Carver Ransomware to klon Phobosa

Carver ransomware to złośliwy program należący do rodziny ransomware Phobos, przeznaczony do szyfrowania danych i żądania okupu za ich odszyfrowanie. Po uruchomieniu próbki Carver na maszynie testowej szyfrował pliki, modyfikując ich nazwy za pomocą unikalnego identyfikatora, adresu e-mail cyberprzestępców i rozszerzenia „.Carver”. Na przykład plik początkowo nazwany „1.jpg” pojawił się jako „1.jpg.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver”.

Po zakończeniu procesu szyfrowania ransomware Carver utworzyło dwie notatki z żądaniem okupu: „info.hta” (okno pop-up) i „info.txt”. Plik tekstowy informuje ofiary, że ich dane zostały zaszyfrowane i kieruje je do kontaktu z atakującymi. Wiadomość w oknie pop-up wyjaśnia, że proces odszyfrowywania wymaga zapłaty okupu za kryptowalutę Bitcoin. Kwota okupu nie jest określona w notatce, ale podobno zależy od tego, jak szybko ofiary skontaktują się z cyberprzestępcami odpowiedzialnymi za atak. Przed zapłaceniem okupu ofiary mogą bezpłatnie przetestować deszyfrowanie (w ramach określonych specyfikacji).

Wiadomość kończy się ostrzeżeniem przed zmianą nazwy zaszyfrowanych plików i używaniem narzędzi do odszyfrowywania stron trzecich, ponieważ może to uniemożliwić odszyfrowanie danych.

Notatka Carvera okupu kopiuje zwykły wzór Fobosa

Pełne żądanie okupu wygenerowane przez ransomware Carver wykorzystuje zwykły szablon Phobos i brzmi następująco:

Wszystkie twoje pliki zostały zaszyfrowane!

Wszystkie twoje pliki zostały zaszyfrowane z powodu problemu z bezpieczeństwem twojego komputera. Jeśli chcesz je przywrócić, napisz do nas na adres e-mail ineedatool@rape.lol
Wpisz ten identyfikator w tytule wiadomości -
Za odszyfrowanie trzeba zapłacić w bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.

Bezpłatne odszyfrowywanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 3 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (niearchiwizowane), a pliki nie powinny zawierać wartościowych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)

Jak zdobyć Bitcoiny
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do kupowania Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie twoich plików z pomocą osób trzecich może spowodować wzrost ceny (doliczą oni swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

W jaki sposób ransomware, takie jak Carver, może dostać się do twojego systemu?

Ransomware, takie jak Carver, może zainfekować twój system różnymi metodami. Niektóre typowe sposoby obejmują:

E-maile phishingowe: Cyberprzestępcy mogą wysyłać e-maile phishingowe ze złośliwymi załącznikami lub linkami. Po pobraniu i otwarciu załącznika lub kliknięciu łącza oprogramowanie ransomware może zostać pobrane do systemu.

Złośliwe strony internetowe: Odwiedzanie niezaufanych lub złośliwych stron internetowych może również spowodować pobranie oprogramowania ransomware do twojego systemu. Złośliwe oprogramowanie może zostać zainstalowane przez luki w oprogramowaniu lub nakłaniając Cię do pobrania i zainstalowania fałszywej aktualizacji oprogramowania.

Oprogramowanie podatne na ataki: ransomware może wykorzystywać luki w oprogramowaniu, które nie zostało zaktualizowane ani załatane. Atakujący mogą uzyskać dostęp do Twojego systemu za pośrednictwem przestarzałego oprogramowania, takiego jak systemy operacyjne, przeglądarki i wtyczki.

Niezabezpieczony protokół RDP: Remote Desktop Protocol (RDP) jest częstym celem atakujących. Jeśli masz włączony protokół RDP w swoim systemie i nie jest on zabezpieczony silnymi hasłami ani uwierzytelnianiem dwuskładnikowym, osoby atakujące mogą łatwo uzyskać dostęp do Twojego systemu.

Aby zapobiec atakom ransomware, konieczne jest aktualizowanie systemu i oprogramowania, używanie silnych i unikalnych haseł oraz zachowanie ostrożności podczas otwierania załączników wiadomości e-mail lub klikania łączy. Wskazane jest również używanie renomowanego oprogramowania antywirusowego i regularne tworzenie kopii zapasowych danych.