Ransomware Farao zawiera żądanie okupu w języku portugalskim

Podczas badania nowych próbek oprogramowania ransomware nasz zespół badawczy natknął się na oprogramowanie ransomware Farao, które prawdopodobnie wywodzi się z oprogramowania ransomware Chaos. To złośliwe oprogramowanie szyfruje pliki, a następnie żąda zapłaty za ich odszyfrowanie.

W naszej analizie zaobserwowano, że Farao szyfrował pliki w naszym systemie testowym i dodał czteroznakowe rozszerzenie do ich nazw plików. Na przykład plik o nazwie „1.jpg” zmieni nazwę na „1.jpg.qigb”, a plik „2.png” zmieni nazwę na „2.png.0wbb” i tak dalej. Po zakończeniu procesu szyfrowania wygenerowano żądanie okupu o nazwie „LEIA-ME.txt”.

Notatka z żądaniem okupu, z grubsza przetłumaczona z języka portugalskiego, informuje ofiarę, że jej pliki zostały zaszyfrowane i wzięte jako zakładnicy. Wyznacza ofierze 48-godzinny termin na dokonanie płatności okupu i ostrzega o trwałej utracie danych w przypadku niedotrzymania tego terminu. Żądany okup wynosi 250 BRL (real brazylijski) płatny w kryptowalutie Bitcoin.

Pełna treść listu z żądaniem okupu Farao

Pełny tekst krótkiego żądania okupu wygenerowanego przez Farao brzmi następująco:

{TODOS OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS E ROUBADOS}

{VOCE TEM 48 HORAS PRA EFETUAR O VALOR DE 250 REAIS EM CRYPTOMOEDA
ENDERECO DA CARTEIRA ABAIXO}DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}

LEMBRANDO QUE OU VOCE PAGA, OU PERDERA TODOS OS SEUS DADDOS E ARQUIVOS, CASO FORMATE SEU COMPUTADOR, SEU SISTEMA OPERACIONAL SERA CORROMPIDO E SEU COMPUTADOR FICARA INULTILIZAVEL

PAGAMENTO EXPIRA EM 48 HORAS

DA REDE BITCOIN 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV}

TELEGRAM CONTATO; @Faraorasoware EVIAR COMPROVANTE PARA ESSE TELEGRAM

W jaki sposób oprogramowanie ransomware takie jak Farao może zainfekować Twój komputer?

Ransomware, takie jak Farao, może zainfekować komputer na różne sposoby, w tym:

E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile często podszywają się pod legalne podmioty lub usługi, nakłaniając użytkowników do nieświadomego pobrania i uruchomienia oprogramowania ransomware.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić komputer na oprogramowanie ransomware. Strony te mogą zawierać zestawy exploitów, które mogą po cichu pobrać i zainstalować oprogramowanie ransomware w Twoim systemie bez Twojej wiedzy.

Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych w celu uzyskania nieautoryzowanego dostępu do komputera. Aby ograniczyć ryzyko wykorzystania, konieczne jest aktualizowanie oprogramowania i systemu operacyjnego za pomocą najnowszych poprawek zabezpieczeń.

Pobieranie na żądanie: oprogramowanie ransomware może zostać pobrane na Twój komputer bez Twojej zgody podczas odwiedzania legalnych witryn, które zostały zhakowane. Nazywa się to pobieraniem typu drive-by download, podczas którego do witryny internetowej wstrzykiwane są złośliwe skrypty lub kod w celu zainicjowania pobierania i instalacji oprogramowania ransomware.

Złośliwe reklamy (malvertising): złośliwe reklamy, znane również jako złośliwe reklamy, po kliknięciu mogą przekierowywać użytkowników do witryn zawierających oprogramowanie ransomware lub inicjować pobieranie oprogramowania ransomware do ich systemów.

Wymienne urządzenia pamięci masowej: oprogramowanie ransomware może rozprzestrzeniać się za pośrednictwem zainfekowanych dysków USB, zewnętrznych dysków twardych lub innych wymiennych urządzeń pamięci masowej. Podłączenie zainfekowanego urządzenia do komputera może spowodować rozprzestrzenienie się oprogramowania ransomware w systemie.

Wykorzystywanie protokołu Remote Desktop Protocol (RDP): osoby atakujące ransomware mogą wykorzystać słabe lub domyślne hasła w połączeniach protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do komputerów i wdrożyć oprogramowanie ransomware.

Aby chronić swój komputer przed infekcjami oprogramowaniem ransomware, konieczne jest wdrożenie solidnych środków bezpieczeństwa cybernetycznego, w tym instalowanie renomowanego oprogramowania antywirusowego, regularne tworzenie kopii zapasowych danych, zachowanie ostrożności podczas otwierania załączników do wiadomości e-mail lub klikanie łączy, aktualizowanie oprogramowania i używanie silnych, unikalne hasła do wszystkich kont.