Adfuhbazi Ransomware zablokuje wszystkie twoje pliki

Podczas naszej analizy zgłoszeń nowych złośliwych programów nasi badacze natknęli się na Adfuhbazi, program ransomware należący do rodziny ransomware Snatch. To konkretne złośliwe oprogramowanie szyfruje pliki i dodaje do ich nazw rozszerzenie ".adfuhbazi". Na przykład plik o nazwie „1.jpg” zostałby przekształcony w „1.jpg.adfuhbazi”, a „2.png” w „2.png.adfuhbazi” itd. dla wszystkich zaszyfrowanych plików.

Po procesie szyfrowania generowane jest żądanie okupu zatytułowane "JAK PRZYWRÓCIĆ SWÓJ ADFUHBAZI FILES.TXT". Treść wiadomości wskazuje, że celem tego ransomware są przede wszystkim duże organizacje, a nie indywidualni użytkownicy. Żądanie okupu, zaadresowane do ofiary jako „zarządzanie”, informuje ją, że jej pliki zostały zaszyfrowane i że z zaatakowanej sieci wydobyto ponad 200 GB danych. Skradzione dane obejmują informacje wrażliwe, takie jak dane księgowe, poufne dokumenty, bazy danych klientów i akta osobowe.

Notatka wyraźnie odradza korzystanie z narzędzi deszyfrujących stron trzecich, podkreślając, że takie narzędzia sprawią, że zaszyfrowanych danych nie będzie można odzyskać. Ponadto wiadomość pełni funkcję ostrzeżenia, stwierdzając, że jeśli ofiara nie skontaktuje się z atakującymi w ciągu trzech dni, skradzione dane prawdopodobnie zostaną ujawnione publicznie.

Adfuhbazi Ransomware atakujący firmy

Pełny tekst żądania okupu użyty przez Adfuhbazi wyjaśnia, że celem oprogramowania ransomware są firmy. Pełna notatka brzmi następująco:

Drogi Zarządzie!

Informujemy, że Twoja sieć przeszła test penetracyjny, podczas którego zaszyfrowaliśmy
Twoje pliki i pobrał ponad 200 GB Twoich danych, w tym:

Rachunkowość
Dokumenty poufne
Dane osobiste
Bazy danych klientów

Ważny! Nie próbuj odszyfrowywać plików samodzielnie ani za pomocą narzędzi innych firm.
Program, który może je odszyfrować, to nasz deszyfrator, o który możesz poprosić, korzystając z poniższych kontaktów.
Każdy inny program może tylko uszkodzić pliki.

Pamiętaj, że jeśli nie otrzymamy od Ciebie odpowiedzi w ciągu 3 dni, zastrzegamy sobie prawo do opublikowania Twoich plików.

Skontaktuj się z nami:

777doctor@proton.me lub 777doctor@swisscows.email

W jaki sposób ransomware, takie jak Adfuhbazi, jest wdrażane w systemach ofiar?

Wdrażanie oprogramowania ransomware, takiego jak Adfuhbazi, w systemach ofiar zazwyczaj obejmuje różne techniki i strategie stosowane przez cyberprzestępców. Chociaż poszczególne metody mogą się różnić, oto ogólny przegląd tego, jak często wdrażane jest oprogramowanie ransomware:

E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe, w ramach których osoby atakujące wysyłają oszukańcze wiadomości e-mail podszywające się pod legalne podmioty lub zawierające złośliwe załączniki. Te wiadomości e-mail mogą nakłaniać odbiorców do otwierania zainfekowanych załączników lub klikania złośliwych łączy, które następnie inicjują pobieranie ransomware.

Zestawy exploitów: Cyberprzestępcy mogą wykorzystywać luki w oprogramowaniu, systemach operacyjnych lub przeglądarkach internetowych w celu dostarczania oprogramowania ransomware. Wykorzystują zestawy exploitów, które są zautomatyzowanymi narzędziami, które mogą identyfikować i wykorzystywać słabe punkty bezpieczeństwa, umożliwiając ciche pobieranie i uruchamianie oprogramowania ransomware w systemie ofiary.

Złośliwe reklamy: Złośliwe reklamy, znane również jako złośliwe reklamy, mogą być umieszczane na legalnych stronach internetowych lub sieciach reklamowych. Gdy użytkownicy klikają te reklamy, mogą nieświadomie uruchomić pobieranie i wykonanie ransomware.

Ataki Remote Desktop Protocol (RDP): atakujący mogą atakować systemy ze słabymi lub zagrożonymi konfiguracjami Remote Desktop Protocol. Uzyskując nieautoryzowany dostęp do systemu ofiary, mogą ręcznie zainstalować i uruchomić ransomware.

Luki w oprogramowaniu: twórcy ransomware często wykorzystują luki w zabezpieczeniach powszechnie używanego oprogramowania. Jeśli użytkownik nie zaktualizuje swojego oprogramowania na czas, może narazić swój system na te luki, umożliwiając zainstalowanie oprogramowania ransomware.

Drive-by Downloads: Złośliwy kod może zostać wstrzyknięty do zainfekowanych lub złośliwych stron internetowych. Gdy użytkownicy odwiedzają te witryny, ransomware może zostać pobrane i uruchomione bez ich wiedzy i zgody.

Aby zmniejszyć ryzyko infekcji ransomware, kluczowe znaczenie dla osób i organizacji ma wdrożenie solidnych środków bezpieczeństwa, takich jak regularne aktualizowanie oprogramowania, stosowanie silnych haseł, stosowanie systemów filtrowania poczty e-mail i edukowanie użytkowników w zakresie bezpiecznych praktyk online.