Attack Ransomware yra MedusaLocker variantas
Nagrinėdami naujus kenkėjiškų programų pavyzdžius, mūsų tyrėjų komanda aptiko išpirkos reikalaujančią programinę įrangą, žinomą kaip Attack.
Ši kenkėjiška programa, priklausanti MedusaLocker ransomware šeimai, užšifruoja duomenis ir prašo sumokėti už jos iššifravimą. Attack ransomware egzistuoja įvairiomis formomis ir kiekviena versija prideda skirtingą skaičių prie šifruotų failų plėtinio „.attack“. Pavyzdžiui, failas pavadinimu "1.jpg" gali būti paverstas į "1.jpg.attack7" ir tt Kai šifravimas baigtas, išpirkos reikalaujanti programa sukuria pranešimą pavadinimu "how_to_back_files.html", kuriame reikalaujama išpirkos. Iš pranešimo tampa akivaizdu, kad išpirkos reikalaujanti programa skirta įmonėms, o ne asmenims.
Išpirkos pranešime nurodoma, kad užpuolikai įsiskverbė į aukos įmonės tinklą ir užšifravo jų failus naudodami pažangius kriptografinius algoritmus (RSA ir AES). Jis įspėja, kad nebūtų bandoma pervardyti ar modifikuoti užšifruotus failus arba naudoti trečiųjų šalių iššifravimo įrankius, nes dėl to failai bus visam laikui neatkuriami. Be to, pranešime teigiama, kad iš aukos tinklo buvo pavogti itin jautrūs duomenys ir reikalaujama nenustatytos išpirkos, kuri padidės, jei per 72 valandas nepavyks užmegzti kontakto. Prieš patenkindamos išpirkos poreikį, aukos gali išbandyti iki trijų failų iššifravimą. Jei išpirka nebus sumokėta, užpuolikai grasina viešai atskleisti arba parduoti pavogtus duomenis.
„Attack Ransom Note“ žada iššifruoti tris failus
Visas „Attack“ išpirkos rašto tekstas skamba taip:
JŪSŲ ASMENS ID:
JŪSŲ ĮMONĖS TINKLAS BUVO PASIKVERTAS
Visi jūsų svarbūs failai buvo užšifruoti!Jūsų failai yra saugūs! Tik modifikuotas. (RSA+AES)
BETOKIE BANDYMAI ATSTATYTI JŪSŲ FAILUS SU TREČIŲJŲ ŠALIŲ PROGRAMINĖ ĮRANGA
NEMOKAMAI KORUMPUOŠ.
NEMODIKUOKITE KRIPTŲ FAILŲ.
NEPERVARDYKITE KRIPTŲ FAILŲ.Jokia internete prieinama programinė įranga negali jums padėti. Mes vieninteliai sugebame
išspręsti savo problemą.Mes rinkome labai konfidencialius / asmeninius duomenis. Šiuo metu šie duomenys yra saugomi
privatus serveris. Šis serveris bus nedelsiant sunaikintas po jūsų mokėjimo.
Jei nuspręsite nemokėti, mes paskelbsime jūsų duomenis viešai arba perpardavėjui.
Taigi galite tikėtis, kad artimiausiu metu jūsų duomenys bus viešai prieinami.Mes tik siekiame pinigų ir mūsų tikslas nėra pakenkti jūsų reputacijai ar užkirsti kelią
jūsų verslas nebebus vykdomas.Galite atsiųsti mums 2-3 nesvarbius failus ir mes juos iššifruosime nemokamai
įrodyti, kad galime grąžinti jūsų failus.Susisiekite su mumis dėl kainos ir gaukite iššifravimo programinę įrangą.
paštas:
ithelp01@decorous.cyo
ithelp01@decorous.cyo
- Norėdami susisiekti su mumis, susikurkite naują nemokamą el. pašto paskyrą svetainėje: protonmail.com
JEI NESUSISIEKITE SU MUMIS PER 72 VALANDAS, KAINA BUS DIDESNĖ.
Kaip paprastai platinama „Ransomware Like Attack“?
Išpirkos reikalaujančios programos, tokios kaip Attack, paprastai platinamos įvairiais būdais, įskaitant sukčiavimo el. laiškus, išnaudojimo rinkinius, kenkėjišką reklamą, socialinę inžineriją ir nuotolinio darbalaukio protokolo (RDP) atakas. Sukčiavimo el. laiškuose paprastai yra kenkėjiškų priedų arba nuorodų, kurias spustelėjus atsisiunčiama ir vykdoma išpirkos reikalaujanti programa. Išnaudojimo rinkiniai išnaudoja programinės įrangos ar operacinių sistemų pažeidžiamumą, kad pristatytų ir įdiegtų išpirkos reikalaujančią programinę įrangą.
Kenkėjiška reklama apima kenkėjiško kodo įdėjimą į teisėtus internetinius skelbimus, kuriuos spustelėjus atsisiunčiama ir įdiegiama išpirkos reikalaujanti programa. Socialinės inžinerijos taktika naudojama siekiant apgauti vartotojus, kad jie atsisiųstų ir paleistų išpirkos reikalaujančią programinę įrangą, o KPP atakos apima žiaurius KPP kredencialus, kad būtų galima pasiekti sistemą ir įdiegti išpirkos reikalaujančią programinę įrangą. Nepriklausomai nuo naudojamo metodo, svarbu būti atsargiems ir laikytis geriausios praktikos, kad netaptumėte išpirkos reikalaujančių programų atakų aukomis.
