Ransomwared Ransomware prosi o nagie zdjęcia zamiast bitcoinów

Rodzina ransomware o nazwie Ransomwared ostatnio publikuje wiadomości, a są tego co najmniej dwa bardzo dobre powody. Po pierwsze, jest skierowany do indywidualnych użytkowników, a nie do dużych organizacji, co jest dość niezwykłe w dzisiejszych czasach. Być może jednak bardziej godne uwagi są wymagania złoczyńców. Wygląda na to, że nie chodzi już o bitcoiny.

Niewiele szczegółów na temat ostatniej kampanii Ransomwared

Chociaż całkiem sporo ludzi mówi o nowo odkrytych próbkach Ransomwared, rzeczywiste szczegóły dotyczące rozmieszczenia i działania zagrożenia są cienkie na ziemi. Eksperci, którzy to zbadali, nie powiedzieli nic o tym, jak się na nią natknęli. Nie ma żadnych informacji na temat metod dystrybucji i inżynierii społecznej wykorzystywanej do oszukiwania ofiar w celu zainstalowania oprogramowania ransomware, a my możemy tylko zgadywać, ile osób zostało trafionych.

Wiemy na pewno, że oszuści nigdy nie chcieli zarabiać na bieżącej kampanii.

Oszuści szyfrują pliki użytkowników i żądają wyraźnych zdjęć w zamian za deszyfrator

Po wdrożeniu Ransomwared szyfruje pliki znalezione na zainfekowanym komputerze, aw nowszych wersjach dołącza rozszerzenie pliku.iwanttits. Brak analizy technicznej oznacza, że nie jesteśmy pewni, które pliki są celem Ransomwared, ale udostępnione przez badaczy bezpieczeństwa zrzuty ekranu sugerują, że szyfruje tylko dane, które znajdzie w następujących folderach:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

W przeciwieństwie do większości rodzin tego typu szkodliwych programów, Ransomwared nie pozostawia żadnej informacji o okupie. Zamiast tego po zakończeniu szyfrowania wyświetla się okno podręczne z następującym komunikatem:

Pliki są zaszyfrowane. Pokaż mi swoje cycki, aby je odszyfrować”.

Kliknięcie przycisku OK otwiera kolejne okno, które pokazuje, że pliki we wspomnianych czterech katalogach są szyfrowane. Jest pole na klucz odzyskiwania i drugi komunikat:

Jesteś zajęty! Aby odzyskać swoje pliki, wyślij nam e-mailem swoje cycki na adres: sashagrey@blurred.credit

Badacze z Emsisoft przyjrzeli się bliżej nowym próbkom i słusznie zauważyli, że oszuści zapomnieli wspomnieć, jakiego rodzaju piersi szukają. Eksperci zasugerowali, że zamiast robić sobie nagie zdjęcia i przesyłać je pocztą elektroniczną na adres nazwany imieniem byłej gwiazdy porno, ofiary mogą spróbować wysłać zdjęcia małych ptaków śpiewających i sprawdzić, czy zaspokoi to pragnienia przestępców. Jednak nawet to nie będzie konieczne, ponieważ pliki zaszyfrowane za pomocą Ransomwared można łatwo odszyfrować.

Przywracanie danych nie musi obejmować nagich zdjęć

Proszenie ofiar o nagie zdjęcia w zamian za odblokowanie ich plików może być stosunkowo nową techniką stosowaną przez operatorów Ransomwared, ale samo złośliwe oprogramowanie wcale nie jest nowe. Kilka minut w Google poinformuje cię, że szczep zaczął robić rundy pod koniec 2018 r. I chociaż wtedy żądania były nieco bardziej tradycyjne, działanie oprogramowania ransomware było prawie identyczne. Kiedy zobaczyli to po raz pierwszy, badacze bezpieczeństwa przeanalizowali rodzinę ransomware i szybko zdali sobie sprawę, że nie jest bardzo zaawansowana.

Mechanizm szyfrowania Ransomwared opiera się na DES (skrót od Data Encryption Standard), algorytmie szyfrowania kluczem symetrycznym opracowanym w latach 70. Jest to w najlepszym razie słaby algorytm, a na dodatek analiza techniczna ostatnich próbek Ransomwared wykazała, że klucz, który odblokowuje pliki ludzi, jest przechowywany w kodzie źródłowym złośliwego oprogramowania w postaci zwykłego tekstu.

Jednak nie musisz wciskać kodu, aby odszyfrować swoje pliki. Na początku miesiąca Emsisoft opublikował bezpłatne narzędzie deszyfrujące, które może odblokować pliki zaszyfrowane przez nowe i stare wersje Ransomwared.

Ofiary ransomware często popełniają błąd, skacząc z pistoletu i poddając się żądaniom oszustów, nie myśląc o konsekwencjach. Jak widać, jednak często wystarczy kilka minut badań, aby zaoszczędzić kilka kryptowalut lub, w tym przypadku, całe zakłopotanie. Wspomniane badania mogą również dać wyobrażenie o tym, jak ważne są kopie zapasowe.

February 14, 2020

Zostaw odpowiedź