Ransomware Farao zawiera żądanie okupu w języku portugalskim
Podczas badania nowych próbek oprogramowania ransomware nasz zespół badawczy natknął się na oprogramowanie ransomware Farao, które prawdopodobnie wywodzi się z oprogramowania ransomware Chaos. To złośliwe oprogramowanie szyfruje pliki, a następnie żąda zapłaty za ich odszyfrowanie.
W naszej analizie zaobserwowano, że Farao szyfrował pliki w naszym systemie testowym i dodał czteroznakowe rozszerzenie do ich nazw plików. Na przykład plik o nazwie „1.jpg” zmieni nazwę na „1.jpg.qigb”, a plik „2.png” zmieni nazwę na „2.png.0wbb” i tak dalej. Po zakończeniu procesu szyfrowania wygenerowano żądanie okupu o nazwie „LEIA-ME.txt”.
Notatka z żądaniem okupu, z grubsza przetłumaczona z języka portugalskiego, informuje ofiarę, że jej pliki zostały zaszyfrowane i wzięte jako zakładnicy. Wyznacza ofierze 48-godzinny termin na dokonanie płatności okupu i ostrzega o trwałej utracie danych w przypadku niedotrzymania tego terminu. Żądany okup wynosi 250 BRL (real brazylijski) płatny w kryptowalutie Bitcoin.
Pełna treść listu z żądaniem okupu Farao
Pełny tekst krótkiego żądania okupu wygenerowanego przez Farao brzmi następująco:
{TODOS OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS E ROUBADOS}
{VOCE TEM 48 HORAS PRA EFETUAR O VALOR DE 250 REAIS EM CRYPTOMOEDA
ENDERECO DA CARTEIRA ABAIXO}DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}LEMBRANDO QUE OU VOCE PAGA, OU PERDERA TODOS OS SEUS DADDOS E ARQUIVOS, CASO FORMATE SEU COMPUTADOR, SEU SISTEMA OPERACIONAL SERA CORROMPIDO E SEU COMPUTADOR FICARA INULTILIZAVEL
PAGAMENTO EXPIRA EM 48 HORAS
DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}
TELEGRAM CONTATO; @Faraorasoware EVIAR COMPROVANTE PARA ESSE TELEGRAM
W jaki sposób oprogramowanie ransomware takie jak Farao może zainfekować Twój komputer?
Ransomware, takie jak Farao, może zainfekować komputer na różne sposoby, w tym:
E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile często podszywają się pod legalne podmioty lub usługi, nakłaniając użytkowników do nieświadomego pobrania i uruchomienia oprogramowania ransomware.
Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić komputer na oprogramowanie ransomware. Strony te mogą zawierać zestawy exploitów, które mogą po cichu pobrać i zainstalować oprogramowanie ransomware w Twoim systemie bez Twojej wiedzy.
Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych w celu uzyskania nieautoryzowanego dostępu do komputera. Aby ograniczyć ryzyko wykorzystania, konieczne jest aktualizowanie oprogramowania i systemu operacyjnego za pomocą najnowszych poprawek zabezpieczeń.
Pobieranie na żądanie: oprogramowanie ransomware może zostać pobrane na Twój komputer bez Twojej zgody podczas odwiedzania legalnych witryn, które zostały zhakowane. Nazywa się to pobieraniem typu drive-by download, podczas którego do witryny internetowej wstrzykiwane są złośliwe skrypty lub kod w celu zainicjowania pobierania i instalacji oprogramowania ransomware.
Złośliwe reklamy (malvertising): złośliwe reklamy, znane również jako złośliwe reklamy, po kliknięciu mogą przekierowywać użytkowników do witryn zawierających oprogramowanie ransomware lub inicjować pobieranie oprogramowania ransomware do ich systemów.
Wymienne urządzenia pamięci masowej: oprogramowanie ransomware może rozprzestrzeniać się za pośrednictwem zainfekowanych dysków USB, zewnętrznych dysków twardych lub innych wymiennych urządzeń pamięci masowej. Podłączenie zainfekowanego urządzenia do komputera może spowodować rozprzestrzenienie się oprogramowania ransomware w systemie.
Wykorzystywanie protokołu Remote Desktop Protocol (RDP): osoby atakujące ransomware mogą wykorzystać słabe lub domyślne hasła w połączeniach protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do komputerów i wdrożyć oprogramowanie ransomware.
Aby chronić swój komputer przed infekcjami oprogramowaniem ransomware, konieczne jest wdrożenie solidnych środków bezpieczeństwa cybernetycznego, w tym instalowanie renomowanego oprogramowania antywirusowego, regularne tworzenie kopii zapasowych danych, zachowanie ostrożności podczas otwierania załączników do wiadomości e-mail lub klikanie łączy, aktualizowanie oprogramowania i używanie silnych, unikalne hasła do wszystkich kont.