ReadText Ransomware codeert uw schijven
Ons onderzoeksteam kwam de ReadText-ransomware tegen tijdens ons onderzoek van nieuwe inzendingen. Deze schadelijke software behoort tot de MedusaLocker-ransomwarefamilie.
ReadText werkt op een manier die typisch is voor ransomware. Het versleutelde de bestanden op onze testmachine en voegde een extensie ".readtext4" toe aan de originele bestandsnamen. Het specifieke nummer dat wordt gebruikt bij het genereren van fijne extensies kan variëren, afhankelijk van de variant van de ransomware. Een bestand dat oorspronkelijk "1.jpg" heette, zou bijvoorbeeld worden omgezet in "1.jpg.readtext4", en "2.png" in "2.png.readtext4", enzovoort.
Vervolgens plaatste het een losgeldbericht met de naam "How_to_back_files.html." Uit dit bericht blijkt duidelijk dat ReadText zich op bedrijven richt en dubbele afpersingstactieken toepast.
In de notitie bij de ReadText-ransomware staat dat het bedrijfsnetwerk van het slachtoffer is gecompromitteerd. Kritieke bestanden zijn versleuteld en gevoelige of persoonlijke gegevens zijn gestolen.
Het bericht raadt af om de bestandsnamen van de gecodeerde bestanden te wijzigen of te proberen de bestanden te herstellen met behulp van decoderingstools van derden, omdat dergelijke acties de gegevens onherstelbaar zouden maken.
Het slachtoffer wordt geïnformeerd over de noodzaak om losgeld te betalen. Als u zich hier niet aan houdt, zullen de geëxfiltreerde gegevens worden gelekt of verkocht. Bovendien zal het uitstellen van het contact gedurende meer dan 72 uur het losgeldbedrag doen stijgen. Voordat het slachtoffer de betaling uitvoert, heeft het de mogelijkheid om het decoderingsproces te testen door de aanvallers twee tot drie gecodeerde bestanden te sturen.
ReadText losgeldbriefje bedreigt gegevenslekken
De volledige tekst van de ReadText-losgeldbrief luidt als volgt:
UW PERSOONLIJKE ID:
UW BEDRIJFSNETWERK IS BINNENGEBRACHT
Al uw belangrijke bestanden zijn gecodeerd!Uw bestanden zijn veilig! Alleen aangepast. (RSA+AES)
ELKE POGING OM UW BESTANDEN TE HERSTELLEN MET SOFTWARE VAN DERDEN
ZAL HET PERMANENT CORRUPEREN.
WIJZIG GEEN VERSLEUTELDE BESTANDEN.
Hernoem de gecodeerde bestanden NIET.Er is geen software beschikbaar op internet die u kan helpen. Wij zijn de enigen die daartoe in staat zijn
los uw probleem op.We hebben zeer vertrouwelijke/persoonlijke gegevens verzameld. Deze gegevens worden momenteel opgeslagen op
een privéserver. Deze server wordt na uw betaling onmiddellijk vernietigd.
Als u besluit niet te betalen, geven wij uw gegevens vrij aan het publiek of aan de wederverkoper.
U kunt er dus van uitgaan dat uw gegevens in de nabije toekomst openbaar beschikbaar zullen zijn.Wij streven alleen naar geld en ons doel is niet om uw reputatie te schaden of te voorkomen
uw bedrijf niet meer draait.U kunt ons 2-3 niet-belangrijke bestanden sturen en wij zullen deze gratis decoderen
om te bewijzen dat wij uw bestanden terug kunnen geven.Neem contact met ons op voor de prijs en ontvang decoderingssoftware.
e-mail:
ithelp15@securitymy.name
ithelp15@yousheltered.comOm contact met ons op te nemen, maakt u een nieuw gratis e-mailaccount aan op de site: protonmail.com
ALS U NIET BINNEN 72 UUR CONTACT MET ONS NEEMT, ZAL DE PRIJS HOGER ZIJN.Tor-chat om altijd contact te houden:
Hoe wordt ransomware online verspreid?
Ransomware wordt online verspreid via verschillende methoden, waarbij vaak misbruik wordt gemaakt van kwetsbaarheden in software, social engineering-technieken en kwaadaardige bijlagen of links. Hier volgen enkele veelvoorkomende manieren waarop ransomware wordt verspreid:
Phishing-e-mails:
Phishing-e-mails zijn een veelgebruikte methode voor het verspreiden van ransomware. Aanvallers sturen misleidende e-mails die afkomstig lijken te zijn van legitieme bronnen, zoals banken, overheidsinstanties of vertrouwde organisaties. Deze e-mails bevatten kwaadaardige bijlagen of links die, wanneer erop wordt geklikt of geopend, ransomware downloaden en uitvoeren op de computer van het slachtoffer.
Malvertising:
Malvertising houdt in dat cybercriminelen kwaadaardige advertenties op legitieme websites plaatsen. Wanneer een gebruiker op deze advertenties klikt, kan deze onbewust de download van ransomware activeren of worden omgeleid naar een website die exploitkits host, die vervolgens de ransomware-payload leveren.
Drive-By-downloads:
Drive-by downloads vinden plaats wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt. In sommige gevallen maakt de website gebruik van kwetsbaarheden in de webbrowser of plug-ins van de gebruiker om automatisch ransomware te downloaden en te installeren op het systeem van de bezoeker, zonder enige interactie van de gebruiker.
Exploitkits:
Exploitkits zijn toolkits die door aanvallers worden gebruikt om kwetsbaarheden in de software van een slachtoffer te identificeren en te misbruiken. Wanneer een gebruiker een gecompromitteerde website bezoekt of op een kwaadaardige link klikt, scant de exploitkit op kwetsbaarheden en levert de ransomware-payload als er een kwetsbaarheid wordt gevonden.
Remote Desktop Protocol (RDP)-aanvallen:
Aanvallers richten zich op blootgestelde RDP-poorten en proberen ongeautoriseerde toegang te krijgen tot de computer of het netwerk van een slachtoffer. Eenmaal binnen implementeren ze ransomware rechtstreeks op het systeem.
Schadelijke bijlagen:
Ransomware kan worden verspreid via e-mailbijlagen, vaak vermomd als onschadelijke bestanden zoals pdf's, Word-documenten of ZIP-archieven. Wanneer deze bijlagen worden geopend, voeren ze kwaadaardige scripts of macro's uit die de download van de ransomware initiëren.
