Az egész Ransomware adatszivárgással fenyeget

Az újonnan beküldött rosszindulatú programok mintáinak vizsgálata során kutatóink egy "Whole" nevű zsarolóprogramra bukkantak. Megállapítottuk, hogy a Keylock zsarolóprogramból származik. Ez a rosszindulatú szoftver titkosítja az adatokat, és a visszafejtésért cserébe váltságdíjat követel.

Tesztünk során a „Whole” ransomware titkosította a fájlokat, és „.whole” kiterjesztést adott a fájlnevükhöz. Például az eredetileg „1.jpg” nevű fájl „1.jpg.egész”, a „2.png” pedig „2.png.egész” formátumban jelenik meg.

A titkosítási folyamat befejeztével az asztal háttérképe megváltozott, és váltságdíj-jegyzet jött létre "README-ID-[victim's_ID].txt" címmel. A feljegyzés tartalmából nyilvánvaló, hogy ez a ransomware elsősorban vállalkozásokat céloz, nem pedig egyéni felhasználókat.

Az „Egész” asztali háttérképen megjelenő üzenet arra utasítja az áldozatot, hogy olvassa el a kapcsolódó szövegfájlt („README-ID-[victim's_ID].txt”). Ez a váltságlevél elmagyarázza, hogy az áldozat fájljait titkosították, és biztosítja őket, hogy egyedi visszafejtési kulcsukat biztonságosan tárolják a támadók szerverein.

A helyreállítás költségmentesen tesztelhető néhány titkosított fájl elküldésével a kiberbűnözőknek (bizonyos irányelvek szerint). Ha az áldozat 3 napon belül nem kísérli meg felvenni a kapcsolatot a támadókkal, az üzleti vonatkozású bizalmas adatai nyilvánosságra kerülhetnek vagy eladhatók.

Az üzenet figyelmeztetéseket is tartalmaz, amelyek arról tájékoztatják az áldozatot, hogy az érintett fájlok átnevezése vagy módosítása, valamint harmadik féltől származó helyreállítási eszközök vagy víruskereső szoftverek használata az adatokat visszahozhatatlanná teheti.

Whole Ransomware Drops Lengthy Note

A teljes váltságdíjról szóló feljegyzés teljes szövege a következő:

A FÁJLOID TITKOSÍTVA

A fájlokat erős titkosítási algoritmusokkal titkosítottuk és módosítottuk!
Ne aggódjon, egyedi titkosítási kulcsát biztonságosan tároljuk szerverünkön, és adatai gyorsan és biztonságosan visszafejthetők.

Be tudjuk bizonyítani, hogy meg tudjuk fejteni az összes adatát. Kérjük, küldjön nekünk 3 nem fontos, kicsi (~2 MB) titkosított fájlt, amelyek véletlenszerűen kerülnek tárolásra a szerverén. Minden mappába csatolja az általunk hagyott README-ID-.txt fájlt is.
Ezeket a fájlokat visszafejtjük, és bizonyítékként elküldjük Önnek. Felhívjuk figyelmét, hogy az ingyenes teszt-visszafejtéshez szükséges fájlok nem tartalmazhatnak értékes információkat.

Ha nem kezd velünk párbeszédet 72 órán belül, kénytelenek leszünk fájljait nyilvánosan közzétenni. Ügyfelei és partnerei értesülnek az adatszivárgásról.
Így tönkremegy a hírneve. Ha nem reagál, kénytelenek leszünk eladni a legfontosabb információkat, például adatbázisokat és személyes adatokat az érdekelt feleknek, hogy némi nyereséget termeljünk.

