WannaCry 3.0 Ransomware, platinama netikrų žaidimų diegimo programose

WannaCry 3.0 yra kaip išpirkos reikalaujanti programa, kuri prisidengia nauja liūdnai pagarsėjusios WannaCry išpirkos reikalaujančios programos pakartojimu. Tokios apsimetėlių programos dažnai pasinaudoja savo pirmtakų reputacija.

Įdomu tai, kad „WannaCry 3.0“ iš tikrųjų yra pagrįsta atvirojo kodo „Crypter“ („Python“) išpirkos programa. Ransomware patenka į kenkėjiškų programų, skirtų duomenims užšifruoti ir reikalauti sumokėti už iššifravimą, kategorijai.

Bandymų metu „WannaCry 3.0“ sėkmingai užšifravo failus mūsų bandomajame įrenginyje ir prie jų failų pavadinimų pridėjo „.wncry“ plėtinį, atspindintį tikrojo „WannaCry“ varianto veikimą. Pavyzdžiui, failas iš pradžių pavadintas „1.jpg“ būtų rodomas kaip „1.jpg.wncry“, o „2.png“ taptų „2.png.wncry“ ir pan. Be to, išpirkos reikalaujanti programa ištrynė „Volume Shadow Copies“ ir pradėjo keisti darbalaukio foną kartu su iššokančiu langu, kuriame buvo rodomi išpirkos užrašai.

Pažymėtina, kad WannaCry 3.0 išpirkos reikalaujančios programinės įrangos platinimas buvo pastebėtas naudojant apgaulingas sąrankas, kurios pridengtos vaizdo žaidimų instaliacijomis. Ataskaitose nurodyta, kad „WannaCry 3.0“ išpirkos reikalaujanti programinė įranga buvo platinama per suklastotus „Enlisted“ kelių žaidėjų pirmojo asmens šaudyklės vaizdo žaidimo diegimo įrenginius, skirtus konkrečiai Rusijos žaidėjams. Sugadintos diegimo programos buvo išplatintos per svetainę rusų kalba, pasinaudojant Enlisted kaip nemokamo žaidimo statusu.

Paleidus diegimo programą, atsisiųstą iš apgaulingos svetainės, buvo atsisakyta dviejų vykdomųjų failų: „ENLIST~1“, vaizduojantis patį vaizdo žaidimą, ir „enlisted“, kuris į sistemą įtraukė WannaCry 3.0 išpirkos reikalaujančią programinę įrangą.

Aukos savo darbalaukio fone mato pranešimą, pranešantį apie jų failų šifravimą ir instrukcijas, kaip pasiekti tolesnę informaciją, jei užblokuotas išpirkos reikalaujančios programos iššokantis langas.

Pagal iššokantįjį langą užšifruoti failai nepasiekiami dėl šifravimo naudojant AES-256 kriptografinį algoritmą. Iššifravimo raktą, reikalingą paveiktiems duomenims atkurti, turi tik užpuolikai.

Kibernetiniai nusikaltėliai aukoms suteikia trijų dienų laikotarpį susisiekti su jais ir sumokėti išpirką. Jei per nurodytą laikotarpį nesilaikoma reikalavimų, iššifravimo raktas ištrinamas visam laikui, o tai lemia neatšaukiamą duomenų praradimą. Išpirkos rašte įspėjama nebandyti pašalinti išpirkos reikalaujančios programos arba naudoti antivirusinę programinę įrangą, nes dėl šių veiksmų failai tampa neatkuriami.

„WannaCry 3.0“ kontaktams naudoja „Telegram Bot“.

Visas WannaCry 3.0 sugeneruotas išpirkos rašto tekstas skamba taip:

WannaCry 3.0
JŪSŲ FAILAI BUVO UŽšifruoti!

Susisiekite su mūsų robotu Telegramoje: wncry_support_bot

Kas atsitiko mano kompiuteriui?

Svarbūs failai jūsų kompiuteryje buvo užšifruoti naudojant karinio lygio AES-256 bitų šifravimą.
Jūsų dokumentai, vaizdo įrašai, vaizdai ir kitų formų duomenys dabar nepasiekiami ir negali būti atrakinti be iššifravimo rakto.
Šis raktas šiuo metu saugomas nuotoliniame serveryje.

