LucKY_Gh0$t Ransomware zakłóca systemy cybernetyczne

Ransomware bazujący na chaosie

LucKY_Gh0$t Ransomware to nowo zidentyfikowane cyberzagrożenie pochodzące z rodziny Chaos ransomware . Po infiltracji systemu wykonuje szereg złośliwych działań, w tym szyfrowanie plików, zmienianie nazw plików i zmianę tapety pulpitu. Ponadto pozostawia notatkę o okupie o nazwie „read_it.txt”, która służy jako ultimatum dla ofiary.

Jedną z wyróżniających cech LucKY_Gh0$t jest sposób, w jaki zmienia nazwy zaszyfrowanych plików. Dodaje cztery losowe znaki do oryginalnego rozszerzenia pliku, co powoduje nieprzewidywalność w jego schemacie ataku. Na przykład plik pierwotnie nazwany „document.pdf” może zostać zmieniony na „document.pdf.1pbx” itd. Ta metoda komplikuje ręczne próby odzyskiwania i zwiększa pilność ofiar.

Żądanie okupu i groźby

Notatka o okupie pozostawiona przez LucKY_Gh0$t informuje ofiary, że ich pliki zostały zaszyfrowane i że muszą zapłacić opłatę, aby uzyskać niezbędne narzędzia deszyfrujące. Atakujący twierdzą, że po otrzymaniu zapłaty dostarczą program deszyfrujący, aby przywrócić dostęp do zablokowanych danych.

Notatka ostrzega również ofiary przed próbami zmiany lub usunięcia zaszyfrowanych plików, stwierdzając, że takie działania mogą zakłócić proces odszyfrowywania. Ponadto zawiera ona konkretny identyfikator odszyfrowywania, do którego ofiary muszą się odwołać, komunikując się z atakującymi za pośrednictwem usługi wiadomości o nazwie Session. Aby jeszcze bardziej wywrzeć presję na swoje cele, cyberprzestępcy grożą przeprowadzeniem wielokrotnych ataków na dotknięte organizacje, jeśli nie zostaną zapłacone.

Oto pełny tekst notatki:

~~~LucKY_Gh0$t~~~

>>>> All your important files are encrypted !!!

The data will not be decrypted if you do not pay the ransom

>>>> What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.
    
If you pay, we will provide you the programs for decryption and we will delete your data.
Life is too short to be sad. Be not sad, money, it is only paper.
    
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

>>>> Contact:

Download and install SESSION (hxxps://getsession.org)
Our SESSION id:
05e17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV40bde926cf1cc3aedf1115ade5655
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait for our answer because we attack many companies.

>>>> Your personal DECRYPTION ID: U0001

>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!

Niebezpieczeństwa związane z płaceniem okupu

Podczas gdy wiele ofiar czuje się zmuszonych do spełnienia żądań w nadziei na odzyskanie swoich plików, płacenie okupu nie jest wskazane. Nie ma gwarancji, że atakujący dotrzymają słowa i dostarczą obiecane narzędzie do odszyfrowania. W wielu przypadkach ofiary, które płacą, są albo ignorowane, albo poddawane dalszym próbom wymuszenia.

Co więcej, infekcje ransomware mogą rozprzestrzeniać się w sieci tak długo, jak zagrożenie pozostaje aktywne. Jeśli nie zostanie sprawdzone, może spowodować dodatkowe szyfrowanie, co jeszcze bardziej utrudni odzyskiwanie danych. Usunięcie ransomware tak szybko, jak to możliwe, jest kluczowe, aby zapobiec dalszym szkodom i chronić inne podłączone systemy.

Co ransomware robi ofiarom

Ransomware to złośliwe oprogramowanie stworzone w celu blokowania dostępu do plików lub całych systemów do momentu dokonania płatności. Cyberprzestępcy stojący za tymi atakami często żądają płatności w kryptowalutach, takich jak Bitcoin, aby utrudnić śledzenie transakcji. Oprócz szyfrowania danych, niektóre warianty ransomware grożą publikacją skradzionych informacji online, jeśli ofiary odmówią zapłaty.

LucKY_Gh0$t podąża za tym modelem, szyfrując kluczowe pliki i wywierając presję na ofiary, aby zapłaciły za ich uwolnienie. Zakłócenia finansowe i operacyjne spowodowane takimi zagrożeniami mogą być druzgocące dla każdego. Inne przykłady ransomware z podobnymi taktykami to Aptlock , YE1337 i Contacto .

Jak ransomware infekuje systemy

Atakujący wdrażają ransomware, używając różnych technik infiltracji. Jedną z najczęstszych metod jest wysyłanie złośliwych załączników e-mail lub linków zamaskowanych jako legalne komunikaty. Ofiary, które nieświadomie otwierają te załączniki lub klikają linki, mogą wywołać uruchomienie ransomware, umożliwiając mu rozprzestrzenianie się na ich urządzeniach.

Ponadto cyberprzestępcy stosują oszukańcze taktyki, takie jak dystrybucja oprogramowania ransomware za pośrednictwem pirackiego oprogramowania, fałszywych generatorów kluczy i wprowadzających w błąd oszustw związanych z pomocą techniczną. Inne wektory infekcji obejmują zainfekowane witryny, złośliwe reklamy, zainfekowane dyski USB i luki w zabezpieczeniach przestarzałego oprogramowania. Po uruchomieniu oprogramowanie ransomware może szybko zaszyfrować pliki i zażądać okupu.

Kluczowe ujęcia

Biorąc pod uwagę rosnącą złożoność zagrożeń ransomware, użytkownicy muszą podjąć środki zapobiegawcze, aby chronić swoje systemy. Należy zachować ostrożność podczas obsługi niechcianych wiadomości e-mail, zwłaszcza tych zawierających załączniki lub osadzone linki. Unikaj pobierania oprogramowania z nieoficjalnych źródeł, ponieważ często zawierają one ukryte zagrożenia.

Utrzymywanie systemów operacyjnych i oprogramowania na bieżąco jest również krytyczne, ponieważ atakujący często wykorzystują znane luki w zabezpieczeniach. Korzystanie z niezawodnych narzędzi cyberbezpieczeństwa i regularne tworzenie kopii zapasowych ważnych danych może dodatkowo zmniejszyć ryzyko związane z atakami ransomware. Zachowując czujność i wdrażając silne praktyki bezpieczeństwa, każdy może lepiej chronić się przed zagrożeniami takimi jak LucKY_Gh0$t.