Visa Ransomware gresia duomenų nutekėjimu

Tirdami naujai pateiktus kenkėjiškų programų pavyzdžius, mūsų mokslininkai aptiko išpirkos reikalaujančią programą, pavadintą „Visa“. Mes nustatėme, kad jis yra gautas iš Keylock išpirkos reikalaujančios programos. Ši kenkėjiška programinė įranga užšifruoja duomenis ir reikalauja išpirkos už jų iššifravimą.

Mūsų bandymų metu „Visa“ išpirkos reikalaujanti programa užšifravo failus ir prie jų pavadinimų pridėjo plėtinį „.whole“. Pavyzdžiui, failas, pavadintas „1.jpg“, būtų rodomas kaip „1.jpg.whole“, o „2.png“ kaip „2.png.whole“.

Kai šifravimo procesas buvo baigtas, darbalaukio ekrano užsklanda buvo pakeista ir sugeneruotas išpirkos laiškas pavadinimu „README-ID-[aukos_ID].txt“. Iš šio užrašo turinio akivaizdu, kad ši išpirkos reikalaujanti programinė įranga pirmiausia skirta įmonėms, o ne individualiems vartotojams.

Darbalaukio fone „Visas“ rodomas pranešimas nurodo aukai perskaityti susijusį tekstinį failą („README-ID-[victim's_ID].txt“). Šiame išpirkos rašte paaiškinama, kad aukos failai buvo užšifruoti, ir užtikrinama, kad jų unikalus iššifravimo raktas yra saugiai saugomas užpuoliko serveriuose.

Atkūrimą galima išbandyti nemokamai, elektroniniams nusikaltėliams išsiuntus kelis užšifruotus failus (laikantis tam tikrų gairių). Jei auka nebandys susisiekti su užpuolikais per 3 dienas, gali būti atskleisti arba parduoti jo jautrūs su verslu susiję duomenys.

Pranešime taip pat pateikiami įspėjimai, informuojantys auką, kad pervadinus ar pakeitus paveiktus failus, taip pat naudojant trečiųjų šalių atkūrimo įrankius ar antivirusinę programinę įrangą, duomenys gali būti neatkuriami.

Visas Ransomware Drops Lengthy Note

Visas išpirkos rašto tekstas skamba taip:

JŪSŲ FAILAI YRA KRIPTUOTI

Jūsų failai buvo užšifruoti naudojant stiprius šifravimo algoritmus ir modifikuoti!
Nesijaudinkite, jūsų unikalus šifravimo raktas yra saugiai saugomas mūsų serveryje, o jūsų duomenys gali būti greitai ir saugiai iššifruoti.

Galime įrodyti, kad galime iššifruoti visus jūsų duomenis. Tiesiog atsiųskite mums 3 nesvarbius, mažus (~2 MB) užšifruotus failus, kurie atsitiktinai saugomi jūsų serveryje. Taip pat kiekviename aplanke pridėkite šį mūsų paliktą failą README-ID-.txt.
Šiuos failus iššifruosime ir atsiųsime jums kaip įrodymą. Atminkite, kad nemokamo bandomojo iššifravimo failuose neturėtų būti vertingos informacijos.

Jei nepradėsite dialogo su mumis per 72 valandas, būsime priversti paskelbti jūsų failus viešai. Jūsų klientai ir partneriai bus informuoti apie duomenų nutekėjimą.
Tokiu būdu jūsų reputacija bus sugriauta. Jei nereaguosite, būsime priversti parduoti svarbiausią informaciją, pvz., duomenų bazes ir asmeninius duomenis, suinteresuotoms šalims, kad gautume pelno.

