DeathRansom: Ransomware Hellbent na zabijaniu plików na zainfekowanych komputerach za pomocą szyfrowania

deathransom

Ransomware stało się globalnym problemem dla użytkowników komputerów i firm, ofiary niedawnych zagrożeń zwróciły się do budżetowania na atak, aby mogli zapłacić żądany okup i przywrócić komputer do pracy bez opóźnień. Zagrożenia związane z oprogramowaniem ransomware, takie jak DeathRansom, są bardziej wyrafinowane i nieustępliwe w dążeniu do wyłudzenia pieniędzy od ofiar, pozostawiając im wiele możliwości ucieczki.

DeathRansom to zagrożenie ransomware, które szyfruje dane i żąda okupu w celu ich odzyskania. Ofiary zgłaszają, że muszą płacić kryptowalutą w określonych ramach czasowych, które, jeśli nie zostaną spełnione, doprowadzą do całkowitej utraty danych. Nie sugeruje się jednak, abyś postępował zgodnie z tymi żądaniami, ponieważ najprawdopodobniej będą one nieskuteczne i mogą skutkować nie tylko marnowaniem pieniędzy na nic, ale także narażeniem komputera na zainfekowanie innymi zagrożeniami.

Co robi DeathRansom

Ciekawe w tym szczególnym zagrożeniu ransomware jest to, że nie szyfrował on plików ofiary ... a przynajmniej nie na początku. Okazuje się, że początkowa wersja oprogramowania ransomware DeathRansom udawała po prostu szyfrowanie danych, a dotknięci użytkownicy mogli sprawić, by ich pliki znów były użyteczne. W idealnym świecie wszystko, co musiał zrobić represjonowany użytkownik komputera, to usunięcie rozszerzenia .wctc z każdego pliku. Przykładem takiego zakodowanego pliku może być „1.docx.wctc”.

Niestety, zwykła zmiana rozszerzenia plików, na które wpływa DeathRansom, nie jest już rozwiązaniem. Odkąd wzrosła liczba ofiar DeathRansom, zagrożenie zmieniło taktykę i jest teraz w stanie szyfrować osobiste pliki swoich ofiar, ale bez włączenia rozszerzenia .wctc. Jak dotąd jedynym sposobem na sprawdzenie, czy oprogramowanie ransomware DeathRansom zaszyfrowało dane, jest otwarcie pliku, którego dotyczy problem, i sprawdzenie znacznika na końcu szyfrowania. Według raportów znacznik pliku powinien brzmieć „AB EF CD AB”.

To złośliwe zagrożenie DeathRansom atakuje użytkowników systemu Microsoft Windows. Zaraz po infiltracji zagrożenie szyfruje wszystkie pliki na urządzeniu ofiary, z wyjątkiem tych, których pełne nazwy ścieżek mają następujące ciągi:

  • dane programu
  • $ recycle.bin
  • pliki programów
  • Windows
  • wszyscy użytkownicy
  • dane aplikacji
  • read_me.txt
  • autoexec.bat
  • desktop.ini
  • autorun.inf
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • boot.ini
  • ntuser.dat.log
  • thumbs.db

Po zakończeniu procesu szyfrowania plików oprogramowanie ransomware utworzy plik tekstowy (read_me.txt) w każdym folderze, w którym znajdują się zaszyfrowane dane, aby ofiara mogła je łatwo zobaczyć.

Nota o okupie

Plik read_me.txt to notatka o okupie pozostawiona przez twórców DeathRansom. Jak już wspomniano, „zaktualizowana” wersja ransomware jest teraz w stanie szyfrować dane, ale bez dołączania żadnych rozszerzeń. Wygląda na to, że wprowadzono również niewielkie zmiany w nocie okupu. Ta wiadomość informuje użytkownika, że jego pliki zostały zaszyfrowane, a jeśli nie chce ich trwale usunąć, mają 12 godzin na wykonanie podanych instrukcji i opłacenie kryptowaluty.

Nota o śmierci

Notatka zawiera osobisty LOCK-ID i numer portfela bitcoin, do którego musisz wysłać 0,1 BTC. Ofiary są proszone o napisanie wiadomości e-mail na podany adres i podanie LOCK-ID oraz godziny płatności.

