Ransomware BlackDream generuje szczegółową notatkę z żądaniem okupu

Badając nadesłane nowe próbki złośliwego oprogramowania, nasz zespół badawczy natknął się na oprogramowanie ransomware BlackDream, które należy do kategorii programów szyfrujących dane z zamiarem zażądania zapłaty za odszyfrowanie. W naszym systemie testowym BlackDream szyfrował pliki i zmieniał ich nazwy.

Oryginalne nazwy plików zostały rozszerzone o unikalny identyfikator, adres e-mail cyberprzestępców i rozszerzenie „.BlackDream”. Dla wyjaśnienia, plik, który pierwotnie nosił nazwę „1.jpg”, teraz pojawił się jako „1.jpg.[9ECFA84E].[Blackdream01@zohomail.eu].BlackDream”. Po tym procesie zdeponowano żądanie okupu o nazwie „ReadME-Decrypt.txt”.

Wiadomość z żądaniem okupu zapewnia ofiarę, że pliki nie są uszkodzone, ale raczej zaszyfrowane i niedostępne. Sugeruje również, że szukanie pomocy w odzyskaniu danych ze źródeł innych niż osoby atakujące (np. narzędzi lub usług stron trzecich) może spowodować, że dane staną się trwale niemożliwe do odszyfrowania.

Notatka wskazuje, że proces odszyfrowania będzie polegał na dokonaniu płatności okupu w kryptowalucie Bitcoin (konkretna kwota nie jest określona). Dodatkowo ofiara jest proszona o wysłanie kilku zaszyfrowanych plików spełniających określone specyfikacje cyberprzestępcom w celu bezpłatnego testu deszyfrowania.

BlackDream wystawia długi list z żądaniem okupu

Pełny tekst obszernej noty o okupie BlackDream brzmi następująco:

Twój system został zaszyfrowany przez nasz zespół, a Twoje pliki zostały zablokowane przy użyciu naszego zastrzeżonego algorytmu!

Prosimy o uważne i cierpliwe przeczytanie tej wiadomości

Jeśli użyjesz jakichkolwiek narzędzi, programów lub metod do odzyskania plików i ulegną one uszkodzeniu, nie będziemy ponosić odpowiedzialności za jakiekolwiek szkody dla Twoich plików!

Pamiętaj, że Twoje pliki nie zostały w żaden sposób uszkodzone, zostały jedynie zaszyfrowane przez nasz algorytm. Dzięki dostarczonemu przez nas programowi Twoje pliki i cały system powrócą do normalnego trybu. Nikt poza nami nie będzie w stanie odszyfrować Twoich plików!

Aby zyskać do nas zaufanie możesz przesłać nam maksymalnie 2 nieistotne pliki, a my bezpłatnie je odszyfrujemy. Pamiętaj, że Twoje pliki nie powinny zawierać ważnych informacji. Twoje pliki powinny być w formacie, który możemy odczytać, np. .txt, .pdf, .xlsx, .jpg lub innym czytelnym dla nas formacie.

Proszę wpisać swój unikalny identyfikator jako tytuł wiadomości e-mail lub jako początek rozmowy.

Aby przyspieszyć odszyfrowanie, najpierw napisz do nas wiadomość na Telegramie. Jeśli w ciągu 24 godzin nie otrzymasz odpowiedzi, napisz do nas *

Identyfikator telegramu: @blackdream_support
Poczta 1: Blackdream01@zohomail.eu
Poczta 2: Blackdream01@skiff.com

W odpowiedzi otrzymasz adres btc do płatności

Ważny

Proszę nie marnować czasu i nie próbować nas oszukać, spowoduje to jedynie wzrost cen!

Proszę pamiętać, że jesteśmy profesjonalistami i po prostu wykonujemy swoją pracę!

Jesteśmy zawsze otwarci na dialog i gotowi Ci pomóc!

Unikalny identyfikator: -
Twój identyfikator osobisty: -

W jaki sposób oprogramowanie ransomware może zainfekować Twój system?

Oprogramowanie ransomware może zainfekować Twój system na różne sposoby, a cyberprzestępcy stale rozwijają swoje taktyki w celu wykrywania luk w zabezpieczeniach. Oto typowe sposoby, w jakie oprogramowanie ransomware może zainfekować Twój system:

• E-maile phishingowe: najpopularniejszą metodą są e-maile phishingowe. Możesz otrzymać wiadomość e-mail, która wygląda na wiarygodną, ale zawiera złośliwe załączniki lub łącza. Kliknięcie tych łączy lub otwarcie zainfekowanych załączników może spowodować pobranie oprogramowania ransomware.
• Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może prowadzić do przypadkowych pobrań. W tym scenariuszu oprogramowanie ransomware jest dyskretnie pobierane i uruchamiane w systemie bez Twojej wiedzy i zgody.
• Złośliwe reklamy: złośliwe reklamy (złośliwe reklamy) mogą prowadzić do infekcji oprogramowaniem ransomware. Cyberprzestępcy mogą wstrzykiwać złośliwy kod do reklam online, a gdy klikniesz te reklamy lub odwiedzisz zaatakowaną witrynę internetową zawierającą takie reklamy, do Twojego systemu może zostać dostarczone oprogramowanie ransomware.
• Fałszywe oprogramowanie lub aktualizacje: Ransomware może być powiązane z fałszywym oprogramowaniem lub aktualizacjami. Może Ci się wydawać, że pobierasz legalny program lub aktualizację, ale w rzeczywistości dostarcza on oprogramowanie ransomware do Twojego systemu.
• Wykorzystywanie luk w oprogramowaniu: Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach systemu operacyjnego lub aplikacji. Jeśli Twój system nie jest zaktualizowany za pomocą poprawek zabezpieczeń, staje się bardziej podatny na ataki.
• Inżynieria społeczna: cyberprzestępcy mogą nakłonić Cię do uruchomienia złośliwego kodu w Twoim systemie. Mogą podszywać się pod godną zaufania jednostkę lub wykorzystywać techniki inżynierii społecznej, aby przekonać Cię do uruchomienia szkodliwego pliku.
• Ataki za pomocą protokołu Remote Desktop Protocol (RDP): Jeśli w systemie jest włączony protokół RDP, który nie jest odpowiednio zabezpieczony silnymi hasłami i środkami bezpieczeństwa sieci, osoby atakujące mogą uzyskać nieautoryzowany dostęp i wdrożyć oprogramowanie ransomware.
• Złośliwe pobieranie: Pobieranie plików, zwłaszcza z niezaufanych źródeł, może prowadzić do infekcji oprogramowaniem ransomware. Torrenty, crackowane oprogramowanie i pirackie treści są często wykorzystywane jako przynęta do rozprzestrzeniania oprogramowania ransomware.