Jei norite išspręsti šią situaciją, laiške pridėkite šį failą README-ID-.txt ir parašykite VISAIS šiais 2 el. pašto adresais:

pmmx@techmail.info
wholekey@mailfence.com

SVARBU!
Rekomenduojame susisiekti tiesiogiai su mumis, kad agentai nepermokėtų.
Prašome siųsti savo pranešimą VISAIS mūsų 2 el. pašto adresais, nes dėl įvairių priežasčių jūsų el. laiškas gali būti nepristatytas.
Mūsų žinutė gali būti atpažinta kaip šlamštas, todėl būtinai patikrinkite šlamšto aplanką.
Jei per 24 valandas neatsakome, parašykite mums iš kito el. pašto adreso.
Negaiškite laiko, tai atneš tik papildomos žalos jūsų įmonei.
Nepervardykite ir nebandykite iššifruoti failų patys. Mes negalėsime jums padėti, jei failai bus modifikuoti.
Jei bandysite naudoti bet kokią trečiosios šalies programinę įrangą duomenims atkurti ar antivirusiniams sprendimams, sukurkite visų šifruotų failų atsarginę kopiją.
Jei iš esamo kompiuterio ištrinsite užšifruotus failus, gali nepavykti jų iššifruoti.

Kaip Ransomware gali patekti į jūsų sistemą?

Ransomware gali įsiskverbti į jūsų sistemą įvairiomis priemonėmis, o suprasti šiuos įėjimo taškus yra labai svarbu, norint apsaugoti jūsų sistemą nuo tokių atakų. Štai dažni būdai, kaip išpirkos reikalaujančios programos gali patekti į jūsų sistemą:

• El. pašto priedai: Sukčiavimo el. laiškai yra paplitęs išpirkos reikalaujančių programų platinimo būdas. Kibernetiniai nusikaltėliai siunčia iš pažiūros teisėtus el. laiškus su užkrėstais priedais (pvz., PDF, Word dokumentais ar ZIP failais) arba nuorodomis į kenkėjiškas svetaines. Kai vartotojai atidaro šiuos priedus arba spusteli nuorodas, išpirkos reikalaujanti programa atsisiunčiama ir vykdoma jų sistemose.
• Kenkėjiškos nuorodos: Ransomware taip pat gali būti pristatyta naudojant apgaulingas ar kenkėjiškas nuorodas el. laiškuose, momentiniuose pranešimuose ar svetainėse. Spustelėjus šias nuorodas, gali būti atsisiunčiama ir vykdoma išpirkos reikalaujanti programinė įranga.
• Piktybinis reklamavimas: kibernetiniai nusikaltėliai gali naudoti kenkėjiškas reklamas (kenksmingas reklamas) teisėtose svetainėse, kad pristatytų išpirkos reikalaujančias programas. Paprasčiausiai apsilankius pažeistoje svetainėje su šiais skelbimais, gali būti automatiškai atsisiunčiama kenkėjiška programa.
• Pažeidžiamumų išnaudojimas: Ransomware autoriai gali išnaudoti jūsų operacinės sistemos ar programų programinės įrangos spragas. Jei jūsų sistemoje nėra saugos pataisų, ji gali būti pažeidžiama išnaudojimų atakų.
• Atsisiuntimai pagal diską: Ransomware gali būti pristatytas naudojant „atsiuntimus pagal diską“, kai naudotojai nesąmoningai atsisiunčia kenkėjišką kodą lankydamiesi pažeistose ar kenkėjiškose svetainėse. Šie atsisiuntimai gali būti atliekami be jokio vartotojo sąveikos ar sutikimo.
• Nuotolinio darbalaukio protokolo (RDP) atakos: užpuolikai gali išnaudoti silpnus arba numatytuosius KPP kredencialus, kad gautų prieigą prie nuotolinių sistemų. Patekę į vidų, jie gali įdiegti išpirkos reikalaujančią programinę įrangą ir užšifruoti failus.
• Programinės įrangos atsisiuntimai: atsisiunčiant programinę įrangą arba failus iš nepatikimų arba piratinių šaltinių, jūsų sistema gali būti apnuoginta išpirkos reikalaujančia programine įranga. Neteisėta programinė įranga arba nulaužtos versijos dažnai būna su paslėptomis kenkėjiškomis programomis.