Jak zatrzymać i usunąć oprogramowanie ransomware Cash

Krajobraz cyberzagrożeń wprowadził kolejne zagrożenie, znane jako Cash Ransomware. Celem tego szkodliwego programu, opracowanego przez tego samego ugrupowania zagrażającego, co Cash RAT (trojan zdalnego dostępu) i MintStealer, jest szyfrowanie danych i żądanie zapłaty za odszyfrowanie. Cash Ransomware dodaje do nazw zaszyfrowanych plików rozszerzenie „.CashRansomware”, przekształcając „1.jpg” w „1.jpg.CashRansomware” i „2.png” w „2.png.CashRansomware”.

Szczegóły żądania okupu

Cash Ransomware tworzy trzy notatki z żądaniem okupu: tapetę pulpitu, wyskakujące okienko i plik HTML o nazwie „Cash Ransomware.html”. Notatki te, choć różnią się wyglądem, przekazują te same istotne informacje:

• Powiadomienie, że pliki zostały zaszyfrowane.
• Żąda zapłaty okupu za odszyfrowanie danych.
• Ostrzeżenia przed działaniami, które mogą utrudnić odzyskanie danych.

Z komunikatów wynika, że pliki zostały zaszyfrowane przy użyciu algorytmów kryptograficznych XChaCha20, Poly1305 i AES-256-GCM. Ofiary proszone są o zapłacenie 80 USD w kryptowalucie Monero (XMR) za odszyfrowanie. Ponadto uwagi ostrzegają przed ponownym uruchamianiem urządzenia lub uruchamianiem programów antywirusowych, ponieważ może to spowodować, że pliki będą trwale niemożliwe do odszyfrowania. Odradza się również odłączanie od sieci, ponieważ może to utrudnić negocjacje i wysiłki naprawcze.

Notatka Cash Ransomware brzmi następująco:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Analiza oprogramowania ransomware Cash

Czerpiąc z szerokiego doświadczenia w badaniu infekcji ransomware, oczywiste jest, że odszyfrowanie bez udziału atakujących jest rzadko możliwe. Zapłata okupu nie gwarantuje odzyskania danych, ponieważ cyberprzestępcy często nie dostarczają klucza deszyfrującego nawet po spełnieniu ich żądań. Dlatego zdecydowanie odradza się spełnianie żądań okupu, ponieważ tylko podsyca to działalność przestępczą.

Co ciekawe, kwota okupu żądana przez Cash Ransomware jest stosunkowo niska, co jest podejrzane. Ransomware zazwyczaj żąda od użytkowników domowych kwot od trzech do czterech cyfr (w USD). Gdy okup jest wyjątkowo niski, napastnicy mogą nie zawracać sobie głowy wysyłaniem ofiar narzędzi do odzyskiwania, co sugeruje, że oprogramowanie ransomware może zostać wykorzystane do generowania przychodów lub testowania nowego oprogramowania/technik.

Łagodzenie i zapobieganie

Aby zapobiec dalszemu szyfrowaniu, Cash Ransomware musi zostać usunięte z systemu operacyjnego. Nie spowoduje to jednak przywrócenia plików, których dotyczy problem. Odzyskiwanie jest możliwe wyłącznie z kopii zapasowej, co podkreśla znaczenie przechowywania kopii zapasowych w wielu lokalizacjach (np. na zdalnych serwerach, odłączonych urządzeniach pamięci masowej).

Godne uwagi przykłady oprogramowania ransomware

LockBit 5, Risen, Cronus, Lynx i HorrorDead to najnowsze przykłady oprogramowania ransomware, które działają podobnie, szyfrując dane i żądając zapłaty za odszyfrowanie. Programy ransomware różnią się przede wszystkim używanymi algorytmami kryptograficznymi (symetryczne lub asymetryczne) oraz wysokością okupu, która różni się w zależności od celu (użytkownicy domowi vs. duże podmioty, takie jak korporacje i organizacje).

Wektory infekcji

Cash Ransomware jest oferowany jako RaaS (Ransomware-as-a-Service), co oznacza, że jego twórcy sprzedają je cyberprzestępcom. W związku z tym sposób proliferacji może się różnić. Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się za pomocą taktyk phishingu i socjotechniki, często podszywając się pod legalną treść lub w pakiecie z nią. Złośliwymi plikami mogą być pliki wykonywalne, archiwa, dokumenty, JavaScript itp., których łańcuch pobierania/instalacji jest uruchamiany po otwarciu zainfekowanego pliku.

Typowe techniki dystrybucji złośliwego oprogramowania obejmują:

• Trojany typu Loader/backdoor.
• Pobieranie na miejscu.
• Wątpliwe źródła pobierania (np. witryny z bezpłatnym oprogramowaniem, sieci P2P).
• Złośliwe załączniki/linki w wiadomościach spamowych.
• Oszustwa internetowe.
• Nielegalne narzędzia do aktywacji („łamania”) oprogramowania.
• Fałszywe aktualizacje.

Ponadto niektóre złośliwe oprogramowanie może samorozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.

Środki ochrony

Aby chronić się przed infekcjami ransomware:

• Pobieraj wyłącznie z oficjalnych i zweryfikowanych kanałów.
• Aktywuj i aktualizuj programy, korzystając z oryginalnych funkcji/narzędzi.
• Przychodzące e-maile i wiadomości traktuj ostrożnie.
• Unikaj otwierania podejrzanych załączników lub łączy.
• Zachowaj czujność podczas przeglądania, aby uniknąć oszukańczych treści.
• Zainstaluj i regularnie aktualizuj renomowane oprogramowanie antywirusowe.
• Wykonuj regularne skanowanie systemu w celu wykrywania i usuwania zagrożeń.

Jeśli Twój komputer jest zainfekowany Cash Ransomware, zaleca się wykonanie skanowania programem anty-malware, aby automatycznie wyeliminować zagrożenie. Zachowaj bezpieczeństwo i chroń swoje dane, stosując się do najlepszych praktyk.