Hoe u Cash Ransomware kunt stoppen en verwijderen

Het cyberdreigingslandschap heeft nog een nieuwe dreiging geïntroduceerd, bekend als Cash Ransomware. Dit kwaadaardige programma, ontwikkeld door dezelfde bedreigingsacteur achter Cash RAT (Remote Access Trojan) en MintStealer, is ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling. Cash Ransomware voegt aan de bestandsnamen van gecodeerde bestanden de extensie ".CashRansomware" toe, waardoor "1.jpg" wordt omgezet in "1.jpg.CashRansomware" en "2.png" in "2.png.CashRansomware".

Details losgeldnota

Cash Ransomware maakt drie losgeldbriefjes: een bureaubladachtergrond, een pop-upvenster en een HTML-bestand met de naam "Cash Ransomware.html". Deze aantekeningen, hoewel verschillend qua uiterlijk, geven dezelfde kritische informatie weer:

• Melding dat bestanden zijn gecodeerd.
• Eisen om losgeld om de gegevens te decoderen.
• Waarschuwingen voor acties die gegevensherstel kunnen belemmeren.

De berichten specificeren dat de bestanden zijn gecodeerd met behulp van de cryptografische algoritmen XChaCha20, Poly1305 en AES-256-GCM. Slachtoffers krijgen de opdracht om 80 USD in Monero (XMR) cryptocurrency te betalen voor decodering. Bovendien waarschuwen de opmerkingen tegen het herstarten van het apparaat of het uitvoeren van antivirusprogramma's, omdat deze acties ervoor kunnen zorgen dat de bestanden permanent niet meer te ontsleutelen zijn. Het loskoppelen van het netwerk wordt ook afgeraden, omdat dit de onderhandelings- en herstelinspanningen kan belemmeren.

De Cash Ransomware-notitie luidt als volgt:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Cash Ransomware-analyse

Op basis van uitgebreide ervaring met onderzoek naar ransomware-infecties is het duidelijk dat decodering zonder tussenkomst van de aanvallers zelden mogelijk is. Het betalen van het losgeld garandeert geen gegevensherstel, aangezien cybercriminelen er vaak niet in slagen de decoderingssleutel te verstrekken, zelfs nadat aan hun eisen is voldaan. Het wordt daarom sterk afgeraden om aan losgeldeisen te voldoen, omdat dit alleen maar criminele activiteiten in de hand werkt.

Interessant is dat het door Cash Ransomware gevraagde losgeld relatief laag is, wat verdacht is. Ransomware vraagt doorgaans bedragen variërend van drie tot vier cijfers (in USD) van thuisgebruikers. Wanneer het losgeld ongewoon laag is, nemen aanvallers misschien niet de moeite om hersteltools naar de slachtoffers te sturen, wat erop wijst dat de ransomware gebruikt kan worden om inkomsten te genereren of om nieuwe software/technieken te testen.

Mitigatie en preventie

Om verdere versleuteling te voorkomen, moet Cash Ransomware van het besturingssysteem worden verwijderd. Hiermee worden reeds getroffen bestanden echter niet hersteld. Herstel is alleen mogelijk vanaf een back-up, waarbij het belang wordt benadrukt van het onderhouden van back-ups op meerdere locaties (bijvoorbeeld externe servers, niet-aangesloten opslagapparaten).

Opmerkelijke voorbeelden van ransomware

LockBit 5, Risen, Cronus, Lynx en HorrorDead zijn recente voorbeelden van ransomware, die allemaal op dezelfde manier functioneren door gegevens te versleutelen en betaling te eisen voor de ontsleuteling. Ransomwareprogramma's verschillen voornamelijk in de gebruikte cryptografische algoritmen (symmetrisch of asymmetrisch) en de hoogte van het losgeld, die varieert afhankelijk van het doelwit (thuisgebruikers versus grote entiteiten zoals bedrijven en organisaties).

Infectievectoren

Cash Ransomware wordt aangeboden als RaaS (Ransomware-as-a-Service), wat betekent dat de ontwikkelaars het aan cybercriminelen verkopen. Bijgevolg kan de proliferatiemethode variëren. Over het algemeen wordt malware verspreid via phishing- en social engineering-tactieken, vaak vermomd als of gebundeld met legitieme inhoud. Schadelijke bestanden kunnen uitvoerbare bestanden, archieven, documenten, JavaScript, enz. zijn, waarbij de download-/installatieketen wordt geactiveerd bij het openen van het geïnfecteerde bestand.

Veelgebruikte technieken voor het verspreiden van malware zijn onder meer:

• Trojaanse paarden van het loader-/backdoor-type.
• Drive-by-downloads.
• Dubieuze downloadbronnen (bijv. freeware-sites, P2P-netwerken).
• Schadelijke bijlagen/links in spammail.
• Online oplichting.
• Illegale software-activeringstools ("kraken").
• Valse updates.

Bovendien kan sommige malware zichzelf verspreiden via lokale netwerken en verwijderbare opslagapparaten.

Beschermingsmaatregelen

Ter bescherming tegen ransomware-infecties:

• Alleen downloaden vanaf officiële en geverifieerde kanalen.
• Activeer en update programma's met authentieke functies/tools.
• Behandel inkomende e-mails en berichten met de nodige voorzichtigheid.
• Vermijd het openen van verdachte bijlagen of links.
• Wees waakzaam tijdens het browsen om frauduleuze inhoud te voorkomen.
• Installeer en update regelmatig gerenommeerde antivirussoftware.
• Voer regelmatig systeemscans uit om bedreigingen te detecteren en te verwijderen.

Als uw computer is geïnfecteerd met Cash Ransomware, is het raadzaam een scan uit te voeren met een anti-malwareprogramma om de dreiging automatisch te elimineren. Blijf veilig en bescherm uw gegevens door u aan deze best practices te houden.