Norėdami gauti šį raktą, susisiekite su mūsų „Telegram Bot“: wncry_support_bot ir perveskite iššifravimo mokestį nurodytu piniginės adresu, kol nesibaigs laikas.
Jei per šį laikotarpį nesiimsite veiksmų, iššifravimo raktas bus sunaikintas ir prieiga prie failų bus visam laikui prarasta.
Galbūt esate užsiėmę ieškodami būdo atkurti failus, bet nešvaistykite laiko. Niekas negali atkurti jūsų failų be mūsų iššifravimo paslaugos.

Ar galiu atkurti savo failus?

Žinoma. Garantuojame, kad galite saugiai ir lengvai atkurti visus failus. Bet jūs neturite pakankamai laiko.
Bet jei norite iššifruoti visus failus, turite sumokėti.
Turite tik 3 dienas sumokėti mokėjimą.
Jei nesumokėsite per 3 dienas, failų atkurti negalėsite amžinai.

Kaip man mokėti?

Susisiekite su mūsų robotu Telegramoje: wncry_support_bot

REKOMENDUOJAME NEPAŠALINTI ŠIOS PROGRAMINĖS ĮRANGOS IR IŠJUNGTI ANTIVIRUSĄ TURKIAI, KOL MOKĖSITE IR MOKĖJIMAS BUS APdorotas.
JEI JŪSŲ ANTIVIRUSINĖ BŪS ATNAUJINAMA IR AUTOMATINIS KIEKIS PAŠALINUS ŠIĄ PROGRAMINĘ ĮRANGĄ, JI NEGALĖS ATGAUTI JŪSŲ FAILŲ, NET JEI MOKĖSITE!

Kaip galite apsaugoti savo failus nuo Ransomware?

Norint užtikrinti failų saugumą nuo išpirkos reikalaujančių programų, reikia įgyvendinti prevencines priemones ir aktyvią praktiką. Štai keletas esminių žingsnių, kaip apsaugoti failus nuo išpirkos reikalaujančių programų:

• Reguliariai kurkite atsargines failų kopijas: reguliariai kurkite svarbių duomenų atsargines kopijas išoriniuose įrenginiuose arba debesies saugykloje. Tokiu būdu, net jei jūsų failai tampa užšifruoti arba nepasiekiami dėl išpirkos reikalaujančios programos, galite juos atkurti iš saugios atsarginės kopijos.
• Naudokite patikimą saugos programinę įrangą: savo įrenginiuose įdiekite patikimą antivirusinę ir kenkėjiškų programų programinę įrangą. Atnaujinkite programinę įrangą ir įjunkite automatinio nuskaitymo bei apsaugos realiuoju laiku funkcijas. Tai padeda aptikti ir blokuoti išpirkos reikalaujančias programas, kol jos gali pažeisti jūsų failus.
• Atnaujinkite operacinę sistemą ir programinę įrangą: reguliariai atnaujinkite operacinę sistemą, programas ir programinę įrangą naudodami naujausius saugos pataisymus ir klaidų pataisymus. Į programinės įrangos naujinius dažnai įtraukiami saugos patobulinimai, kurie gali apsaugoti nuo žinomų spragų, kurias išnaudoja išpirkos reikalaujančios programos.
• Būkite atsargūs su el. pašto priedais ir nuorodomis: būkite budrūs atidarydami el. laiškų priedus arba spustelėdami nuorodas, ypač jei jos yra iš nežinomų ar įtartinų šaltinių. Ransomware dažnai plinta per el. pašto sukčiavimo kampanijas, todėl būkite atsargūs ir bendraukite tik su patikimais šaltiniais.

Būkite atsargūs atsisiųsdami iš nepatvirtintų šaltinių: venkite atsisiųsti programinės įrangos, failų ar medijos turinio iš nepatikimų ar neoficialių šaltinių. Laikykitės patikimų svetainių ir oficialių programų parduotuvių, kad sumažintumėte išpirkos reikalaujančių failų atsisiuntimo riziką.