Ha meg szeretné oldani ezt a helyzetet, csatolja levélben ezt a README-ID-.txt fájlt, és írjon mind a két email címre:

pmmx@techmail.info
wholekey@mailfence.com

FONTOS!
Javasoljuk, hogy közvetlenül forduljon hozzánk, hogy elkerülje az ügynökök túlfizetését.
Kérjük, küldje el üzenetét MINDEN 2 e-mail címünkre, mert különböző okok miatt előfordulhat, hogy e-mailje nem kézbesíthető.
Lehetséges, hogy üzenetünket spamként ismerjük fel, ezért feltétlenül ellenőrizze a spam mappát.
Ha 24 órán belül nem válaszolunk, írjon nekünk egy másik e-mail címről.
Kérjük, ne pazarolja az idejét, ez csak további károkat okoz cégének.
Kérjük, ne nevezze át saját maga a fájlokat, és ne próbálja meg visszafejteni. A fájlok módosítása esetén nem tudunk segíteni.
Ha bármilyen harmadik féltől származó szoftvert próbál használni adatai visszaállításához vagy víruskereső megoldásokhoz, kérjük, készítsen biztonsági másolatot az összes titkosított fájlról.
Ha bármilyen titkosított fájlt töröl az aktuális számítógépről, előfordulhat, hogy nem tudja visszafejteni őket.

Hogyan kerülhet a Ransomware a rendszerébe?

A zsarolóvírusok különféle módon behatolhatnak a rendszerébe, és ezeknek a belépési pontoknak a megértése elengedhetetlen a rendszere ilyen támadásokkal szembeni védelméhez. Íme, a zsarolóvírusok gyakori módjai, amelyek bejuthatnak a rendszerébe:

• E-mail mellékletek: Az adathalász e-mailek a zsarolóvírusok terjesztésének elterjedt módja. A kiberbűnözők látszólag jogos e-maileket küldenek fertőzött mellékletekkel (pl. PDF-ekkel, Word-dokumentumokkal vagy ZIP-fájlokkal) vagy rosszindulatú webhelyekre mutató hivatkozásokkal. Amikor a felhasználók megnyitják ezeket a mellékleteket, vagy rákattintnak a hivatkozásokra, a rendszer letölti és végrehajtja a zsarolóprogramot a rendszerükön.
• Rosszindulatú linkek: A Ransomware e-mailekben, azonnali üzenetekben vagy webhelyeken található megtévesztő vagy rosszindulatú hivatkozásokon keresztül is eljuthat. Ezekre a linkekre kattintva ransomware letölthető és végrehajtható.
• Rosszindulatú reklámozás: A kiberbűnözők rosszindulatú hirdetéseket (rosszindulatú hirdetéseket) használhatnak jogszerű webhelyeken zsarolóprogramok terjesztésére. Ha egyszerűen felkeres egy feltört webhelyet ezekkel a hirdetésekkel, akkor a rosszindulatú program automatikusan letöltődik.
• A sérülékenységek kihasználása: A zsarolóprogramok szerzői kihasználhatják az operációs rendszer vagy az alkalmazások szoftveres sebezhetőségeit. Ha a rendszer nem naprakész a biztonsági javításokkal, akkor sebezhető lehet a kihasználáson alapuló támadásokkal szemben.
• Drive-By Downloads: A zsarolóprogramok „drive-by downloads” révén szállíthatók, ahol a felhasználók tudtukon kívül töltenek le rosszindulatú kódot, miközben feltört vagy rosszindulatú webhelyeket látogatnak meg. Ezek a letöltések felhasználói beavatkozás vagy beleegyezés nélkül is megtörténhetnek.
• Remote Desktop Protocol (RDP) támadások: A támadók gyenge vagy alapértelmezett RDP hitelesítési adatokat használva hozzáférhetnek távoli rendszerekhez. Miután bejutottak, telepíthetik a zsarolóprogramokat és titkosíthatják a fájlokat.
• Szoftverletöltések: Nem megbízható vagy kalóz forrásból származó szoftverek vagy fájlok letöltése ransomware-nek teheti ki a rendszert. Az illegitim szoftverek vagy feltört verziók gyakran rejtett rosszindulatú programokat tartalmaznak.