Pzcqyq Ransomware należy do rodziny Snatch

W trakcie analizy przesłanych próbek nasz zespół z powodzeniem zidentyfikował Pzcqyq, który jest odmianą oprogramowania ransomware powiązanego z rodziną Snatch. Nasze badanie wykazało, że Pzcqyq wykorzystuje techniki szyfrowania do zabezpieczania plików. Dodaje rozszerzenie ".pzcqyq" do nazw plików i generuje żądanie okupu, szczególnie zatytułowane "JAK PRZYWRÓCIĆ PLIKI PZCQYQ.TXT".

Aby zilustrować, jak Pzcqyq zmienia nazwy plików, rozważmy to: przekształca „1.jpg” w „1.jpg.pzcqyq” i kontynuuje ten wzorzec dla plików takich jak „2.png” stając się „2.png.pzcqyq” oraz Wkrótce.

Treść żądania okupu informuje ofiary, że ich sieć przeszła symulowany test penetracyjny, podczas którego ich pliki zostały zaszyfrowane. Sprawcy twierdzą, że pobrali szereg danych przekraczających 100 GB. Obejmuje to dane osobowe, informacje marketingowe, poufne dokumenty, dokumentację finansową i duplikaty wybranych skrzynek pocztowych.

Cyberprzestępcy ostrzegają przed wszelkimi ręcznymi próbami odszyfrowania lub wykorzystaniem narzędzi stron trzecich. Podkreślają, że tylko ich narzędzie deszyfrujące ma możliwość skutecznego przywrócenia plików. Podkreślają, że każde inne oprogramowanie może potencjalnie wyrządzić dalsze szkody plikom, czyniąc je niemożliwymi do odzyskania. Żądanie okupu zawiera parę adresów e-mail „goodwork2020@mailfence.com” i „2020host2021@tutanota.com”, z którymi ofiary mogą się komunikować.

Oprócz tego osoby atakujące oferują bezpłatne odszyfrowanie do trzech plików, pod warunkiem, że ich łączny rozmiar nie przekracza 1 MB. Podkreślają również możliwość publicznego ujawnienia tych zaszyfrowanych plików, jeśli nie otrzymają odpowiedzi w ciągu trzech dni.

Żądanie okupu Pzcqyq twierdzi, że skradziono 100 GB

Pełny tekst żądania okupu Pzcqyq brzmi następująco:

CAŁA SIEĆ JEST SZYFROWANA TWOJA FIRMA STRACI PIENIĄDZE!

Drogi Zarządzie! Informujemy, że Twoja sieć przeszła test penetracyjny, podczas którego zaszyfrowaliśmy
swoje pliki i pobrał ponad 100 GB danych

Dane osobiste
Dane marketingowe
Dokumenty poufne
Rachunkowość
Kopie niektórych skrzynek pocztowych

Ważny! Nie próbuj odszyfrowywać plików samodzielnie ani za pomocą narzędzi innych firm.
Jedynym programem, który może je odszyfrować, jest nasz deszyfrator, o który możesz poprosić, korzystając z poniższych kontaktów.
Każdy inny program uszkodzi pliki tylko w taki sposób, że nie będzie można ich przywrócić.
Napisz do nas bezpośrednio, bez uciekania się do pośredników, oszukają Cię.

Możesz zdobyć wszystkie niezbędne dowody, przedyskutować z nami możliwe rozwiązania tego problemu i poprosić o deszyfrator
korzystając z poniższych kontaktów.
Bezpłatne odszyfrowywanie jako gwarancja. Wyślij nam 3 pliki do bezpłatnego odszyfrowania.
Całkowity rozmiar pliku nie powinien przekraczać 1 MB! (nie w archiwum).

Informujemy, że jeśli nie otrzymamy od Państwa odpowiedzi w ciągu 3 dni, zastrzegamy sobie prawo do upublicznienia plików.

Skontaktuj się z nami:
goodwork2020@mailfence.com lub 2020host2021@tutanota.com

W jaki sposób ransomware, takie jak Pzcqyq, może zainfekować Twój system?

Metody, za pomocą których oprogramowanie ransomware, takie jak Pzcqyq, może przeniknąć do twojego systemu, są różnorodne i często wykorzystują luki w oprogramowaniu, zachowaniu ludzi lub bezpieczeństwie sieci. Niektóre typowe wektory infekcji obejmują:

• E-maile phishingowe: Cyberprzestępcy często wysyłają oszukańcze e-maile ze złośliwymi załącznikami lub linkami. Te e-maile mogą wyglądać na uzasadnione i nakłaniać odbiorców do klikania załączników lub linków, które następnie uruchamiają ładunek ransomware.
• Złośliwe pobieranie: odwiedzanie zaatakowanych witryn lub pobieranie oprogramowania, plików lub multimediów z niezaufanych źródeł może prowadzić do infekcji ransomware. Te pliki do pobrania mogą zawierać ukryte złośliwe oprogramowanie, które aktywuje się po wykonaniu.
• Drive-by Downloads: Złośliwy kod może zostać wstrzyknięty do legalnych stron internetowych. Gdy odwiedzasz taką witrynę, złośliwe oprogramowanie jest pobierane i uruchamiane bez Twojej wiedzy i zgody.
• Exploit Kits: Są to pakiety narzędzi, które atakują luki w zabezpieczeniach aplikacji, często wykorzystywane przez cyberprzestępców do dostarczania oprogramowania ransomware za pośrednictwem zainfekowanych stron internetowych.
• Ataki Remote Desktop Protocol (RDP): Jeśli protokół RDP Twojego systemu nie jest odpowiednio zabezpieczony, osoby atakujące mogą uzyskać dostęp i wdrożyć ransomware.
• Malvertising: osoby atakujące mogą umieszczać złośliwe reklamy na legalnych stronach internetowych. Kliknięcie tych reklam może prowadzić do infekcji ransomware.
• Inżynieria społeczna: atakujący mogą wykorzystywać ludzką psychikę, aby nakłonić użytkowników do pobrania lub uruchomienia złośliwego oprogramowania, często podszywając się pod legalne organizacje lub osoby.
• Luki w oprogramowaniu: Wykorzystywanie niezałatanych luk w zabezpieczeniach systemów operacyjnych lub aplikacji jest częstym sposobem uzyskiwania przez atakujących nieautoryzowanego dostępu.