DeathRansom Ransomware prosi o dziwny okup

Podczas rutynowego sprawdzania nowych zgłoszeń do internetowych baz danych o zagrożeniach nasz zespół badaczy natrafił na oprogramowanie ransomware DeathRansom, które należy do rodziny programów ransomware Chaos.

Po uruchomieniu testowej próbki oprogramowania ransomware DeathRansom na naszym komputerze testowym zauważyliśmy, że program szyfrował pliki i dodawał czteroznakowe rozszerzenie do ich nazw. Na przykład plik o nazwie „1.jpg” został zmieniony na „1.jpg.888e”, a „2.png” na „2.png.tv52” i tak dalej.

Oprócz szyfrowania plików, program tworzył żądanie okupu o nazwie "read_it.txt" i zmieniał tapetę pulpitu. Żądanie okupu informowało ofiarę, że jej pliki zostały zaszyfrowane i zawierało zestaw instrukcji, jak odszyfrować dane.

W notatce żądano, aby ofiara wysłała atakującemu wiadomość e-mail z kodem podarunkowym do Roblox, popularnej platformy gier online. Atakujący obiecali wysłać narzędzie deszyfrujące po otrzymaniu kodu podarunkowego. Tapeta wyświetlana przez ransomware DeathRansom ujawniła ponadto, że żądany okup był kartą podarunkową o wartości 25 USD, co odpowiada 2200 Robux – waluty w grze używanej na platformie Roblox.

Notatka DeathRansom z prośbą o Robux

Kompletna notatka z żądaniem okupu wyprodukowana przez DeathRansom brzmi następująco:

Ups, DeathRansom zablokował twoje pliki!
Yi=
Możesz odblokować swoje pliki poprzez:

1. Wyślij wiadomość e-mail na adres deathpoppyclient@gmail.com.
2. Wysyłanie kodu podarunkowego roblox na e-mail.
3. Wyślemy Ci deszyfrator.
   JEŚLI NIE MA ODPOWIEDZI, SPRAWDŹ SPAM LUB SPAM!
   jeśli nie zapłacę, zresetuję ten komputer
   Na razie Twoje pliki są u MNIE!
   ZŁOŚLIWE OPROGRAMOWANIE DEATHPOPPY
   2345567788888 nie jest kodem e, nie próbuj go

W jaki sposób oprogramowanie typu ransomware, takie jak DeathRansom, zwykle rozprzestrzenia się w Internecie?

Oprogramowanie ransomware, w tym DeathRansom, może być rozpowszechniane online przy użyciu różnych metod. Jednym z najczęstszych sposobów są wiadomości e-mail typu phishing lub złośliwe łącza, które nakłaniają użytkowników do pobrania i uruchomienia złośliwego oprogramowania w ich systemach komputerowych. Atakujący mogą również wykorzystywać zestawy exploitów lub luki w oprogramowaniu do infekowania maszyn bez jakiejkolwiek interakcji użytkownika. Ponadto oprogramowanie ransomware może być dostarczane za pośrednictwem złośliwych reklam, polegających na umieszczaniu złośliwych reklam na legalnych witrynach internetowych lub za pośrednictwem zainfekowanych instalatorów lub aktualizacji oprogramowania.

Gdy złośliwe oprogramowanie zostanie uruchomione w systemie, może szybko rozprzestrzenić się na inne urządzenia w sieci lub na podłączone urządzenia pamięci masowej. Dlatego tak ważne jest utrzymywanie silnych środków bezpieczeństwa, takich jak aktualizowanie oprogramowania, unikanie podejrzanych linków lub wiadomości e-mail oraz regularne tworzenie kopii zapasowych ważnych plików w celu ochrony przed zagrożeniem atakami ransomware.