Hele ransomware truer datalekkasjer

Under vår undersøkelse av nylig innsendte prøver av skadelig programvare, kom forskerne våre over et løsepengeprogram kalt «Hele». Vi har bestemt at det er avledet fra Keylock løsepengevare. Denne ondsinnede programvaren krypterer data og krever løsepenger i bytte mot å dekryptere dem.

I vår testing krypterte "Whole" løsepengevaren filer og la til en ".whole"-utvidelse til filnavnene deres. For eksempel vil en fil som opprinnelig heter "1.jpg" vises som "1.jpg.whole" og "2.png" som "2.png.whole."

Når krypteringsprosessen var fullført, ble skrivebordsbakgrunnen endret, og en løsepengenotat med tittelen "README-ID-[victim's_ID].txt" ble generert. Fra innholdet i dette notatet er det tydelig at denne løsepengevaren primært retter seg mot bedrifter i stedet for individuelle brukere.

Meldingen som vises på skrivebordsbakgrunnen "Hele" instruerer offeret om å lese den tilknyttede tekstfilen ("README-ID-[offers_ID].txt"). Denne løsepengenotaen forklarer at offerets filer er kryptert og forsikrer dem om at deres unike dekrypteringsnøkkel er sikkert lagret på angripernes servere.

Gjenoppretting kan testes uten kostnad ved å sende noen få krypterte filer til nettkriminelle (innenfor visse retningslinjer). Hvis offeret ikke prøver å kontakte angriperne innen 3 dager, kan deres sensitive forretningsrelaterte data bli avslørt eller solgt.

Meldingen inneholder også advarsler som informerer offeret om at det å gi nytt navn til eller endre de berørte filene, samt bruk av tredjeparts gjenopprettingsverktøy eller antivirusprogramvare, kan gjøre dataene uopprettelige.

Hele ransomware slipper lang notis

Den fullstendige teksten til hele løsepengenotatet lyder som følger:

DINE FILER ER KRYPTERT

Filene dine er kryptert med sterke krypteringsalgoritmer og modifisert!
Ikke bekymre deg, din unike krypteringsnøkkel er lagret sikkert på serveren vår og dataene dine kan dekrypteres raskt og sikkert.

Vi kan bevise at vi kan dekryptere alle dataene dine. Vennligst send oss 3 ikke viktige, små (~2mb) krypterte filer, som er tilfeldig lagret på serveren din. Legg også ved denne filen README-ID-.txt som er igjen av oss i hver mappe.
Vi vil dekryptere disse filene og sende dem til deg som et bevis. Vær oppmerksom på at filer for gratis testdekryptering ikke skal inneholde verdifull informasjon.

Hvis du ikke starter en dialog med oss innen 72 timer, vil vi bli tvunget til å publisere filene dine i det offentlige domene. Dine kunder og partnere vil bli informert om datalekkasjen.
På denne måten vil ryktet ditt bli ødelagt. Hvis du ikke reagerer, vil vi bli tvunget til å selge den viktigste informasjonen som databaser og personopplysninger til interesserte parter for å generere noe fortjeneste.

Hvis du ønsker å løse denne situasjonen, legg ved denne filen README-ID-.txt i brevet og skriv til ALLE disse 2 e-postadressene:

pmmx@techmail.info
wholekey@mailfence.com

VIKTIG!
Vi anbefaler at du kontakter oss direkte for å unngå overbetalende agenter.
Vi ber om å sende meldingen din til ALLE våre 2 e-postadresser fordi det av ulike årsaker kan hende at e-posten din ikke blir levert.
Meldingen vår kan bli gjenkjent som spam, så sørg for å sjekke spam-mappen.
Hvis vi ikke svarer deg innen 24 timer, skriv til oss fra en annen e-postadresse.
Ikke kast bort tiden, det vil kun føre til ytterligere skade på bedriften din.
Vennligst ikke gi nytt navn og prøv å dekryptere filene selv. Vi vil ikke kunne hjelpe deg hvis filene blir endret.
Hvis du vil prøve å bruke tredjepartsprogramvare for å gjenopprette dataene dine eller antivirusløsninger, vennligst ta en sikkerhetskopi for alle krypterte filer.
Hvis du sletter noen krypterte filer fra den gjeldende datamaskinen, kan det hende du ikke kan dekryptere dem.

Hvordan kan løsepengevare komme inn i systemet ditt?

Ransomware kan infiltrere systemet ditt på ulike måter, og å forstå disse inngangspunktene er avgjørende for å beskytte systemet mot slike angrep. Her er vanlige måter løsepengevare kan komme inn i systemet ditt:

• E-postvedlegg: Phishing-e-poster er en utbredt metode for distribusjon av løsepengevare. Nettkriminelle sender tilsynelatende legitime e-poster med infiserte vedlegg (f.eks. PDF-er, Word-dokumenter eller ZIP-filer) eller lenker til ondsinnede nettsteder. Når brukere åpner disse vedleggene eller klikker på lenkene, lastes løsepengevaren ned og kjøres på systemene deres.
• Ondsinnede lenker: Ransomware kan også leveres gjennom villedende eller ondsinnede lenker i e-poster, direktemeldinger eller på nettsteder. Å klikke på disse koblingene kan føre til nedlasting og kjøring av løsepengeprogramvare.
• Malvertising: Nettkriminelle kan bruke ondsinnede annonser (malvertisements) på legitime nettsteder for å levere løsepengevare. Bare å besøke et kompromittert nettsted med disse annonsene kan utløse en automatisk nedlasting av skadelig programvare.
• Utnyttelse av sårbarheter: Ransomware-forfattere kan utnytte programvaresårbarheter i operativsystemet eller applikasjonene dine. Hvis systemet ditt ikke er oppdatert med sikkerhetsoppdateringer, kan det være sårbart for utnyttelsesbaserte angrep.
• Drive-By-nedlastinger: Ransomware kan leveres gjennom "drive-by-nedlastinger", der brukere ubevisst laster ned ondsinnet kode mens de besøker kompromitterte eller ondsinnede nettsteder. Disse nedlastingene kan skje uten brukerinteraksjon eller samtykke.
• Remote Desktop Protocol (RDP)-angrep: Angripere kan utnytte svak eller standard RDP-legitimasjon for å få tilgang til eksterne systemer. Når de er inne, kan de installere løsepengevare og kryptere filer.
• Programvarenedlastinger: Nedlasting av programvare eller filer fra uklarerte eller piratkopierte kilder kan utsette systemet for løsepengeprogramvare. Ulovlig programvare eller sprukne versjoner kommer ofte med skjulte skadelige nyttelaster.