a titkosított fájlok fájlnevét, és ne kísérelje meg a helyreállítást harmadik féltől származó visszafejtő eszközökkel, mivel az ilyen műveletek visszaállíthatatlanná teszik az adatokat.
Az áldozatot értesítik, hogy váltságdíjat kell fizetni. A szabályok be nem tartása a kiszivárgott adatok kiszivárogtatását vagy értékesítését eredményezi. Ezenkívül a kapcsolatfelvétel több mint 72 órás késleltetése növeli a váltságdíj összegét. A fizetés előtt az áldozatnak lehetősége van tesztelni a visszafejtési folyamatot úgy, hogy két-három titkosított fájlt küld a támadóknak.
A ReadText Ransom Note adatszivárgással fenyeget
A ReadText váltságdíj teljes szövege a következő:
AZ ÖN SZEMÉLYI IDŐ:
AZ ÖN VÁLLALATI HÁLÓZATÁBA BETÖRÖLT
Minden fontos fájlod titkosítva lett!Fájlai biztonságban vannak! Csak módosítva. (RSA+AES)
BÁRMILYEN KÍSÉRLET, HOGY HARMADIK FÉL SZOFTVERÉVEL VISSZAÁLLÍTSA FÁJLOIT
VÉGLEGESEN MEGKORRUMPÁLJA.
NE MÓDOSÍTSA TITKOSÍTOTT FÁJLOKAT.
NE NEVEZZ ÁT TITKOSÍTOTT FÁJLOKAT.Az interneten elérhető szoftverek nem segíthetnek. Csak mi vagyunk képesek rá
oldja meg a problémáját.Erősen bizalmas/személyes adatokat gyűjtöttünk. Ezek az adatok jelenleg a következő helyen vannak tárolva
egy privát szerver. Ez a szerver azonnal megsemmisül a fizetés után.
Ha úgy dönt, hogy nem fizet, akkor adatait nyilvánosságra hozzuk vagy viszonteladónak adjuk ki.
Így arra számíthat, hogy adatai a közeljövőben nyilvánosan elérhetőek lesznek.Csak pénzt keresünk, és nem az a célunk, hogy rontsuk az Ön hírnevét vagy megakadályozzuk
vállalkozása működéséből.2-3 nem fontos fájlt küldhet nekünk, és mi ingyenesen visszafejtjük
annak bizonyítására, hogy vissza tudjuk adni a fájljait.Lépjen kapcsolatba velünk az árért és szerezzen visszakódoló szoftvert.
email:
ithelp15@securitymy.name
ithelp15@yousheltered.comHa kapcsolatba szeretne lépni velünk, hozzon létre egy új ingyenes e-mail fiókot a protonmail.com webhelyen
HA 72 ÓRÁN BELÜL NEM KERÜLI VELÜNK KAPCSOLATOT, AZ ÁR MAGASABB LESZ.Tor-chat, hogy mindig kapcsolatban legyen:
Hogyan történik a Ransomware online terjesztése?
A zsarolóvírusokat különféle módszerekkel online terjesztik, gyakran kihasználva a szoftverek, a social engineering technikák és a rosszindulatú mellékletek vagy hivatkozások sebezhetőségeit. Íme néhány gyakori módja a zsarolóvírusok terjesztésének:
Adathalász e-mailek:
Az adathalász e-mailek egy elterjedt módszer a zsarolóvírusok terjesztésére. A támadók megtévesztő e-maileket küldenek, amelyek látszólag legális forrásból származnak, például bankoktól, kormányzati szervektől vagy megbízható szervezetektől. Ezek az e-mailek rosszindulatú mellékleteket vagy linkeket tartalmaznak, amelyekre kattintáskor vagy megnyitáskor zsarolóprogramot töltenek le és futtatnak az áldozat számítógépén.
Rosszindulatú hirdetés:
A rosszindulatú reklámozás során a kiberbűnözők rosszindulatú hirdetéseket helyeznek el legitim webhelyeken. Amikor egy felhasználó ezekre a hirdetésekre kattint, tudtukon kívül elindíthatja a zsarolóvírus letöltését, vagy átirányíthatja egy olyan webhelyre, amely kihasználó készleteket tartalmaz, amelyek aztán továbbítják a zsarolóvírus hasznos terhét.
Drive-by letöltések:
Drive-by letöltések akkor történnek, amikor a felhasználó feltört vagy rosszindulatú webhelyet keres fel. Egyes esetekben a webhely kihasználja a felhasználó webböngészőjének vagy bővítményeinek sebezhetőségét, hogy automatikusan letöltse és telepítse a ransomware-t a látogató rendszerére felhasználói beavatkozás nélkül.
Exploit készletek:
A kihasználó készletek olyan eszközkészletek, amelyeket a támadók használnak az áldozat szoftverének sebezhetőségeinek azonosítására és kihasználására. Amikor a felhasználó meglátogat egy feltört webhelyet, vagy rákattint egy rosszindulatú hivatkozásra, a kizsákmányoló készlet megkeresi a sebezhetőségeket, és sérülékenység észlelése esetén átadja a zsarolóprogramok rakományát.
Távoli asztali protokoll (RDP) támadások:
A támadók fedetlen RDP-portokat vesznek célba, és megpróbálnak jogosulatlan hozzáférést szerezni az áldozat számítógépéhez vagy hálózatához. A bejutást követően közvetlenül a rendszerre telepítik a zsarolóprogramokat.
Rosszindulatú mellékletek:
A zsarolóvírus e-mail mellékleteken keresztül terjedhet, gyakran ártalmatlan fájloknak, például PDF-eknek, Word-dokumentumoknak vagy ZIP-archívumoknak álcázva. Amikor ezeket a mellékleteket megnyitják, rosszindulatú szkripteket vagy makrókat hajtanak végre, amelyek elindítják a zsarolóprogramok letöltését.
