A Tiywepxb Ransomware titkosítja a fájlokat

A Tiywepxb-t, a Snatch ransomware család tagját rosszindulatú programokat kutató csapatunk azonosította, miközben új kártevő-mintákat elemeztek. Fő célja a fájlok titkosítása, a ".tiywepxb" kiterjesztéssel a titkosított fájlok fájlnevéhez. Ezenkívül létrehoz egy "HOGYAN VISSZAÁLLÍTÁSA A TIYWEPXB FILES.TXT-t" nevű fájlt, amely váltságdíjat tartalmaz.

Annak szemléltetésére, hogy a Tiywepxb hogyan változtatja meg a fájlneveket, az "1.jpg"-t "1.jpg.tiywepxb"-re, a "2.png"-t "2.png.tiywepxb"-re és így tovább. A váltságdíjjal értesítik az áldozatokat, hogy hálózatukon penetrációs teszten estek át, aminek eredményeként fájljaikat titkosították, és több mint 100 GB adatot töltöttek le. A megjegyzés felsorolja a hozzáfért adatok típusait, például a számviteli információkat, bizalmas dokumentumokat, személyes adatokat és bizonyos postafiókok másolatait.

Az áldozatokat határozottan nem javasoljuk, hogy megpróbálják önállóan visszafejteni a fájlokat, vagy harmadik féltől származó eszközöket alkalmazzanak, mivel a megjegyzés azt állítja, hogy csak a kijelölt program/eszköz képes a fájlok visszafejtésére. Ezenkívül a megjegyzés figyelmeztet arra, hogy minden alternatív program további károkat okoz, és a fájlok véglegesen helyreállíthatatlanná válnak.

A szükséges bizonyítékok megszerzéséhez, a lehetséges megoldások feltárásához és a visszafejtő kéréséhez az áldozatokat arra utasítják, hogy lépjenek kapcsolatba a megadott e-mail címekkel: rishi13serv@swisscows.email vagy joel13osteen@tutanota.com.

A Tiywepxb Ransom Note azt jelzi, hogy a rosszindulatú programok a vállalkozásokat célozzák meg

A Tiywepxb váltságdíjról szóló feljegyzés teljes szövege a következő:

Tisztelt vezetőség

Tájékoztatjuk, hogy a hálózatán átesett egy penetrációs teszt, melynek során titkosítottunk
fájljait, és több mint 100 GB-nyi adatot letöltött (a legtöbbet a PD-ből), beleértve:

Könyvelés
Bizalmas dokumentumok
Személyes adatok
Néhány postafiók másolata

Fontos! Ne próbálja meg saját maga vagy harmadik féltől származó segédprogramok segítségével visszafejteni a fájlokat.
Az egyetlen program, amely visszafejtheti őket, a dekódolónk, amelyet az alábbi elérhetőségeken kérhet.
Bármely más program csak úgy károsítja a fájlokat, hogy azok visszaállítása lehetetlenné válik.

Minden szükséges bizonyítékot beszerezhet, megbeszélheti velünk a probléma lehetséges megoldásait, és kérhet visszafejtőt
az alábbi elérhetőségeken.
Felhívjuk figyelmét, hogy amennyiben 3 napon belül nem kapunk választ Öntől, fenntartjuk a jogot, hogy a fájlokat nyilvánosságra hozzuk.

Lépjen kapcsolatba velünk:
Rishi13Serv@swisscows.email vagy Joel13Osteen@tutanota.com

Hogyan terjeszthető online a Ransomware, mint a Tiywepxb?

A Tiywepxb-hez hasonló zsarolóprogramok terjesztése különféle online csatornákon és módszereken keresztül történhet. Íme néhány gyakori módja a zsarolóvírusok terjesztésének:

• Adathalász e-mailek: A támadók gyakran használnak adathalász e-maileket zsarolóvírusok terjesztésére. Látszólag jogos e-maileket küldenek mellékletekkel vagy linkekkel, amelyek megnyitásakor vagy rákattintásakor végrehajtják a zsarolóprogramot az áldozat rendszerén.
• Rosszindulatú webhelyek és Drive-by letöltések: A Ransomware terjeszthető feltört webhelyeken vagy olyan rosszindulatú webhelyeken keresztül, amelyeket kifejezetten rosszindulatú programok szállítására terveztek. Drive-by letöltések akkor fordulnak elő, amikor egy felhasználó felkeres egy ilyen webhelyet, és a tudta vagy beleegyezése nélkül véletlenül letölti és telepíti a zsarolóprogramot a rendszerére.
• Kizsákmányoló készletek: A kiberbűnözők exploit kiteket használnak, amelyek előre csomagolt szoftvereszközök, amelyek az általánosan használt szoftverek sebezhetőségeit célozzák meg. Ezeket a sebezhetőségeket kihasználva csendben zsarolóprogramokat telepíthetnek az áldozat rendszerére.
• Rosszindulatú hirdetések: A rosszindulatú hirdetések vagy rosszindulatú hirdetések zsarolóprogramok terjesztésének eszközeként használhatók. A támadók ransomware-t juttatnak a legális online hirdetésekbe, és amikor a felhasználók ezekre a hirdetésekre kattintanak, tudtukon kívül elindítják a zsarolóprogramok letöltését és telepítését.
• Fájlmegosztó hálózatok és rosszindulatú letöltések: A Ransomware fájlmegosztó hálózatokon, torrenteken vagy más letöltési platformokon legitim fájlnak vagy szoftvernek álcázható. Azok a felhasználók, akik letöltik és végrehajtják ezeket a fájlokat, tudtukon kívül megfertőzik rendszerüket zsarolóvírussal.
• Remote Desktop Protocol (RDP) támadások: A támadók a nem biztonságos távoli asztali protokoll-kapcsolatokat célozzák meg, hogy illetéktelenül hozzáférjenek az áldozat rendszeréhez. A bejutást követően manuálisan telepíthetik a zsarolóvírust, vagy automatizált eszközöket használhatnak a telepítéshez.
• Társadalmi tervezés és az emberi sérülékenységek kihasználása: A zsarolóvírusok social engineering technikákkal terjeszthetők, például a felhasználók megtévesztésével fertőzött fájlokat töltenek le és futtassanak, vagy rosszindulatú hivatkozásokra kattintanak. Ez különféle csatornákon keresztül történhet, beleértve az e-maileket, az azonnali üzenetküldést vagy a rosszindulatú webhelyeket.

Fontos megjegyezni, hogy a kiberbűnözők folyamatosan fejlesztik taktikájukat, és idővel új terjesztési módszerek jelenhetnek meg. Ezért kulcsfontosságú az éberség, a szoftverek és rendszerek naprakészen tartása, megbízható biztonsági szoftverek használata, és az online tartalommal vagy ismeretlen forrásokkal való interakció során körültekintően eljárva.