Backoff Ransomware zmienia tapetę systemową
Nasz zespół badawczy zidentyfikował oprogramowanie ransomware Backoff podczas badania nowych próbek plików. To złośliwe oprogramowanie należy do rodziny ransomware Chaos – rodzaju złośliwego oprogramowania znanego z szyfrowania danych i żądania okupu za ich odszyfrowanie.
Backoff szyfruje pliki i dodaje do ich nazw rozszerzenie „.backoff”. Na przykład oryginalny plik o nazwie „1.jpg” stał się „1.jpg.backoff”, a plik „2.png” został przekształcony w „2.png.backoff” i tak dalej. Ponadto ransomware zmienia tapetę pulpitu i generuje notatkę z żądaniem okupu o nazwie „read_it.txt”.
Zgodnie z wiadomością Backoffa oprogramowanie ransomware zostało rzekomo wypuszczone w celach testowych. Warto zauważyć, że w notatce brakuje instrukcji dotyczących odszyfrowania lub zapłaty okupu, ale zawiera dane kontaktowe atakujących. Z notatki wynika, że autor ransomware wie, że zostanie ono sprawdzone w systemie testowym, zatem jest to prawdopodobnie bardzo wczesna wersja, która jest wciąż w fazie aktywnego rozwoju.
Notatka o okupie zwrotnym jest krótka
Pełny tekst bardzo krótkiego żądania okupu sporządzonego przez Backoffa brzmi następująco:
Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.Im testing stuff just as you are.
Care to chat. My tele is
@anontsugumi
W jaki sposób oprogramowanie ransomware może rozprzestrzeniać się w Internecie?
Ransomware może rozprzestrzeniać się w Internecie różnymi metodami, wykorzystując luki w zabezpieczeniach i ludzkie zachowania. Oto kilka typowych sposobów:
E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dystrybucji oprogramowania ransomware. Te e-maile zawierają złośliwe załączniki lub łącza, których kliknięcie może spowodować pobranie i uruchomienie oprogramowania ransomware w systemie ofiary.
Złośliwe witryny internetowe i pliki do pobrania: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić użytkowników na pobieranie typu drive-by, podczas którego złośliwe oprogramowanie, w tym oprogramowanie ransomware, jest automatycznie pobierane i uruchamiane na komputerze użytkownika bez jego wiedzy.
Zestawy exploitów: Cyberprzestępcy mogą wykorzystywać zestawy exploitów, których celem są luki w zabezpieczeniach oprogramowania i systemów operacyjnych. Jeśli system użytkownika nie zostanie odpowiednio załatany lub zaktualizowany, zestawy te mogą wykorzystać luki w zabezpieczeniach w celu zainstalowania oprogramowania ransomware.
Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na umieszczaniu złośliwego kodu w reklamach internetowych. Użytkownicy, którzy klikną te reklamy, mogą nieświadomie pobrać oprogramowanie ransomware na swoje systemy.
Pobieranie dyskowe: oprogramowanie ransomware może być dostarczane poprzez pobieranie dyskowe, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową. Może się to zdarzyć bez konieczności podejmowania jakichkolwiek działań przez użytkownika.
Exploity protokołu Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać luki w zabezpieczeniach protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware.
Inżynieria społeczna: Cyberprzestępcy wykorzystują techniki inżynierii społecznej, aby nakłonić osoby do pobrania złośliwych plików lub kliknięcia łączy. Może to nastąpić poprzez fałszywe aktualizacje oprogramowania, fałszywe powiadomienia lub kuszące oferty.
Ataki Watering Hole: Podczas ataków Watering Hole cyberprzestępcy atakują witryny często odwiedzane przez docelowych odbiorców. Gdy użytkownicy odwiedzają te zainfekowane witryny, mogą nieświadomie pobrać oprogramowanie ransomware.