ReadText Ransomware užšifruos jūsų diskus

Nagrinėdami naujus pareiškimus, mūsų tyrimų grupė susidūrė su „ReadText“ išpirkos reikalaujančia programine įranga. Ši kenkėjiška programinė įranga priklauso MedusaLocker ransomware šeimai.

„ReadText“ veikia taip, kaip būdinga išpirkos reikalaujančioms programoms. Jis užšifravo failus mūsų bandomajame įrenginyje, prie pradinių failų pavadinimų pridėdamas plėtinį „.readtext4“. Konkretus skaičius, naudojamas kuriant smulkų plėtinį, gali skirtis priklausomai nuo išpirkos reikalaujančios programos varianto. Pavyzdžiui, failas, iš pradžių pavadintas „1.jpg“, būtų paverstas „1.jpg.readtext4“, o „2.png“ – į „2.png.readtext4“ ir pan.

Vėliau jis įnešė išpirkos pranešimą pavadinimu „How_to_back_files.html“. Iš šio pranešimo akivaizdu, kad „ReadText“ yra skirtas verslui ir naudoja dvigubo turto prievartavimo taktiką.

Su ReadText išpirkos programa susijusiame užraše teigiama, kad aukos įmonės tinklas buvo pažeistas. Svarbūs failai buvo užšifruoti, o neskelbtini arba asmeniniai duomenys buvo pagrobti.

Pranešime patariama nekeisti šifruotų failų pavadinimų ar bandyti atkurti naudojant trečiosios šalies iššifravimo įrankius, nes tokie veiksmai padarys duomenis neatkuriamus.

Auka informuojama apie būtinybę sumokėti išpirką. Jei nesilaikysite reikalavimų, išfiltruoti duomenys bus nutekinti arba parduoti. Be to, uždelsus susisiekti daugiau nei 72 valandas, išpirkos suma padidės. Prieš atlikdamas mokėjimą, auka turi galimybę išbandyti iššifravimo procesą, nusiųsdama užpuolikams du ar tris užšifruotus failus.

„ReadText Ransom Note“ gresia duomenų nutekėjimu

Visas ReadText išpirkos rašto tekstas yra toks:

JŪSŲ ASMENS ID:

JŪSŲ ĮMONĖS TINKLAS BUVO PASIKVERTAS
Visi jūsų svarbūs failai buvo užšifruoti!

Jūsų failai yra saugūs! Tik modifikuotas. (RSA+AES)

BETOKIE BANDYMAI ATSTATYTI JŪSŲ FAILUS SU TREČIŲJŲ ŠALIŲ PROGRAMINĖ ĮRANGA
NEMOKAMAI KORUMPUOŠ.
NEMODIKUOKITE KRIPTŲ FAILŲ.
NEPERVARDYKITE KRIPTŲ FAILŲ.

Jokia internete prieinama programinė įranga negali jums padėti. Mes vieninteliai sugebame
išspręsti savo problemą.

Mes rinkome labai konfidencialius / asmeninius duomenis. Šiuo metu šie duomenys yra saugomi
privatus serveris. Šis serveris bus nedelsiant sunaikintas po jūsų mokėjimo.
Jei nuspręsite nemokėti, mes paskelbsime jūsų duomenis viešai arba perpardavėjui.
Taigi galite tikėtis, kad artimiausiu metu jūsų duomenys bus viešai prieinami.

Mes tik siekiame pinigų ir mūsų tikslas nėra pakenkti jūsų reputacijai ar užkirsti kelią
jūsų verslas nebebus vykdomas.

Galite atsiųsti mums 2-3 nesvarbius failus ir mes juos iššifruosime nemokamai
įrodyti, kad galime grąžinti jūsų failus.

Susisiekite su mumis dėl kainos ir gaukite iššifravimo programinę įrangą.

paštas:
ithelp15@securitymy.name
ithelp15@yousheltered.com

Norėdami susisiekti su mumis, susikurkite naują nemokamą el. pašto paskyrą svetainėje: protonmail.com
JEI NESUSISIEKITE SU MUMIS PER 72 VALANDAS, KAINA BUS DIDESNĖ.

„Tor-chat“, kad visada palaikytumėte ryšį:

Kaip „Ransomware“ platinama internete?

Išpirkos reikalaujančios programos internete platinamos įvairiais būdais, dažnai išnaudojant programinės įrangos pažeidžiamumą, socialinės inžinerijos metodus ir kenkėjiškus priedus ar nuorodas. Štai keletas dažniausiai pasitaikančių išpirkos reikalaujančių programų platinimo būdų:

Sukčiavimo el. laiškai:
Sukčiavimo el. laiškai yra paplitęs išpirkos reikalaujančių programų platinimo būdas. Užpuolikai siunčia apgaulingus el. laiškus, kurie atrodo iš teisėtų šaltinių, pvz., bankų, vyriausybinių agentūrų ar patikimų organizacijų. Šiuose el. laiškuose yra kenkėjiškų priedų arba nuorodų, kurias spustelėjus arba atidarius, aukos kompiuteryje atsisiunčiama ir vykdoma išpirkos reikalaujanti programinė įranga.

Klaidinga reklama:
Kenkėjiška reklama apima kibernetinius nusikaltėlius, kurie teisėtose svetainėse talpina kenkėjišką reklamą. Kai vartotojas spustelėja šiuos skelbimus, jis gali nesąmoningai suaktyvinti išpirkos reikalaujančios programos atsisiuntimą arba būti nukreiptas į svetainę, kurioje yra išnaudojimo rinkiniai, kurie vėliau pateikia išpirkos reikalaujančią programinę įrangą.

„Drive-by“ atsisiuntimai:
Greitai atsisiunčiama, kai vartotojas apsilanko pažeistoje ar kenkėjiškoje svetainėje. Kai kuriais atvejais svetainė išnaudoja vartotojo žiniatinklio naršyklės pažeidžiamumą arba papildinius, kad automatiškai atsisiųstų ir įdiegtų išpirkos reikalaujančias programas lankytojo sistemoje be jokio vartotojo sąveikos.

Išnaudojimo rinkiniai:
Išnaudojimo rinkiniai yra įrankių rinkiniai, kuriuos užpuolikai naudoja aukos programinės įrangos pažeidžiamumui nustatyti ir išnaudoti. Kai vartotojas apsilanko pažeistoje svetainėje arba spusteli kenkėjišką nuorodą, išnaudojimo rinkinys nuskaito pažeidžiamumą ir pateikia išpirkos reikalaujančią programinę įrangą, jei pažeidžiamumas randamas.

Nuotolinio darbalaukio protokolo (RDP) atakos:
Užpuolikai taikosi į atvirus KPP prievadus ir bando gauti neteisėtą prieigą prie aukos kompiuterio ar tinklo. Patekę į vidų, jie diegia išpirkos reikalaujančią programinę įrangą tiesiai į sistemą.

Kenkėjiški priedai:
Išpirkos reikalaujančios programos gali būti platinamos naudojant el. pašto priedus, dažnai užmaskuotus kaip nekenksmingi failai, pvz., PDF, Word dokumentai ar ZIP archyvai. Kai šie priedai atidaromi, jie vykdo kenkėjiškus scenarijus arba makrokomandas, kurios inicijuoja išpirkos reikalaujančios programos atsisiuntimą.