Ahui Ransomware zablokuje twój system

Podczas badania próbek złośliwego oprogramowania natrafiliśmy na Ahui, rodzaj oprogramowania ransomware należącego do rodziny Djvu. Ahui działa poprzez szyfrowanie plików i dołączanie nowego rozszerzenia („.ahui”) do ich nazw plików, uniemożliwiając w ten sposób dostęp. Dodatkowo generuje żądanie okupu o nazwie "_readme.txt", które służy jako narzędzie komunikacji.

Aby to zilustrować, Ahui zmienia nazwy plików w następujący sposób: „1.jpg” staje się „1.jpg.ahui”, „2.png” staje się „2.png.ahui” i tak dalej. Warto zauważyć, że ransomware z rodziny Djvu często współistnieje ze złośliwym oprogramowaniem kradnącym informacje, takim jak Vidar i RedLine.

Zgodnie z żądaniem okupu pliki ofiary, w tym obrazy, bazy danych, dokumenty i inne krytyczne dane, zostały zaszyfrowane przy użyciu potężnego algorytmu szyfrowania i unikalnego klucza. Jedynym sposobem na odzyskanie tych plików jest zakup narzędzia deszyfrującego i uzyskanie odpowiedniego unikalnego klucza. Podobno to oprogramowanie może odszyfrować wszystkie zaszyfrowane pliki.

Aby zaszczepić poczucie pewności, operatorzy ransomware oferują gwarancję. Ofiara jest proszona o przesłanie jednego zaszyfrowanego pliku, który zostanie odszyfrowany bez żadnych kosztów. Jednak ta oferta dotyczy tylko jednego pliku, który nie zawiera cennych informacji.

Koszt uzyskania klucza prywatnego i oprogramowania deszyfrującego określono na 980 USD. Niemniej jednak, jeśli ofiara skontaktuje się z operatorami w ciągu pierwszych 72 godzin, oferowana jest zniżka w wysokości 50%, obniżająca cenę do 490 USD. W notatce podkreślono, że brak wpłaty uniemożliwi przywrócenie danych.

Aby zdobyć oprogramowanie deszyfrujące, ofiara jest proszona o skontaktowanie się z atakującymi za pośrednictwem poczty elektronicznej na adres support@freshmail.top. W przypadku jakichkolwiek komplikacji, alternatywny adres e-mail, datarestorehelp@airmail.cc, jest udostępniany jako zapasowy kanał komunikacji.

Żądanie okupu od Ahui jest zgodne ze standardowymi praktykami Djvu

Pełny tekst żądania okupu od Ahui brzmi następująco:

UWAGA!

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne są szyfrowane przy użyciu najsilniejszego szyfrowania i unikalnego klucza.
Jedyną metodą odzyskania plików jest zakup narzędzia deszyfrującego i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać wartościowych informacji.
Możesz pobrać i przejrzeć narzędzie do odszyfrowywania przeglądu wideo:
hxxps://we.tl/t-sLaQRb9N6e
Cena klucza prywatnego i oprogramowania deszyfrującego wynosi 980 USD.
Rabat 50% dostępny, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź swój e-mail w folderze "Spam" lub "śmieci", jeśli nie otrzymasz odpowiedzi dłużej niż 6 godzin.

Aby otrzymać to oprogramowanie, musisz napisać na nasz e-mail:
support@freshmail.top

Zarezerwuj adres e-mail do kontaktu z nami:
datarestorehelp@airmail.cc

Twój osobisty identyfikator:

W jaki sposób ransomware, takie jak Ahui, może przeniknąć do twojego systemu?

Infiltracja ransomware, takiego jak Ahui, może nastąpić za pomocą różnych metod. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może zainfekować system:

• Załączniki wiadomości e-mail: Operatorzy oprogramowania wymuszającego okup mogą rozpowszechniać złośliwe załączniki za pośrednictwem wiadomości e-mail phishingowych. Te wiadomości e-mail często wyglądają na uzasadnione i mogą nakłaniać użytkowników do otwarcia załącznika zawierającego ładunek ransomware. Po otwarciu oprogramowanie ransomware jest uruchamiane, a system zostaje przejęty.
• Złośliwe linki: Cyberprzestępcy mogą również rozpowszechniać ransomware za pośrednictwem zwodniczych linków. Linki te mogą znajdować się w wiadomościach e-mail, wiadomościach w mediach społecznościowych, a nawet na zainfekowanych stronach internetowych. Gdy użytkownicy klikają takie łącza, są przekierowywani do stron internetowych zawierających oprogramowanie ransomware, a szkodliwy kod jest pobierany i uruchamiany w ich systemach.
• Zestawy exploitów: oprogramowanie ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych w celu uzyskania nieautoryzowanego dostępu do systemu. Zestawy exploitów to zestawy narzędzi wykorzystywane przez hakerów do identyfikowania i wykorzystywania tych luk. Odwiedzając zainfekowane strony internetowe lub klikając złośliwe reklamy, użytkownicy mogą nieświadomie uruchomić pobieranie i uruchomienie oprogramowania ransomware.
• Złośliwe pobieranie: nielegalne lub pirackie oprogramowanie, gry lub pliki multimedialne dostępne do pobrania z niewiarygodnych źródeł mogą być dołączone do oprogramowania wymuszającego okup. Użytkownicy, którzy pobierają i instalują takie pliki, nieumyślnie wprowadzają ransomware do swoich systemów.
• Drive-by downloads: Wykorzystując luki w zabezpieczeniach przeglądarek internetowych lub wtyczek, ransomware może być po cichu pobierane i instalowane, gdy użytkownik odwiedza zaatakowaną lub złośliwą stronę internetową. Od użytkownika nie jest wymagana żadna interakcja, co czyni go ukradkową metodą infekcji.

Konieczne jest wdrożenie silnych środków bezpieczeństwa, takich jak korzystanie z aktualnego oprogramowania antywirusowego, regularne instalowanie poprawek i aktualizacji oprogramowania, praktykowanie bezpiecznych nawyków przeglądania, ostrożność w przypadku załączników i łączy do wiadomości e-mail oraz regularne tworzenie kopii zapasowych ważnych danych w celu zminimalizowania ryzyka infiltracja ransomware.