„Ransomwared Ransomware“ prašo nuogų nuotraukų, o ne „Bitcoins“
„Ransomware“ šeima, vadinama „Ransomwared“, pastaruoju metu skelbia naujienas, ir tam yra bent dvi labai geros priežastys. Viena vertus, jis skirtas individualiems vartotojams, o ne didelėms organizacijoms, o tai yra gana neįprasta šiais laikais. Tačiau gal labiau pastebimi yra sukčių keliami reikalavimai. Panašu, kad tai dar ne viskas apie bitkoinus.
Table of Contents
Nedaug informacijos apie neseniai vykusią „Ransomwared“ kampaniją
Nors atrodo, kad gana daug žmonių kalba apie naujai atrastus „Ransomwared“ pavyzdžius, tikroji informacija apie grėsmės pasiskirstymą ir veikimą yra menka. Jį ištyrę ekspertai nieko nesakė apie tai, kaip jie suklupo. Nėra informacijos apie platinimo metodus ir socialinę inžineriją, naudojamą apgauti aukas diegiant išpirkos programinę įrangą, ir galime tik spėlioti, kiek žmonių nukentėjo.
Mes tikrai žinome, kad sukčiai niekada nenorėjo uždirbti pinigų iš dabartinės kampanijos.
Crooks užkoduoja vartotojų failus ir reikalauja aiškių nuotraukų mainais į iššifruoklį
Įdiegęs „Ransomwared“ užšifruoja failus, kuriuos randa užkrėstame kompiuteryje, ir naujesnėse versijose prideda.iwanttits failo plėtinį. Techninės analizės trūkumas reiškia, kad negalime būti tikri, kurie failai užfiksuoti pagal „Ransomwared“ taikomus objektus, tačiau ekrano kopijų saugos tyrinėtojai rodo, kad ji užkoduoja tik tuos duomenis, kuriuos randa šiuose aplankuose:
- C:\Users\[Username]\Documents\
- C:\Users\[Username]\Pictures\
- C:\Users\[Username]\Videos\
- C:\Users\[Username]\Music\
Kitaip nei dauguma šio tipo kenkėjiškų programų, „Ransomwared“ nepalieka jokių išpirkos užrašų. Vietoj to, kai bus paruoštas šifravimas, jis pasirodo iššokančiame lange su tokiu pranešimu:
"Failai yra užšifruoti. Parodykite man, kokie mano papai, kad galėčiau juos iššifruoti."
Spustelėjus mygtuką Gerai, atidaromas kitas langas, kuris rodo, kad minėtuose keturiuose kataloguose esantys failai yra užšifruoti. Čia yra atkūrimo rakto laukas ir antrasis pranešimas:
"Jūs esate išpirktas! Norėdami atkurti failus, atsiųskite mums savo žinutes el. Paštu: sashagrey@blured.credit"
„Emsisoft“ tyrėjai atidžiau pažvelgė į naujus mėginius ir teisingai pažymėjo, kad sukčiai pamiršo paminėti, kokių zylių jie ieško. Ekspertai pasiūlė, kad užuot fotografavę nuogas savo nuotraukų ir nusiųsdami jas el. Paštu buvusios pornografijos žvaigždės vardu, aukos gali pabandyti nusiųsti mažų dainelių nuotraukas ir išsiaiškinti, ar tai patenkins nusikaltėlių norus. Tačiau net to padaryti nereikės, nes failus, užšifruotus naudojant „Ransomwared“, galima lengvai iššifruoti.
Atkuriant duomenis nereikia įtraukti nuogų nuotraukų
Prašyti aukų už nuogus paveikslėlius mainais už jų failų atrakinimą gali būti gana nauja technika, kurią naudoja „Ransomwared“ operatoriai, tačiau pati kenkėjiška programinė įranga visai nėra nauja. Kelios minutės „Google“ jums pasakys, kad deformacija pirmiausia buvo atliekama 2018 m. Pabaigoje ir, nors tuometiniai reikalavimai buvo šiek tiek tradiciškesni, „ransomware“ operacija buvo beveik tokia pati. Pamatę tai pirmą kartą, saugumo tyrėjai išanalizavo išpirkos programų grupę ir greitai suprato, kad ji nėra labai pažengusi.
„Ransomwared“ šifravimo mechanizmas remiasi DES (sutrumpintai „Data Encryption Standard“) - simetrinio rakto šifravimo algoritmu, sukurtu aštuntajame dešimtmetyje. Tai geriausiu metu silpnas algoritmas, ir, be abejo, atlikus naujausią „Ransomwared“ pavyzdžių techninę analizę paaiškėjo, kad raktas, atrakinantis žmonių failus, yra kenkėjiškų programų šaltinio kode saugomas paprastu tekstu.
Vis dėlto nereikia iššifruoti kodo, kad iššifruotumėte failus. Mėnesio pradžioje „Emsisoft“ išleido nemokamą iššifravimo įrankį, kuris gali atrakinti failus, užšifruotus naujomis ir senomis „Ransomwared“ versijomis.
„Ransomware“ aukos dažnai padaro klaidą, šokinėdamos pistoletu ir patenkindamos sukčių reikalavimus, negalvodamos apie pasekmes. Tačiau, kaip matote, dažnai užtenka kelių minučių tyrimų, kad sutaupytumėte keletą kripto monetų arba šiuo atveju visą gėdą. Minėti tyrimai taip pat gali suteikti jums supratimo, kaip svarbios yra atsarginės kopijos.