„Trash Panda Ransomware“ rodo neįprastą išpirkos užrašą

Įprastai nagrinėjant neseniai pateiktus failus, mūsų tyrimų grupė aptiko „Trash Panda“ išpirkos reikalaujančios programos variantą. Ši konkreti kenkėjiška programinė įranga buvo aptikta mūsų nuolatinių pastangų tirti kylančias grėsmes dalis.

Paleidusi „Trash Panda“ pavyzdį mūsų kontroliuojamoje bandymo aplinkoje, programa nedelsdama pradėjo duomenų šifravimo procedūrą. Dėl to failų pavadinimai buvo pakeisti, pridėjus plėtinį „.monochrome“. Pavyzdžiui, failas pavadinimu „1.jpg“ buvo greitai paverstas „1.jpg.monochrome“, o „2.png“ tapo „2.png.monochrome“ ir pan. Pasibaigus šiam šifravimo procesui, buvo sugeneruotas išpirkos laiškas, pažymėtas „[random_string]-readme.html“.

„Trash Panda“ naudojama išpirkos kupiūra perteikia nerimą keliančią žinią, kad aukos failai buvo saugiai užšifruoti. Toliau rašte raginama susisiekti su kenkėjiškais veikėjais, kurie užpuolė, kad būtų pradėtas pažeistų duomenų atkūrimo procesas. Įtrauktas esminis įspėjimas, pabrėžiantis, kad nepavykus užmegzti ryšio su kibernetiniais nusikaltėliais, kol atgalinis atskaitos laikrodis nepasieks nulio, iššifravimo raktas bus ištrintas visam laikui, todėl bet kokie bandymai atkurti duomenis bus beprasmiški.

„Trash Panda Ransom Note“ užsimena apie karinį konfliktą

Visame „Trash Panda“ išpirkos programinės įrangos tekste naudojamas „leet-speak“, raides pakeičiant skaičiais, ir kalbama apie kažkokį ginkluotą konfliktą, nenurodant nieko konkretaus. Pastaba skamba taip:

Komanda Trash Panda buvo čia

Visus jūsų failus mes išmetėme į šiukšliadėžę

7r45H P4ND4 Asomeware

Padarykime D341. Jūs išlaisvinate mūsų žmones. Atlaisviname jūsų duomenis.

Nebandykite atkurti jokio failo. Visi failai buvo išmesti naudojant labai pažangų šifravimo standartą, nustatytą JAV nacionalinio standartų ir technologijų instituto (NIST). Norėdami sužinoti, kaip failai buvo išmesti į šiukšliadėžę, galite patikrinti šią nuorodą. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Mums nerūpi jūsų duomenys. Mums nerūpi pinigai. Mes norime, kad mūsų šeima grįžtų pas mus, o JŪS IŠLIKITE IŠ MŪSŲ TĖVYNĖS.

Oi, BTW, jūs turite ribotą laiką priimti sprendimą. Ištrinsime pagrindinį raktą, kai pasibaigs atgalinio skaičiavimo laikrodis. Paskubėk ~ Paskubėk ~

PO JŪSŲ RAKTAS BUS IŠTINTAS
(atgalinės atskaitos laikmatis)

Su mumis galite susisiekti -

Jei norite susigrąžinti failus, įveskite šį raktą į įvesties formą. Susisieksime su jumis vėliau

Kaip „Ransomware“ kaip „Trash Panda“ platinama internete?

Išpirkos reikalaujančios programos, tokios kaip „Trash Panda“, platinimas paprastai apima įvairias taktikas ir metodus, skirtus pažeidžiamumui, vartotojų elgesiui ir technologinėms trūkumams išnaudoti. Nors neturiu konkrečios informacijos apie „Trash Panda“ platinimo metodus, nes mano žinių pabaiga yra 2021 m. rugsėjį, galiu pateikti bendrų įžvalgų apie tai, kaip dažniausiai platinama išpirkos reikalaujanti programinė įranga:

• Sukčiavimo el. laiškai: kibernetiniai nusikaltėliai dažnai siunčia įtikinamus el. laiškus, kurie atrodo iš teisėtų šaltinių ir kuriuose yra kenkėjiškų priedų ar nuorodų. Kai naudotojai sąveikauja su šiais priedais ar nuorodomis, išpirkos reikalaujanti programa atsisiunčiama ir vykdoma jų sistemoje.
• Kenkėjiška reklama: kenkėjiškos reklamos svetainėse arba skelbimų tinkluose gali nukreipti vartotojus į svetaines, kuriose yra išpirkos reikalaujančios programos. Paprasčiausiai apsilankius pažeistoje svetainėje, išpirkos reikalaujanti programa gali būti atsisiunčiama į aukos kompiuterį.
• Atsisiuntimai pagal diską: kibernetiniai nusikaltėliai gali išnaudoti programinės įrangos, papildinių ar naršyklės komponentų pažeidžiamumą, kad naudotojo sistemoje pateiktų išpirkos reikalaujančią programinę įrangą be jokios vartotojo sąveikos. Tai žinoma kaip atsisiuntimas pagal automobilį.
• Sukompromituoti programinės įrangos montuotojai: užpuolikai gali įsiskverbti į teisėtus programinės įrangos montuotojus, papildydami išpirkos reikalaujančią programinę įrangą. Kai vartotojai atsisiunčia ir įdiegia programinę įrangą iš pažeistų šaltinių, išpirkos reikalaujanti programinė įranga taip pat įdiegiama.
• Nuotolinio darbalaukio protokolo (RDP) atakos: užpuolikai gali nusitaikyti į sistemas su silpnais arba neapsaugotais KPP ryšiais. Jie gauna prieigą ir įdiegia išpirkos reikalaujančią programinę įrangą rankiniu būdu arba naudoja automatinius įrankius, kad pristatytų išpirkos reikalaujančią programinę įrangą.
• Kenkėjiškos makrokomandos: kenkėjiškos makrokomandos, įterptos į „Microsoft Office“ dokumentus, gali būti naudojamos norint atsisiųsti ir vykdyti išpirkos reikalaujančią programinę įrangą, kai naudotojai šiuose dokumentuose įgalina makrokomandas.