CrypBits256 Ransomware gebruikt losgeldbrief in het Portugees

Tijdens ons routineonderzoek van nieuwe malwaremonsters stuitte ons team van onderzoekers op de CrypBits256-ransomware. CrypBits256 maakt deel uit van de Xorist-ransomwarefamilie en werkt door gegevens te versleutelen en losgeld te eisen voor de ontsleuteling.

Toen CrypBits256 op onze testmachine werd gelanceerd, begon het met het coderen van bestanden en het toevoegen van de extensie ".CrypBits256PT2" aan hun oorspronkelijke bestandsnamen. Een bestand met de naam "1.jpg" zou bijvoorbeeld "1.jpg.CrypBits256PT2" worden, terwijl "2.png" "2.png.CrypBits256PT2" zou worden, enzovoort.

Nadat het coderingsproces was voltooid, maakte CrypBits256 twee identieke losgeldnota's: een in de vorm van een pop-upvenster en de andere als een tekstbestand met de naam "HOW TO DECRYPT FILES.txt." Het bericht was in het Portugees geschreven.

Na vertaling legt de losgeldbrief de slachtoffers uit dat hun bestanden en back-ups zijn versleuteld en dat ze deze alleen kunnen herstellen met een decoderingssleutel en software. Deze sleutel en software kunnen worden verkregen door een niet-gespecificeerd losgeldbedrag te betalen. De notitie waarschuwt slachtoffers ook dat elke poging om de naam te wijzigen, de extensie te wijzigen of de versleutelde bestanden te verwijderen, zal leiden tot permanent gegevensverlies.

CrypBits256 losgeldnotitie geschreven in het Portugees

De volledige tekst van de CrypBits256 losgeldbrief luidt als volgt:

Todos Dados/Backups foram cryptografados
een unica forma de obter os dados em seu perfeito estado é
neem contact op met geen e-mail: auditorbit256@protonmail.com
Haal de decryptor op+krijg een unieke waarde voor uw geld.
Dados em perfeito staat op 1 uur
prazo voor of contato 09/11/2022 12:00 ID-0004
(N = NÂO)

• N delete arquivos trancados
• Geen renomeie os arquivos trancados
• Geen wijziging van de omvang van de transacties .CrypBits256
• Geen bericht over deze site
  nem aanklacht pois podem bloquear este e-mail.

Hoe kan ransomware zoals CrypBits256 uw systeem infecteren?

Ransomware zoals CrypBits256 kan uw systeem op verschillende manieren infecteren. Hier volgen enkele van de meest gebruikelijke methoden die aanvallers van ransomware gebruiken om hun schadelijke software te verspreiden:

Phishing via e-mail: Een van de meest gebruikelijke methoden voor het verspreiden van ransomware is via phishing-e-mails. Aanvallers sturen e-mails die afkomstig lijken te zijn van een vertrouwde bron en links of bijlagen bevatten die, wanneer erop wordt geklikt, de ransomware downloaden naar de computer van het slachtoffer.

Kwaadaardige websites: Ransomware kan ook worden verspreid via kwaadwillende websites die geïnfecteerde software of scripts bevatten. Aanvallers gebruiken social engineering-tactieken om slachtoffers naar deze websites te lokken en ze te misleiden om de ransomware te downloaden en te installeren.

Kwetsbaarheden uitbuiten: Ransomware-aanvallers maken vaak misbruik van kwetsbaarheden in software of besturingssystemen om toegang te krijgen tot de computer van een slachtoffer. Deze kwetsbaarheden zijn te vinden in verouderde software die niet is gepatcht met de nieuwste beveiligingsupdates.

Malvertising: aanvallers kunnen ook kwaadaardige advertenties of malvertising gebruiken om ransomware te verspreiden. Ze gebruiken valse advertenties die op legitieme websites verschijnen om gebruikers te misleiden om erop te klikken, waardoor de ransomware op hun computer wordt gedownload.

Kortom, ransomware zoals CrypBits256 kan uw systeem op verschillende manieren infecteren, waaronder phishing via e-mail, kwaadaardige websites, misbruik van kwetsbaarheden en malvertising. Het is belangrijk om waakzaam te zijn en voorzorgsmaatregelen te nemen, zoals het gebruik van antivirussoftware, het vermijden van verdachte links of bijlagen, het up-to-date houden van software en het regelmatig maken van back-ups van belangrijke gegevens om ransomware-aanvallen te voorkomen.