Mynvhefutrx Ransomware to klon typu Snatch

Badając nowo przesłane próbki plików, nasz zespół badawczy dokonał ważnego odkrycia: złośliwego oprogramowania Mynvhefutrx. Ten konkretny program należy do rodziny ransomware Snatch, kategorii malware przeznaczonej do szyfrowania plików i żądania okupu za ich uwolnienie.

Podczas fazy testowania zauważyliśmy, że Mynvhefutrx pomyślnie zaszyfrował pliki na wyznaczonym przez nas komputerze i dodał rozszerzenie „.mynvhefutrx” do ich oryginalnych nazw plików. Na przykład plik pierwotnie nazwany „1.jpg” przekształcił się w „1.jpg.mynvhefutrx”, podczas gdy „2.png” zmienił się w „2.png.mynvhefutrx” i tak dalej.

Po zakończeniu procesu szyfrowania ransomware wygenerował żądanie okupu zatytułowane „JAK PRZYWRÓCIĆ PLIKI MYNVHEFUTRX.TXT”. Z treści tej notatki wynika, że celem oprogramowania ransomware są przede wszystkim podmioty korporacyjne, a nie indywidualni użytkownicy domowi. Wyraźnie informuje ofiary o szyfrowaniu ich plików, opatrzone niepokojącym szczegółem: z ich sieci wydobyto ponad 100 GB ich danych. Skradzione dane obejmują informacje wrażliwe, takie jak dane finansowe, bazy danych, dane klientów, poufne dokumenty i dane osobowe.

Żądanie okupu wyraźnie ostrzega ofiary przed korzystaniem z zewnętrznych narzędzi deszyfrujących, podkreślając, że może to spowodować nieodwracalne uszkodzenie zainfekowanych plików, uniemożliwiając ich odszyfrowanie. Ponadto ostrzega, że brak komunikacji z atakującymi w ciągu trzech dni może spowodować, że cyberprzestępcy publicznie ujawnią wykradzione dane.

Notatka z żądaniem okupu Mynvhefutrx grozi wyciekiem danych

Pełny tekst żądania okupu Mynvhefutrx brzmi następująco:

Informujemy, że Twoja sieć przeszła test penetracyjny, podczas którego zaszyfrowaliśmy
Twoje pliki i pobrał ponad 100 GB Twoich danych, w tym:

Rachunkowość
Dokumenty poufne
Dane osobiste
Bazy danych
Pliki klientów

Ważny! Nie próbuj odszyfrowywać plików samodzielnie ani za pomocą narzędzi innych firm.
Program, który może je odszyfrować, to nasz deszyfrator, o który możesz poprosić, korzystając z poniższych kontaktów.
Każdy inny program może tylko uszkodzić pliki.

Pamiętaj, że jeśli nie otrzymamy od Ciebie odpowiedzi w ciągu 3 dni, zastrzegamy sobie prawo do opublikowania Twoich plików.

Skontaktuj się z nami:

franklin1328@gmx.com lub protec5@tutanota.com

W jaki sposób ransomware, takie jak Mynvhefutrx, może dostać się do twojego systemu?

Ransomware, takie jak Mynvhefutrx, może wykorzystywać różne metody infiltracji systemów komputerowych. Oto kilka typowych sposobów, w jakie ransomware może uzyskać dostęp:

• Załączniki do wiadomości e-mail: ransomware często rozprzestrzenia się za pośrednictwem złośliwych załączników do wiadomości e-mail. Atakujący wysyłają wiadomości e-mail, które wyglądają na wiarygodne, ale załączniki zawierają zainfekowane pliki, takie jak pliki wykonywalne lub dokumenty pakietu Office osadzone w złośliwych makrach. Gdy użytkownicy otwierają te załączniki, ransomware zostaje uruchomione, infekując system.
• Kampanie phishingowe: Cyberprzestępcy mogą uruchamiać kampanie phishingowe, aby nakłonić użytkowników do kliknięcia złośliwych łączy lub podania poufnych informacji. Te e-maile phishingowe imitują legalne organizacje lub usługi, wabiąc użytkowników do interakcji z oszukańczymi stronami internetowymi. Klikając takie linki, użytkownicy nieświadomie pobierają ransomware na swoje systemy.
• Złośliwe pliki do pobrania: oprogramowanie ransomware może być zamaskowane jako legalne oprogramowanie lub pliki dostępne do pobrania z Internetu. Użytkownicy mogą nieświadomie pobierać i uruchamiać zainfekowane pliki z niewiarygodnych źródeł, w tym zainfekowanych stron internetowych, platform torrentowych lub sieci peer-to-peer. Łamanie oprogramowania, generatory kluczy i inne nieoficjalne łatki są również powszechnymi nośnikami oprogramowania ransomware.
• Wykorzystywanie luk w oprogramowaniu: Cyberprzestępcy aktywnie wyszukują luki w zabezpieczeniach systemów operacyjnych, oprogramowania lub wtyczek. Opracowują exploity, które mogą ominąć środki bezpieczeństwa i wstrzyknąć oprogramowanie ransomware do systemów, które nie zostały zaktualizowane najnowszymi łatami i poprawkami bezpieczeństwa. Ta metoda jest szczególnie skuteczna, gdy organizacje lub osoby zaniedbują regularne aktualizacje oprogramowania.
• Ataki Remote Desktop Protocol (RDP): RDP umożliwia użytkownikom zdalne łączenie się z innym komputerem przez sieć. Jeśli atakujący odkryją słabe lub domyślne dane uwierzytelniające RDP, mogą uzyskać nieautoryzowany dostęp do systemu i wdrożyć oprogramowanie ransomware. Mogą również wykorzystywać luki w protokole RDP do infiltracji sieci i rozprzestrzeniania oprogramowania ransomware na podłączone urządzenia.
• Drive-by downloads: Ransomware może być dostarczane poprzez drive-by downloads, które mają miejsce, gdy użytkownicy odwiedzają zainfekowane strony internetowe. Witryny te wykorzystują luki w przeglądarce użytkownika lub jej wtyczkach, automatycznie pobierając i uruchamiając ransomware w systemie bez jakiejkolwiek interakcji lub zgody użytkownika.
• Malvertising: Cyberprzestępcy mogą wykorzystywać złośliwe reklamy (malvertising) do dystrybucji ransomware. Wstrzykują złośliwy kod do legalnych sieci reklamowych lub wyświetlają wprowadzające w błąd reklamy na zainfekowanych stronach internetowych. Gdy użytkownicy klikają te reklamy, mogą nieświadomie uruchomić pobieranie i wykonanie ransomware.
• Socjotechnika i ataki typu „watering hole”: osoby atakujące mogą manipulować użytkownikami za pomocą technik socjotechnicznych, takich jak nakłanianie ich do klikania zainfekowanych łączy lub pobierania plików, udając, że są czymś pożądanym lub pilnym. Ataki typu „watering hole” polegają na włamywaniu się do legalnych stron internetowych często odwiedzanych przez grupę docelową i umieszczaniu na nich oprogramowania ransomware, co zwiększa szanse na zainfekowanie niczego niepodejrzewających gości.