A Trash Panda Ransomware szokatlan váltságdíjat jelenít meg

A közelmúltban benyújtott fájlok rutinvizsgálata során kutatócsoportunk a Trash Panda ransomware változatára bukkant. Ezt a rosszindulatú szoftvert a felmerülő fenyegetések kivizsgálására irányuló folyamatos erőfeszítéseink részeként fedeztük fel.

A Trash Panda minta futtatása után a kontrollált tesztkörnyezetünkön a program azonnal elindította az adattitkosítási rutint. Ennek eredményeként a fájlnevek módosultak egy „.monochrome” kiterjesztéssel. Például egy "1.jpg" nevű fájl gyorsan átalakult "1.jpg.monochrome"-ba, míg a "2.png"-ből "2.png.monochrome" lett, és így tovább. Amint ez a titkosítási folyamat a végére ért, egy kísérő váltságdíj-jegyzet jött létre a „[random_string]-readme.html” felirattal.

A Trash Panda által használt váltságdíj azt a nyomasztó üzenetet közvetíti, hogy az áldozat fájljait biztonságosan titkosították. A feljegyzés a továbbiakban azt javasolja, hogy lépjen kapcsolatba a támadás mögött meghúzódó rosszindulatú szereplőkkel, hogy elindítsák a feltört adatok helyreállítási folyamatát. Egy fontos figyelmeztetés is szerepel benne, amely kiemeli, hogy ha a visszaszámláló órája eléri a nullát, akkor a kiberbûnözõkkel való kapcsolatfelvétel elmulasztása a visszafejtési kulcs végleges törlését eredményezi, ami gyakorlatilag hiábavalóvá teszi az adat-visszaállítási kísérleteket.

A Trash Panda Ransom Note katonai konfliktusra utal

A Trash Panda ransomware teljes szövege leet-speak-et használ, a betűket számokkal helyettesíti, és valamiféle fegyveres konfliktusra utal anélkül, hogy bármi konkrétumot említene. A megjegyzés a következőképpen szól:

Itt volt a Trash Panda csapat

A mi összes fájlját a kukába helyeztük

7r45H P4ND4 Asomeware

Csináljunk egy D341-et. Megszabadítod népünket. Felszabadítjuk adatait.

Ne próbáljon meg semmilyen fájlt visszaállítani. Az összes fájlt az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) nagyon fejlett titkosítási szabványával a kukába helyezték. A következő linken megtudhatja, hogyan kerültek a fájlok a kukába. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Nem törődünk adataival. Nem érdekel minket a pénz. Azt akarjuk, hogy a családunk visszatérjen hozzánk, és TE KÜLJEN EL SZÁNYHADÁNKRA.

Ó, BTW, korlátozott időd van a döntés meghozatalára. A visszaszámláló óra lejárta után töröljük a főkulcsot. Siess ~ Siess ~

A KULCSÁT UTÁNA TÖRÖLJÜK
(visszaszámláló)

Felveheti velünk a kapcsolatot a -

Ha vissza szeretné kapni a fájlokat, írja be a következő kulcsot a beviteli űrlapba. Később felvesszük Önnel a kapcsolatot

Hogyan terjeszthető online a Ransomware Like Trash Panda?

A zsarolóprogramok, például a Trash Panda terjesztése általában különféle taktikákat és technikákat foglal magában, amelyek célja a sebezhetőségek, a felhasználói viselkedések és a technológiai gyengeségek kihasználása. Noha nincs konkrét információm a "Trash Panda" terjesztési módszereiről, mivel tudásom határideje 2021 szeptembere, általános betekintést nyújthatok a ransomware általános terjesztésébe:

• Adathalász e-mailek: A kiberbűnözők gyakran küldenek meggyőző e-maileket, amelyek látszólag legális forrásból származnak, és rosszindulatú mellékleteket vagy linkeket tartalmaznak. Amikor a felhasználók kölcsönhatásba lépnek ezekkel a mellékletekkel vagy hivatkozásokkal, a zsarolóvírus letöltődik és végrehajtódik a rendszerükön.
• Rosszindulatú hirdetések: A webhelyeken vagy hirdetési hálózatokon megjelenő rosszindulatú hirdetések zsarolóprogramokat tartalmazó webhelyekre vezethetik a felhasználókat. Egy feltört webhely meglátogatása elindíthatja a zsarolóprogram letöltését az áldozat számítógépére.
• Drive-by Downloads: A kiberbűnözők kihasználhatják a szoftverek, beépülő modulok vagy böngészőkomponensek sebezhetőségét, hogy felhasználói beavatkozás nélkül zsarolóprogramokat juttathassanak el a felhasználó rendszerébe. Ezt drive-by letöltésnek nevezik.
• Kompromittált szoftvertelepítők: A támadók behatolhatnak a törvényes szoftvertelepítőkbe, növelve ezzel a zsarolóvírus hasznos terhét. Amikor a felhasználók letöltik és feltört forrásból telepítik a szoftvert, a zsarolóvírus is telepítésre kerül.
• Távoli asztali protokoll (RDP) támadások: A támadók megtámadhatják a gyenge vagy nem védett RDP-kapcsolattal rendelkező rendszereket. Hozzáférnek és manuálisan telepítik a zsarolóprogramokat, vagy automatizált eszközöket használnak a zsarolóprogramok rakományának szállítására.
• Rosszindulatú makrók: A Microsoft Office dokumentumokba beágyazott rosszindulatú makrók felhasználhatók zsarolóvírus letöltésére és végrehajtására, ha a felhasználók engedélyezik a makrókat ezekben a dokumentumokban.