Kiqu Ransomware zaszyfruje systemy ofiar

W trakcie analizowania próbek złośliwego oprogramowania natknęliśmy się na konkretny wariant oprogramowania ransomware zidentyfikowany jako Kiqu. To ransomware działa poprzez szyfrowanie plików i modyfikowanie ich nazw plików, dodając rozszerzenie ".kiqu". Ponadto Kiqu generuje plik tekstowy o nazwie "_readme.txt", który służy jako żądanie okupu.

Aby zilustrować, jak Kiqu zmienia nazwy plików, zmienia nazwy plików, takie jak „1.jpg” na „1.jpg.kiqu”, „2.png” na „2.png.kiqu” i tak dalej. Warto zauważyć, że Kiqu jest powiązany z rodziną ransomware Djvu i często jest dystrybuowany wraz z innymi zagrożeniami.

Żądanie okupu wystawione przez atakujących zawiera kluczowe instrukcje i zawiera dwa adresy e-mail (support@freshmail.top i datarestorehelp@airmail.cc). Ofiary są pilnie proszone o skontaktowanie się z cyberprzestępcami w ciągu 72 godzin, aby uniknąć eskalacji okupu. Początkowo narzędzia deszyfrujące są żądane w wysokości 490 USD, ale jeśli ofiary nie odpowiedzą w określonym czasie, kwota okupu podwaja się i wynosi 980 USD.

Żądanie okupu podkreśla konieczność uzyskania oprogramowania deszyfrującego i unikalnego klucza od atakujących w celu przywrócenia zaszyfrowanych plików. Dodatkowo składana jest oferta bezpłatnego odszyfrowania pojedynczego pliku, z zastrzeżeniem, że plik nie powinien zawierać żadnych danych o istotnym znaczeniu lub wartości.

Notatka Kiqu z żądaniem okupu jest zgodna ze wzorem Djvu

Pełny tekst żądania okupu Kiqu brzmi następująco:

UWAGA!

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne są szyfrowane przy użyciu najsilniejszego szyfrowania i unikalnego klucza.
Jedyną metodą odzyskania plików jest zakup narzędzia deszyfrującego i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać wartościowych informacji.
Możesz pobrać i przejrzeć narzędzie do odszyfrowywania przeglądu wideo:
hxxps://we.tl/t-lOjoPPuBzw
Cena klucza prywatnego i oprogramowania deszyfrującego wynosi 980 USD.
Rabat 50% dostępny, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź swój e-mail w folderze "Spam" lub "śmieci", jeśli nie otrzymasz odpowiedzi dłużej niż 6 godzin.

Aby otrzymać to oprogramowanie, musisz napisać na nasz e-mail:
support@freshmail.top

Zarezerwuj adres e-mail do kontaktu z nami:
datarestorehelp@airmail.cc

Twój osobisty identyfikator:

W jaki sposób ransomware, takie jak Kiqu, może dostać się do twojego systemu?

Ransomware, takie jak Kiqu, może przedostać się do twojego systemu poprzez różne wektory ataku. Zrozumienie tych punktów wejścia ma kluczowe znaczenie dla wdrożenia skutecznych środków bezpieczeństwa cybernetycznego w celu ochrony systemu. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware, takie jak Kiqu, może przeniknąć do twojego systemu:

• E-maile phishingowe: Jedną z najbardziej rozpowszechnionych metod są e-maile phishingowe. Atakujący wysyłają oszukańcze wiadomości e-mail, które wyglądają na wiarygodne i zawierają złośliwe załączniki lub łącza. Gdy użytkownicy nieświadomie otwierają te załączniki lub klikają łącza, ransomware jest pobierane do ich systemu.
• Złośliwe strony internetowe: Odwiedzanie zainfekowanych lub złośliwych stron internetowych może prowadzić do pobrań typu drive-by download, w których oprogramowanie ransomware jest automatycznie pobierane i uruchamiane w systemie bez Twojej wiedzy.
• Malvertising: osoby atakujące mogą wykorzystywać złośliwe reklamy (malvertising) na legalnych stronach internetowych w celu dostarczania oprogramowania ransomware niczego niepodejrzewającym użytkownikom. Kliknięcie tych reklam może spowodować pobranie i instalację ransomware.
• Wykorzystywanie luk w oprogramowaniu: Ransomware może wykorzystywać luki w zabezpieczeniach Twojego systemu operacyjnego, oprogramowania lub aplikacji. Bardzo ważne jest, aby system i oprogramowanie były aktualizowane najnowszymi poprawkami, aby zminimalizować te zagrożenia.
• Wykorzystanie protokołu Remote Desktop Protocol (RDP): Jeśli usługi pulpitu zdalnego są włączone bez odpowiednich środków bezpieczeństwa, osoby atakujące mogą wykorzystać luki w zabezpieczeniach protokołu RDP w celu uzyskania nieautoryzowanego dostępu do systemu i wdrożenia oprogramowania ransomware.
• Złośliwe łącza w mediach społecznościowych: Cyberprzestępcy mogą wykorzystywać platformy mediów społecznościowych do rozpowszechniania łączy do złośliwych witryn zawierających oprogramowanie ransomware. Użytkownicy mogą nieświadomie klikać te linki, inicjując proces infekcji.