Ransomware AttackFiles należy do rodziny MedusaLocker

Podczas badania nowych plików nasz zespół badawczy natknął się na szkodliwy program AttackFiles powiązany z rodziną ransomware MedusaLocker. Tego typu oprogramowanie służy do szyfrowania plików i żądania okupu za ich odszyfrowanie.

Kiedy uruchomiliśmy próbkę AttackFiles w naszym środowisku testowym, zaszyfrował on pliki i dodał rozszerzenie „.attackfiles” do ich nazw. Na przykład plik o nazwie „1.jpg” zmieni się w „1.jpg.attackfiles”, a plik „2.png” zmieni się w „2.png.attackfiles” i tak dalej.

Po zakończeniu procesu szyfrowania to ransomware wygenerowało notatkę z żądaniem okupu zatytułowaną „How_to_back_files.html”. W notatce zainfekowany system określono mianem „sieci firmowej”, co wskazuje, że celem nie są indywidualni użytkownicy domowi. W wiadomości z żądaniem okupu AttackFiles twierdzi, że doszło do naruszenia sieci firmowej ofiary, pliki zostały zaszyfrowane przy użyciu algorytmów kryptograficznych RSA i AES oraz wykradziono poufne i osobiste dane.

Aby odzyskać zaszyfrowane pliki, ofiara jest proszona o zapłacenie okupu. Jeśli ofiara odmówi posłuszeństwa, skradzione treści zostaną wycieknięte lub sprzedane. Przed spełnieniem żądań okupu można bezpłatnie przetestować możliwość odszyfrowania 2-3 plików. Uwaga ta ostrzega również przed działaniami, które mogą skutkować trwałą utratą danych.

Pełna treść żądania okupu AttackFiles

Pełny tekst żądania okupu AttackFiles brzmi następująco:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

W jaki sposób oprogramowanie ransomware jest zwykle dystrybuowane w Internecie?

Ransomware jest zazwyczaj dystrybuowane w Internecie różnymi metodami, w tym:

E-maile phishingowe: osoby atakujące wysyłają e-maile zawierające złośliwe załączniki lub łącza podszywające się pod wiarygodne wiadomości z zaufanych źródeł, takich jak banki, firmy spedycyjne lub agencje rządowe. Po otwarciu załącznika lub kliknięciu łącza ransomware zostaje pobrany do systemu ofiary.

Złośliwe reklamy: złośliwe reklamy (złośliwe reklamy) na legalnych stronach internetowych mogą zawierać skrypty przekierowujące użytkowników do witryn zawierających oprogramowanie ransomware lub bezpośrednio pobierające oprogramowanie ransomware na urządzenie użytkownika bez jego wiedzy.

Zestawy exploitów: Są to gotowe pakiety oprogramowania zawierające różne exploity wykorzystujące luki w zabezpieczeniach nieaktualnego oprogramowania lub systemów operacyjnych. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów skanuje jego system w poszukiwaniu luk i dostarcza oprogramowanie ransomware.

Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące wykorzystują słabe lub domyślne hasła do usług RDP, aby uzyskać nieautoryzowany dostęp do systemów. Po wejściu do środka instalują oprogramowanie ransomware bezpośrednio w sieci.

Pobieranie dyskowe: ma to miejsce, gdy użytkownik odwiedza zainfekowaną lub złośliwą witrynę internetową, a złośliwe oprogramowanie jest automatycznie pobierane i instalowane w jego systemie bez jego zgody i wiedzy.

Udostępnianie plików w trybie peer-to-peer (P2P): oprogramowanie ransomware może być dystrybuowane za pośrednictwem pirackiego oprogramowania, gier lub plików multimedialnych udostępnianych w sieciach P2P. Atakujący mogą ukrywać oprogramowanie ransomware pod postacią legalnych plików, aby nakłonić użytkowników do ich pobrania i uruchomienia.

Złośliwe linki w aplikacjach do czatowania i mediach społecznościowych: osoby atakujące mogą rozpowszechniać oprogramowanie ransomware za pośrednictwem łączy udostępnianych w aplikacjach do czatowania lub na platformach mediów społecznościowych, zachęcając użytkowników do kliknięcia ich za pomocą kuszących wiadomości lub ofert.

Ataki Watering Hole: W tej metodzie napastnicy atakują witryny często odwiedzane przez ich docelową grupę odbiorców. Gdy użytkownicy odwiedzają te zainfekowane witryny, są nieświadomie narażeni na oprogramowanie ransomware.

To tylko kilka przykładów dystrybucji oprogramowania ransomware w Internecie. Atakujący stale rozwijają swoją taktykę, aby ominąć środki bezpieczeństwa i wykorzystać luki w zabezpieczeniach, dlatego tak ważne jest, aby użytkownicy i organizacje zachowywali czujność i stosowali solidne praktyki cyberbezpieczeństwa.

Do Zaib
April 12, 2024
Ransomware
Polski
April 12, 2024
Ransomware

Popularne posty

Potencjalnie niechciana aplikacja Softcnapp

2 months temu

Błąd: wyskakujące okienko Ox800VDS

18 days temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

9 months temu

Oszustwo Venanco.com

22 days temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

7 months temu

Looy Ransomware blokuje większość plików

23 days temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.