Co ciekawe, oferują one odszyfrować jeden wybrany plik za darmo, aby udowodnić, że mają narzędzie do odszyfrowywania i zdobyć zaufanie. Oprócz określonego przedziału czasowego i kwoty, którą musisz zapłacić, nowością w nocie okupu są podane specyfikacje dla „pliku testowego”, który wyślesz. To musi być:

  • nie większy niż 1 MB
  • plik .txt lub .lnk, brak baz danych

Na koniec nota okupu zawiera źródła, z których można kupić bitcoiny.

W jaki sposób rozprzestrzenia się Ransomware>

Jak dotąd, znalezione w wyniku badań ekspertów ds. Bezpieczeństwa komputerowego, takich jak GrujaRS , nie znaleziono konkretnej metody dystrybucji stosowanej przez to zagrożenie. Najprawdopodobniej rozprzestrzenia się, podobnie jak inne pasożyty ransomware. Takie metody obejmują:

  • oszukańcze wiadomości spamowe
  • pliki torrent
  • złośliwe reklamy
  • fałszywe wiadomości o aktualizacji
  • zawodne instalacje stron trzecich
  • Wirusy koni trojańskich

Tradycyjnie użytkownikom komputerów łatwo jest wprowadzić w błąd wiadomość e-mail z atrakcyjnym nagłówkiem. Takie kampanie spamowe mogą próbować przestraszyć użytkowników takimi tytułami, jak: „Twoje konto bankowe zostanie usunięte !!!”. Eksperci ds. Bezpieczeństwa komputerów zwykle ostrzegają komputery, aby nie spieszyły się z otwieraniem każdego wyświetlanego e-maila lub tych, które mają kuszący temat lub wydają się pochodzić z banku lub ulubionej witryny społecznościowej. W niektórych przypadkach wiadomości mogą udawać, że pochodzą od znanej firmy lub jednej z największych sieci społecznościowych, takich jak Facebook czy Twitter. Najlepiej jest sprawdzić adres e-mail nadawcy i porównać go z oficjalnym adresem faktycznej firmy. Wtedy na pewno będziesz wiedzieć, czy e-mail jest prawidłowy, czy nie.

Badacze złośliwego oprogramowania zwykle zalecają pobieranie aktualizacji oprogramowania tylko z wiarygodnych źródeł, zamiast klikania losowego okna podręcznego, które chce, abyś podążał za podejrzanym linkiem.

Użytkownicy wiedzą, że przeoczają istotne szczegóły podczas procesu instalacji. Aby upewnić się, że użytkownicy komputerów nie przypadkowo zainstalują złośliwego oprogramowania wraz z pożądanym programem, najlepiej poszukać dodatkowego oprogramowania zawartego w instalatorze. Wiadomo, że złośliwe oprogramowanie ukrywa się jako programy opcjonalne, dlatego najlepiej jest zrezygnować z tak nieznanych instalacji.

DeathRansom Removal and Data Recovery

Nawet jeśli twórcy DeathRansom zachęcają do skontaktowania się z nimi i zapłaty za swoje usługi odszyfrowywania, najlepiej unikać spełniania ich żądań. Zamiast tego specjaliści zalecają całkowite pozbycie się zagrożenia. W tym celu zaleca się korzystanie z niezawodnego oprogramowania, które może bezpiecznie wykrywać i usuwać DeathRansom.

Jeśli chodzi o odzyskiwanie danych, najlepszą opcją jest poleganie na kopiach zapasowych plików przechowywanych w bazach danych w chmurze lub na urządzeniach zewnętrznych. Poza tym można znaleźć zaawansowane narzędzia deszyfrujące z wiarygodnych źródeł, które działają szczególnie w przypadku tego oprogramowania ransomware. Najważniejsze jest to, że istnieją opcje oprócz tego, co mogą wyjaśnić twórcy DeathRansom. Najlepiej przemyśleć to wszystko przed podjęciem decyzji, co zrobić, ponieważ nie ma gwarancji, że wszystkie zaszyfrowane pliki zostaną odzyskane, jeśli ktoś spełni wymagania oprogramowania ransomware.

December 19, 2019
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.