Mynvhefutrx Ransomware er en Snatch Clone

Mens vi undersøkte nylig innsendte filprøver, gjorde forskningsteamet vårt en betydelig oppdagelse: Mynvhefutrx ondsinnet programvare. Dette bestemte programmet tilhører Snatch ransomware-familien, en kategori av skadelig programvare designet for å kryptere filer og kreve løsepenger for utgivelsen.

Under testfasen vår observerte vi at Mynvhefutrx vellykket krypterte filer på vår utpekte maskin og la til utvidelsen ".mynvhefutrx" til deres originale filnavn. For eksempel, en fil opprinnelig kalt "1.jpg" transformert til "1.jpg.mynvhefutrx," mens "2.png" ble "2.png.mynvhefutrx," og så videre.

Etter fullføringen av krypteringsprosessen genererte løsepengevaren en løsepengenotat med tittelen "Hvordan GJENOPPER DINE MYNVHEFUTRX-FILER.TXT." Innholdet i dette notatet avslører at løsepengevaren primært retter seg mot bedriftsenheter i stedet for individuelle hjemmebrukere. Den informerer eksplisitt ofrene om kryptering av filene deres, ledsaget av en urovekkende detalj: over 100 GB av dataene deres har blitt trukket ut fra nettverket deres. De stjålne dataene inkluderer sensitiv informasjon som økonomiske poster, databaser, klientdetaljer, konfidensielle dokumenter og personopplysninger.

Løsepengeseddelen advarer eksplisitt ofrene mot å bruke tredjeparts dekrypteringsverktøy, og understreker at å gjøre det kan irreversibelt skade de berørte filene, og gjøre dem umulige å dekryptere. Videre advarer den om at det å ikke etablere kommunikasjon med angriperne innen en tre-dagers tidsramme kan føre til at nettkriminelle offentlig avslører de stjålne dataene.

Mynvhefutrx løsepengenotat truer datalekkasje

Den fullstendige teksten til Mynvhefutrx løsepengenotat lyder som følger:

Vi informerer deg om at nettverket ditt har gjennomgått en penetrasjonstest, hvor vi krypterte
filene dine og lastet ned mer enn 100 GB av dataene dine, inkludert:

Regnskap
Konfidensielle dokumenter
Personlig informasjon
Databaser
Klientfiler

Viktig! Ikke prøv å dekryptere filer selv eller bruk tredjepartsverktøy.
Programmet som kan dekryptere dem er vår dekryptering, som du kan be om fra kontaktene nedenfor.
Ethvert annet program kan bare skade filer.

Vær oppmerksom på at hvis vi ikke mottar svar fra deg innen 3 dager, forbeholder vi oss retten til å publisere filene dine.

Kontakt oss:

franklin1328@gmx.com eller protec5@tutanota.com

Hvordan kan løsepengevare som Mynvhefutrx komme inn i systemet ditt?

Ransomware som Mynvhefutrx kan bruke ulike metoder for å infiltrere datasystemer. Her er noen vanlige måter løsepengevare kan få tilgang på:

• E-postvedlegg: Ransomware spres ofte gjennom ondsinnede e-postvedlegg. Angripere sender e-poster som virker legitime, men vedleggene inneholder infiserte filer, for eksempel kjørbare filer eller Office-dokumenter innebygd med ondsinnede makroer. Når brukere åpner disse vedleggene, kjøres løsepengevaren og infiserer systemet.
• Phishing-kampanjer: Nettkriminelle kan starte phishing-kampanjer for å lure brukere til å klikke på skadelige lenker eller oppgi sensitiv informasjon. Disse phishing-e-postene etterligner legitime organisasjoner eller tjenester, og lokker brukere til å samhandle med uredelige nettsteder. Ved å klikke på slike lenker, laster brukere ubevisst ned løsepengeprogramvare til systemene sine.
• Ondsinnede nedlastinger: Ransomware kan være forkledd som legitim programvare eller filer tilgjengelig for nedlasting fra internett. Brukere kan ubevisst laste ned og kjøre infiserte filer fra upålitelige kilder, inkludert kompromitterte nettsteder, torrent-plattformer eller peer-to-peer-nettverk. Programvaresprekker, keygens og andre uoffisielle patcher er også vanlige bærere av løsepengeprogramvare.
• Utnyttelse av programvaresårbarheter: Nettkriminelle søker aktivt etter sårbarheter i operativsystemer, programvare eller plugins. De utvikler utnyttelser som kan omgå sikkerhetstiltak og injisere løsepengevare i systemer som ikke har blitt oppdatert med de siste oppdateringene og sikkerhetsfiksene. Denne metoden er spesielt effektiv når organisasjoner eller enkeltpersoner forsømmer regelmessige programvareoppdateringer.
• Remote Desktop Protocol (RDP)-angrep: RDP lar brukere koble seg eksternt til en annen datamaskin over et nettverk. Hvis angripere oppdager svak eller standard RDP-legitimasjon, kan de få uautorisert tilgang til et system og distribuere løsepengeprogramvare. De kan også utnytte RDP-sårbarheter for å infiltrere nettverk og spre løsepengevare til tilkoblede enheter.
• Drive-by-nedlastinger: Ransomware kan leveres gjennom drive-by-nedlastinger, som skjer når brukere besøker kompromitterte nettsteder. Disse nettstedene utnytter sårbarheter i brukerens nettleser eller plugins, og laster automatisk ned og kjører løsepengevare på systemet uten brukerinteraksjon eller samtykke.
• Malvertising: Nettkriminelle kan bruke ondsinnet reklame (malvertising) for å distribuere løsepengeprogramvare. De injiserer ondsinnet kode i legitime annonsenettverk eller viser villedende annonser på kompromitterte nettsteder. Når brukere klikker på disse annonsene, kan de ubevisst utløse nedlasting og kjøring av løsepengeprogramvare.
• Sosial teknikk og vannhullsangrep: Angripere kan manipulere brukere gjennom sosiale ingeniørteknikker, for eksempel å lokke dem til å klikke på infiserte lenker eller laste ned filer ved å skjule dem som noe ønskelig eller presserende. Vannhullsangrep innebærer å kompromittere legitime nettsteder som ofte besøkes av målgruppen og injisere løsepengevare på disse nettstedene, noe som øker sjansene for å infisere intetanende besøkende.