Kaip sustabdyti ir pašalinti „Cash Ransomware“.

Kibernetinės grėsmės aplinka sukėlė dar vieną grėsmę, žinomą kaip „Cash Ransomware“. Ši kenkėjiška programa, sukurta to paties grėsmės veikėjo už „Cash RAT“ (nuotolinės prieigos Trojos arklys) ir „MintStealer“, skirta šifruoti duomenis ir reikalauti sumokėti už iššifravimą. „Cash Ransomware“ prideda šifruotų failų pavadinimus su „.CashRansomware“ plėtiniu, paversdama „1.jpg“ į „1.jpg.CashRansomware“ ir „2.png“ į „2.png.CashRansomware“.

Išsami informacija apie „Ransom Note“.

„Cash Ransomware“ sukuria tris išpirkos kupiūras: darbalaukio foną, iššokantįjį langą ir HTML failą pavadinimu „Cash Ransomware.html“. Šie užrašai, nors ir skiriasi savo išvaizda, perteikia tą pačią svarbią informaciją:

• Pranešimas, kad failai buvo užšifruoti.
• Norint iššifruoti duomenis, reikalaujama sumokėti išpirką.
• Įspėjimai dėl veiksmų, kurie gali trukdyti atkurti duomenis.

Pranešimuose nurodoma, kad failai buvo užšifruoti naudojant XChaCha20, Poly1305 ir AES-256-GCM kriptografinius algoritmus. Už iššifravimą aukoms nurodyta sumokėti 80 USD Monero (XMR) kriptovaliuta. Be to, pastabose įspėjama neleisti iš naujo paleisti įrenginio arba neleisti antivirusinių programų, nes dėl šių veiksmų failai gali būti visam laikui neiššifruoti. Taip pat nerekomenduojama atsijungti nuo tinklo, nes tai gali trukdyti deryboms ir atkūrimo pastangoms.

„Cash Ransomware“ užrašas skamba taip:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Grynųjų pinigų išpirkos programų analizė

Remiantis didele patirtimi tiriant išpirkos reikalaujančių programų infekcijas, akivaizdu, kad iššifravimas be užpuolikų dalyvavimo retai įmanomas. Išpirkos sumokėjimas negarantuoja duomenų atkūrimo, nes kibernetiniai nusikaltėliai dažnai nesugeba pateikti iššifravimo rakto net ir įvykdžius jų reikalavimus. Todėl primygtinai nerekomenduojama vykdyti išpirkos reikalavimų, nes tai tik skatina nusikalstamą veiklą.

Įdomu tai, kad „Cash Ransomware“ reikalaujama išpirkos suma yra gana maža, o tai yra įtartina. „Ransomware“ iš namų vartotojų paprastai reikalauja nuo trijų iki keturių skaitmenų (USD). Kai išpirka yra neįprastai maža, užpuolikai gali nesivarginti aukoms siųsti atkūrimo įrankius, o tai rodo, kad išpirkos reikalaujanti programinė įranga gali būti naudojama pajamoms generuoti arba naujai programinei įrangai / technikoms išbandyti.

Sušvelninimas ir prevencija

Kad būtų išvengta tolesnio šifravimo, „Cash Ransomware“ turi būti pašalinta iš operacinės sistemos. Tačiau tai neatkurs jau paveiktų failų. Atkūrimas galimas tik iš atsarginės kopijos, pabrėžiant atsarginių kopijų išsaugojimo keliose vietose (pvz., nuotoliniuose serveriuose, atjungtuose saugojimo įrenginiuose) svarbą.

Dėmesio verti Ransomware pavyzdžiai

„LockBit 5“, „Risen“, „Cronus“, „Lynx“ ir „HorrorDead“ yra naujausi išpirkos reikalaujančių programų pavyzdžiai, kurie visi veikia panašiai, šifruodami duomenis ir reikalaudami sumokėti už iššifravimą. Išpirkos reikalaujančios programos pirmiausia skiriasi naudojamais kriptografiniais algoritmais (simetriniais arba asimetriniais) ir išpirkos dydžiu, kuris skiriasi priklausomai nuo tikslo (namų naudotojai ir dideli subjektai, pvz., korporacijos ir organizacijos).

Infekcijos vektoriai

„Cash Ransomware“ siūloma kaip „RaaS“ („Ransomware-as-a-Service“, o tai reiškia, kad jos kūrėjai ją parduoda kibernetiniams nusikaltėliams). Todėl platinimo būdas gali skirtis. Paprastai kenkėjiška programa plinta naudojant sukčiavimo ir socialinės inžinerijos taktiką, dažnai užmaskuojama kaip teisėtas turinys arba kartu su juo. Kenkėjiški failai gali būti vykdomieji failai, archyvai, dokumentai, „JavaScript“ ir kt., kurių atsisiuntimo / diegimo grandinė suaktyvinama atidarius užkrėstą failą.

Įprasti kenkėjiškų programų platinimo būdai:

• Loader/backdoor tipo trojos arklys.
• „Drive-by“ atsisiuntimai.
• Abejotini atsisiuntimo šaltiniai (pvz., nemokamos programos, P2P tinklai).
• Kenkėjiški priedai/nuorodos šlamšto laiškuose.
• Internetiniai sukčiai.
• Nelegalios programinės įrangos aktyvinimo („įlaužimo“) įrankiai.
• Netikri atnaujinimai.

Be to, kai kurios kenkėjiškos programos gali plisti savaime per vietinius tinklus ir išimamus saugojimo įrenginius.

Apsaugos priemonės

Norėdami apsisaugoti nuo ransomware infekcijų:

• Atsisiųskite tik iš oficialių ir patvirtintų kanalų.
• Aktyvuokite ir atnaujinkite programas naudodami originalias funkcijas / įrankius.
• Atsargiai elkitės su gaunamais el. laiškais ir žinutėmis.
• Venkite atidaryti įtartinų priedų ar nuorodų.
• Būkite budrūs naršydami, kad išvengtumėte apgaulingo turinio.
• Įdiekite ir reguliariai atnaujinkite patikimą antivirusinę programinę įrangą.
• Atlikite reguliarų sistemos nuskaitymą, kad aptiktumėte ir pašalintumėte grėsmes.

Jei jūsų kompiuteris yra užkrėstas Cash Ransomware, rekomenduojama atlikti nuskaitymą naudojant antikenkėjiškų programų programą, kad būtų automatiškai pašalinta grėsmė. Būkite saugūs ir saugokite savo duomenis laikydamiesi šios geriausios praktikos.