A Tiywepxb Ransomware titkosítja a fájlokat
A Tiywepxb-t, a Snatch ransomware család tagját rosszindulatú programokat kutató csapatunk azonosította, miközben új kártevő-mintákat elemeztek. Fő célja a fájlok titkosítása, a ".tiywepxb" kiterjesztéssel a titkosított fájlok fájlnevéhez. Ezenkívül létrehoz egy "HOGYAN VISSZAÁLLÍTÁSA A TIYWEPXB FILES.TXT-t" nevű fájlt, amely váltságdíjat tartalmaz.
Annak szemléltetésére, hogy a Tiywepxb hogyan változtatja meg a fájlneveket, az "1.jpg"-t "1.jpg.tiywepxb"-re, a "2.png"-t "2.png.tiywepxb"-re és így tovább. A váltságdíjjal értesítik az áldozatokat, hogy hálózatukon penetrációs teszten estek át, aminek eredményeként fájljaikat titkosították, és több mint 100 GB adatot töltöttek le. A megjegyzés felsorolja a hozzáfért adatok típusait, például a számviteli információkat, bizalmas dokumentumokat, személyes adatokat és bizonyos postafiókok másolatait.
Az áldozatokat határozottan nem javasoljuk, hogy megpróbálják önállóan visszafejteni a fájlokat, vagy harmadik féltől származó eszközöket alkalmazzanak, mivel a megjegyzés azt állítja, hogy csak a kijelölt program/eszköz képes a fájlok visszafejtésére. Ezenkívül a megjegyzés figyelmeztet arra, hogy minden alternatív program további károkat okoz, és a fájlok véglegesen helyreállíthatatlanná válnak.
A szükséges bizonyítékok megszerzéséhez, a lehetséges megoldások feltárásához és a visszafejtő kéréséhez az áldozatokat arra utasítják, hogy lépjenek kapcsolatba a megadott e-mail címekkel: rishi13serv@swisscows.email vagy joel13osteen@tutanota.com.
A Tiywepxb Ransom Note azt jelzi, hogy a rosszindulatú programok a vállalkozásokat célozzák meg
A Tiywepxb váltságdíjról szóló feljegyzés teljes szövege a következő:
Tisztelt vezetőség
Tájékoztatjuk, hogy a hálózatán átesett egy penetrációs teszt, melynek során titkosítottunk
fájljait, és több mint 100 GB-nyi adatot letöltött (a legtöbbet a PD-ből), beleértve:Könyvelés
Bizalmas dokumentumok
Személyes adatok
Néhány postafiók másolataFontos! Ne próbálja meg saját maga vagy harmadik féltől származó segédprogramok segítségével visszafejteni a fájlokat.
Az egyetlen program, amely visszafejtheti őket, a dekódolónk, amelyet az alábbi elérhetőségeken kérhet.
Bármely más program csak úgy károsítja a fájlokat, hogy azok visszaállítása lehetetlenné válik.Minden szükséges bizonyítékot beszerezhet, megbeszélheti velünk a probléma lehetséges megoldásait, és kérhet visszafejtőt
az alábbi elérhetőségeken.
Felhívjuk figyelmét, hogy amennyiben 3 napon belül nem kapunk választ Öntől, fenntartjuk a jogot, hogy a fájlokat nyilvánosságra hozzuk.Lépjen kapcsolatba velünk:
Rishi13Serv@swisscows.email vagy Joel13Osteen@tutanota.com
Hogyan terjeszthető online a Ransomware, mint a Tiywepxb?
A Tiywepxb-hez hasonló zsarolóprogramok terjesztése különféle online csatornákon és módszereken keresztül történhet. Íme néhány gyakori módja a zsarolóvírusok terjesztésének:
- Adathalász e-mailek: A támadók gyakran használnak adathalász e-maileket zsarolóvírusok terjesztésére. Látszólag jogos e-maileket küldenek mellékletekkel vagy linkekkel, amelyek megnyitásakor vagy rákattintásakor végrehajtják a zsarolóprogramot az áldozat rendszerén.
- Rosszindulatú webhelyek és Drive-by letöltések: A Ransomware terjeszthető feltört webhelyeken vagy olyan rosszindulatú webhelyeken keresztül, amelyeket kifejezetten rosszindulatú programok szállítására terveztek. Drive-by letöltések akkor fordulnak elő, amikor egy felhasználó felkeres egy ilyen webhelyet, és a tudta vagy beleegyezése nélkül véletlenül letölti és telepíti a zsarolóprogramot a rendszerére.
- Kizsákmányoló készletek: A kiberbűnözők exploit kiteket használnak, amelyek előre csomagolt szoftvereszközök, amelyek az általánosan használt szoftverek sebezhetőségeit célozzák meg. Ezeket a sebezhetőségeket kihasználva csendben zsarolóprogramokat telepíthetnek az áldozat rendszerére.
- Rosszindulatú hirdetések: A rosszindulatú hirdetések vagy rosszindulatú hirdetések zsarolóprogramok terjesztésének eszközeként használhatók. A támadók ransomware-t juttatnak a legális online hirdetésekbe, és amikor a felhasználók ezekre a hirdetésekre kattintanak, tudtukon kívül elindítják a zsarolóprogramok letöltését és telepítését.
- Fájlmegosztó hálózatok és rosszindulatú letöltések: A Ransomware fájlmegosztó hálózatokon, torrenteken vagy más letöltési platformokon legitim fájlnak vagy szoftvernek álcázható. Azok a felhasználók, akik letöltik és végrehajtják ezeket a fájlokat, tudtukon kívül megfertőzik rendszerüket zsarolóvírussal.
- Remote Desktop Protocol (RDP) támadások: A támadók a nem biztonságos távoli asztali protokoll-kapcsolatokat célozzák meg, hogy illetéktelenül hozzáférjenek az áldozat rendszeréhez. A bejutást követően manuálisan telepíthetik a zsarolóvírust, vagy automatizált eszközöket használhatnak a telepítéshez.
- Társadalmi tervezés és az emberi sérülékenységek kihasználása: A zsarolóvírusok social engineering technikákkal terjeszthetők, például a felhasználók megtévesztésével fertőzött fájlokat töltenek le és futtassanak, vagy rosszindulatú hivatkozásokra kattintanak. Ez különféle csatornákon keresztül történhet, beleértve az e-maileket, az azonnali üzenetküldést vagy a rosszindulatú webhelyeket.
Fontos megjegyezni, hogy a kiberbűnözők folyamatosan fejlesztik taktikájukat, és idővel új terjesztési módszerek jelenhetnek meg. Ezért kulcsfontosságú az éberség, a szoftverek és rendszerek naprakészen tartása, megbízható biztonsági szoftverek használata, és az online tartalommal vagy ismeretlen forrásokkal való interakció során körültekintően eljárva.