Itrz Ransomware będzie szyfrować systemy ofiar

Badając nowe próbki złośliwych plików, natknęliśmy się na odmianę oprogramowania ransomware znaną jako Itrz. To ransomware szyfruje pliki i modyfikuje ich nazwy, dodając rozszerzenie „.itrz”. Dodatkowo Itrz generuje żądanie okupu, zwykle znajdujące się w pliku o nazwie „_readme.txt”.

Itrz zmienia nazwy plików w następujący sposób: zmienia plik taki jak „1.jpg” na „1.jpg.itrz”, „2.png” na „2.png.itrz” i tak dalej. Należy pamiętać, że Itrz jest powiązany z rodziną ransomware Djvu, a cyberprzestępcy mogą rozpowszechniać go w połączeniu ze złośliwym oprogramowaniem kradnącym dane, takim jak RedLine lub Vidar.

W żądaniu okupu napastnicy twierdzą, że zastosowali solidną metodę szyfrowania w celu zablokowania plików ofiary, które obejmują zdjęcia, bazy danych, dokumenty i inne ważne dane. Aby przywrócić normalny dostęp do plików, ofiara powinna zapłacić za narzędzie deszyfrujące i unikalny klucz, który odblokuje zaszyfrowane dane.

Osoby atakujące zapewniają bezpłatną wersję próbną odszyfrowania, umożliwiając ofierze wysłanie z komputera jednego z zaszyfrowanych plików, który zostanie odszyfrowany bezpłatnie. Określają jednak, że ta oferta bezpłatnego odszyfrowania dotyczy tylko jednego pliku i nie powinna zawierać cennych informacji.

W żądaniu okupu wskazano, że początkowy koszt uzyskania klucza prywatnego i oprogramowania deszyfrującego wynosi 980 dolarów. Niemniej jednak podkreśla, że dostępna jest 50% zniżka aż do 490 dolarów okupu, jeśli ofiara skontaktuje się z nią w ciągu pierwszych 3 dni po infekcji. W notatce podkreślono, że brak płatności uniemożliwi odzyskanie danych.

Aby zdobyć oprogramowanie deszyfrujące, ofiara jest proszona o skontaktowanie się z cyberprzestępcami za pośrednictwem następujących adresów e-mail: support@freshmail.top lub datarestorehelp@airmail.cc.

Notatka o okupie Itrz zawiera e-maile umożliwiające kontakt

Pełny tekst żądania okupu Itrz brzmi następująco:

UWAGA!

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne, są szyfrowane przy użyciu najsilniejszego szyfrowania i unikalnego klucza.
Jedyną metodą odzyskania plików jest zakup narzędzia do odszyfrowania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden z zaszyfrowanych plików ze swojego komputera, a my go odszyfrujemy za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji.
Możesz pobrać i obejrzeć narzędzie do odszyfrowywania przeglądu wideo:
hxxps://we.tl/t-cGZhpvUKxk
Cena klucza prywatnego i oprogramowania do odszyfrowania wynosi 980 USD.
Rabat 50% dostępny, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie wynosi 490 $.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź folder „Spam” lub „Śmieci” w swojej skrzynce e-mail, jeśli nie otrzymasz odpowiedzi po upływie ponad 6 godzin.

Aby otrzymać to oprogramowanie należy napisać na nasz e-mail:
support@freshmail.top

Zarezerwuj adres e-mail do kontaktu z nami:
datarestorehelp@airmail.cc

Twój dowód osobisty:

W jaki sposób rozpowszechniane jest oprogramowanie Ransomware Like Itrz?

Ransomware takie jak Itrz może być dystrybuowane różnymi metodami, w tym między innymi:

• E-maile phishingowe: Jedną z najpopularniejszych metod dystrybucji są e-maile phishingowe. Cyberprzestępcy wysyłają pozornie uzasadnione e-maile ze złośliwymi załącznikami lub linkami. Kiedy odbiorca wchodzi w interakcję z tymi załącznikami lub linkami, oprogramowanie ransomware zostaje pobrane i uruchomione w jego systemie.
• Złośliwe witryny internetowe: Cyberprzestępcy mogą tworzyć witryny internetowe oferujące kuszące pliki do pobrania, takie jak crackowane oprogramowanie lub bezpłatne aplikacje. Użytkownicy odwiedzający te witryny i pobierający oferowane treści mogą nieświadomie zainstalować oprogramowanie ransomware na swoich komputerach.
• Pobieranie metodą „drive-by”: w niektórych przypadkach oprogramowanie ransomware może być dystrybuowane poprzez pobieranie „drive-by”. Gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową, oprogramowanie ransomware jest automatycznie pobierane i uruchamiane w jego systemie bez jego wiedzy i zgody.
• Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać luki w zabezpieczeniach oprogramowania w systemach operacyjnych lub aplikacjach. Jeśli system użytkownika nie jest aktualny z poprawkami bezpieczeństwa, może być podatny na ataki ransomware.
• Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na wstrzykiwaniu złośliwego kodu do reklam internetowych. Gdy użytkownicy klikają te reklamy, mogą niechcący pobrać oprogramowanie ransomware na swoje urządzenia.
• Udostępnianie plików w trybie peer-to-peer (P2P): Do oprogramowania ransomware może być dołączone crackowane lub pirackie oprogramowanie, które użytkownicy pobierają z sieci wymiany plików P2P. Jest to powszechny sposób infekowania użytkowników, którzy chcą nielegalnie uzyskać oprogramowanie.
• Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne poświadczenia RDP, aby uzyskać dostęp do systemu, z którego mogą ręcznie zainstalować oprogramowanie ransomware lub użyć zautomatyzowanych narzędzi do jego rozprzestrzeniania.
• Droppery złośliwego oprogramowania: Niektóre ransomware są dostarczane przez droppery złośliwego oprogramowania. Są to oddzielne złośliwe oprogramowanie, które jest początkowo instalowane w systemie, a które z kolei pobiera i uruchamia oprogramowanie ransomware.