Ransomware Mad Cat żąda 0,02 BTC

Podczas rutynowego sprawdzania nowych przesłanych plików nasi badacze natknęli się na program ransomware o nazwie Mad Cat. Ten typ złośliwego oprogramowania działa poprzez szyfrowanie plików, a następnie żądanie zapłaty za ich odszyfrowanie.

W naszym systemie testowym Mad Cat szyfrował pliki i modyfikował ich nazwy. Oryginalne nazwy zostały rozszerzone o czteroznakowe rozszerzenie składające się z losowych znaków. Na przykład plik o nazwie „1.jpg” zostanie przekształcony w „1.jpg.6psf”, a plik „2.png” zmieni się w „2.png.jwni” i tak dalej. Po zakończeniu tego procesu tapeta pulpitu została zmieniona i wygenerowana została notatka z żądaniem okupu zatytułowana „HACKED.txt”.

Wiadomość na tapecie informowała, że dane ofiary zostały zaszyfrowane, i namawiała ją do skontaktowania się z atakującymi w celu odzyskania danych. Wskazała również, że niezbędne informacje można znaleźć w załączonym pliku tekstowym. Znajdująca się w pliku notatka z żądaniem okupu instruowała ofiarę, aby zapłaciła okup za odszyfrowanie i przekazała cyberprzestępcom identyfikator transakcji.

Początkowo żądaną kwotę określono na 0,02 BTC (kryptowaluta Bitcoin), ale później zmieniono ją na 0,05 BTC. W chwili pisania tego tekstu kwoty te odpowiadają w przybliżeniu 600 i 1700 USD, chociaż należy pamiętać, że kursy wymiany podlegają ciągłym wahaniom.

Notatka o okupie Mad Cat żąda płatności w Bitcoinach

Pełny tekst żądania okupu od Mad Cat brzmi następująco:

Oprogramowanie ransomware Mad Cat

Wszystkie Twoje pliki są zaszyfrowane i nie możesz ich odzyskać.

JAK SIĘ ZREZYGNOWAĆ?

1- Zapłać [ 0,02 BTC ] na: ciąg alfanumeryczny

2- Wyślij nam tutaj identyfikator transakcji => Telegram [@WhiteVendor]

Informacje o płatnościKwota: 0,05 BTC
Adres Bitcoin: ciąg alfanumeryczny

W jaki sposób oprogramowanie ransomware może dostać się do Twojego systemu?

Oprogramowanie ransomware może przedostać się do systemu na różne sposoby, dlatego niezwykle ważna jest świadomość tych punktów wejścia, aby skutecznie chronić system. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do systemu:

E-maile phishingowe:
Ransomware często przedostaje się do systemów poprzez złośliwe załączniki lub łącza do wiadomości e-mail. Cyberprzestępcy wysyłają zwodnicze e-maile, które wydają się uzasadnione, nakłaniając użytkowników do otwarcia zainfekowanych załączników lub kliknięcia linków pobierających złośliwe oprogramowanie.

Złośliwe załączniki do wiadomości e-mail:
Załączniki do wiadomości e-mail, takie jak dokumenty programu Word, pliki PDF lub pliki ZIP, mogą zawierać oprogramowanie ransomware. Po otwarciu pliki te uruchamiają złośliwe oprogramowanie w systemie.

Pobieranie na miejscu:
Odwiedzanie zainfekowanych lub złośliwych witryn internetowych może powodować pobieranie plików. Witryny te wykorzystują luki w zabezpieczeniach Twojej przeglądarki internetowej lub wtyczek, aby automatycznie pobierać oprogramowanie ransomware bez Twojej zgody.

Wykorzystywanie niezałatanego oprogramowania:
Ransomware może wykorzystywać luki w zabezpieczeniach nieaktualnego lub niezałatanego oprogramowania w celu uzyskania dostępu. Regularnie aktualizuj swój system operacyjny i aplikacje, aby chronić się przed tymi exploitami.

Ataki na protokół Remote Desktop Protocol (RDP):
Jeśli Twój protokół RDP nie jest odpowiednio zabezpieczony, osoby atakujące mogą zastosować ataki typu brute-force, aby odgadnąć Twoje dane logowania i uzyskać dostęp do Twojego systemu. Po wejściu do środka mogą zainstalować oprogramowanie ransomware.

Złośliwe reklamy:
Złośliwe reklamy (złośliwe reklamy) na legalnych stronach internetowych mogą przekierowywać użytkowników do witryn dostarczających oprogramowanie ransomware. Unikaj klikania podejrzanych reklam.