A Vehu Ransomware zárolja a fertőzött rendszereket

A Vehu ransomware-t azonosítottuk az új malware-minták elemzése során. Vizsgálatunk során kiderült, hogy a Vehu a Djvu ransomware család tagja. Titkosítja a fájlokat, és hozzáfűzi a ".vehu" kiterjesztést a fájlnevekhez, valamint megjelenít egy "_README.txt" nevű váltságdíjat. Fontos megjegyezni, hogy a Djvu ransomware-t gyakran RedLine, Vidar vagy hasonló rosszindulatú szoftverek mellett terjesztik.

Például a Vehu úgy módosítja a fájlneveket, hogy hozzáadja a „.vehu”-t, az „1.jpg”-t „1.jpg.vehu”-ra, a „2.png”-t „2.png.vehu”-ra, és így tovább.

A váltságdíj azt állítja, hogy minden fájl, beleértve a képeket, adatbázisokat és dokumentumokat, erős titkosítással titkosítva van. Ahhoz, hogy visszanyerje a hozzáférést a fájlokhoz, az áldozatnak meg kell vásárolnia egy visszafejtő eszközt és kulcsot. A visszafejtő eszköz ára 999 dollár, de ha az áldozat 72 órán belül kapcsolatba lép a támadókkal, 499 dollárért megvásárolható.

Az utasítások az áldozatot a support@freshingmail.top vagy a datarestorehelpyou@airmail.cc e-mail címre irányítják. Figyelmeztet, hogy a fájlok fizetés nélkül nem állnak vissza. Ezenkívül a feljegyzés megemlíti, hogy az áldozat egy titkosított fájlt küldhet a támadóknak, és demonstrációként visszafejtve megkaphatja, feltéve, hogy a fájl nem tartalmaz értékes információkat.

A Vehu szabványos Djvu Ransom Note-ot használ

A Vehu váltságdíj teljes szövege így hangzik:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Hogyan fertőzheti meg a Ransomware a rendszerét?

A zsarolóvírusok különféle módszerekkel megfertőzhetik a rendszert, gyakran kihasználva a sebezhetőségeket, vagy szociális tervezési taktikára támaszkodva. Íme néhány gyakori módja annak, hogy a zsarolóvírus behatoljon a rendszerébe:

Adathalász e-mailek: Az egyik legelterjedtebb módszer az adathalász e-mailek. A támadók jogosnak tűnő megtévesztő e-maileket küldenek, gyakran mellékletekkel vagy linkekkel. Ezekre a hivatkozásokra kattintva vagy mellékletek letöltésével ransomware letölthető és végrehajtható a rendszerén.

Rosszindulatú linkek: A kiberbűnözők webhelyeken, közösségi média platformokon vagy azonnali üzenetküldő alkalmazásokon lévő rosszindulatú hivatkozásokon keresztül is terjeszthetnek zsarolóprogramokat. Az ezekre a hivatkozásokra kattintva zsarolóprogramok letöltéséhez és telepítéséhez vezethet.

Exploit Kits: A Ransomware kihasználhatja a szoftverek vagy operációs rendszerek sebezhetőségét kihasználó készletek segítségével. Ezek a készletek automatizált eszközök, amelyeket a támadók használnak a szoftver gyenge pontjainak azonosítására és kihasználására rosszindulatú programok, köztük zsarolóprogramok szállítására.

Távoli asztali protokoll (RDP) támadások: A támadók megkísérelhetnek jogosulatlan hozzáférést szerezni gyenge vagy alapértelmezett Remote Desktop Protocol (RDP) hitelesítési adatokkal rendelkező rendszerekhez. Miután bekerültek, közvetlenül telepíthetik a zsarolóprogramokat a feltört rendszerre.

Drive-by letöltések: A zsarolóprogramok csendben letölthetők és telepíthetők, amikor feltört vagy rosszindulatú webhelyeket keres fel. Ez a módszer gyakran használja ki a webböngésző vagy a bővítmények sebezhetőségét.

Rosszindulatú hirdetések: A támadók rosszindulatú hirdetéseket (rosszindulatú hirdetéseket) használnak jogszerű webhelyeken zsarolóprogramok terjesztésére. Ezekre a hirdetésekre való kattintás vagy akár csak megtekintésük is elindíthatja a ransomware letöltését és végrehajtását.

Szoftveres sebezhetőségek: A kijavítatlan vagy elavult szoftversebezhetőségek kihasználása egy másik módja annak, hogy a zsarolóvírusok behatoljanak a rendszerekbe. Ha nem telepíti a biztonsági frissítéseket, rendszere sebezhetővé válik a zsarolóvírusok és más rosszindulatú programok általi kihasználással szemben.