ReadText Ransomware zaszyfruje Twoje dyski
Nasz zespół badawczy natknął się na oprogramowanie ransomware ReadText podczas sprawdzania nowych zgłoszeń. To złośliwe oprogramowanie należy do rodziny ransomware MedusaLocker.
ReadText działa w sposób typowy dla ransomware. Zaszyfrował pliki na naszej maszynie testowej, dodając rozszerzenie „.readtext4” do oryginalnych nazw plików. Konkretna liczba używana w generowaniu drobnych rozszerzeń może się różnić w zależności od wariantu oprogramowania ransomware. Na przykład plik pierwotnie nazwany „1.jpg” zostanie przekształcony na „1.jpg.readtext4”, a „2.png” na „2.png.readtext4” i tak dalej.
Następnie zdeponował wiadomość z żądaniem okupu o nazwie „How_to_back_files.html”. Z tej wiadomości jasno wynika, że ReadText obiera za cel firmy i stosuje taktykę podwójnego wymuszenia.
Notatka powiązana z oprogramowaniem ransomware ReadText stwierdza, że sieć firmowa ofiary została naruszona. Kluczowe pliki zostały zaszyfrowane, a wrażliwe lub osobiste dane zostały wykradzione.
Komunikat odradza zmienianie nazw zaszyfrowanych plików lub podejmowanie prób odzyskiwania przy użyciu narzędzi deszyfrujących innych firm, ponieważ takie działania sprawiłyby, że danych byłoby niemożliwych do odzyskania.
Ofiara zostaje poinformowana o konieczności zapłacenia okupu. Nieprzestrzeganie tego spowoduje wyciek lub sprzedaż wyekstrahowanych danych. Ponadto opóźnienie kontaktu o ponad 72 godziny spowoduje zwiększenie kwoty okupu. Przed dokonaniem płatności ofiara ma możliwość przetestowania procesu deszyfrowania, wysyłając atakującym dwa do trzech zaszyfrowanych plików.
Żądanie okupu ReadText grozi wyciekiem danych
Pełny tekst żądania okupu ReadText wygląda następująco:
TWÓJ IDENTYFIKATOR OSOBISTY:
SIEĆ TWOJEJ FIRMY ZOSTAŁA PENETROWANA
Wszystkie Twoje ważne pliki zostały zaszyfrowane!Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)
JAKIEKOLWIEK PRÓBA PRZYWRACANIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA STRON TRZECICH
ZNISZCZY TO TRWALE.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.Żadne oprogramowanie dostępne w Internecie nie może Ci pomóc. Tylko my możemy to zrobić
rozwiązać swój problem.Zebraliśmy dane wysoce poufne/osobowe. Dane te są obecnie przechowywane na
prywatny serwer. Serwer ten zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane społeczeństwu lub sprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą w najbliższej przyszłości publicznie dostępne.Szukamy tylko pieniędzy i naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
od prowadzenia Twojej firmy.Możesz przesłać nam 2-3 nieistotne pliki, a my je odszyfrujemy za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.Skontaktuj się z nami, aby uzyskać cenę i uzyskać oprogramowanie deszyfrujące.
e-mail:
ithelp15@securitymy.name
ithelp15@yousheltered.comAby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŻELI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.Czat Tor, aby być zawsze w kontakcie:
W jaki sposób oprogramowanie ransomware jest dystrybuowane w Internecie?
Ransomware jest rozpowszechniane w Internecie różnymi metodami, często wykorzystując luki w oprogramowaniu, techniki inżynierii społecznej oraz złośliwe załączniki lub łącza. Oto kilka typowych sposobów dystrybucji oprogramowania ransomware:
E-maile phishingowe:
Wiadomości e-mail phishingowe są najczęstszą metodą rozprzestrzeniania oprogramowania ransomware. Osoby atakujące wysyłają zwodnicze e-maile, które wydają się pochodzić z legalnych źródeł, takich jak banki, agencje rządowe lub zaufane organizacje. Te e-maile zawierają złośliwe załączniki lub łącza, które po kliknięciu lub otwarciu pobierają i uruchamiają oprogramowanie ransomware na komputerze ofiary.
Złośliwe reklamy:
Malvertising polega na tym, że cyberprzestępcy umieszczają złośliwe reklamy na legalnych stronach internetowych. Gdy użytkownik kliknie te reklamy, mogą one nieświadomie spowodować pobranie oprogramowania ransomware lub zostać przekierowane do witryny internetowej zawierającej zestawy exploitów, które następnie dostarczają oprogramowanie ransomware.
Pobieranie na miejscu:
Pobieranie dyskowe ma miejsce, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową. W niektórych przypadkach witryna wykorzystuje luki w przeglądarce internetowej użytkownika lub wtyczkach, aby automatycznie pobierać i instalować oprogramowanie ransomware w systemie odwiedzającego bez jakiejkolwiek interakcji ze strony użytkownika.
Zestawy exploitów:
Zestawy exploitów to zestawy narzędzi wykorzystywane przez osoby atakujące do identyfikowania i wykorzystywania luk w oprogramowaniu ofiary. Gdy użytkownik odwiedza zaatakowaną witrynę internetową lub klika złośliwy link, zestaw exploitów skanuje w poszukiwaniu luk i dostarcza oprogramowanie ransomware, jeśli zostanie znaleziona luka.
Ataki na protokół Remote Desktop Protocol (RDP):
Atakujący atakują odsłonięte porty RDP i próbują uzyskać nieautoryzowany dostęp do komputera lub sieci ofiary. Po wejściu do środka instalują oprogramowanie ransomware bezpośrednio w systemie.
Złośliwe załączniki:
Ransomware może rozprzestrzeniać się poprzez załączniki do wiadomości e-mail, często zamaskowane jako nieszkodliwe pliki, takie jak pliki PDF, dokumenty Word lub archiwa ZIP. Po otwarciu tych załączników uruchamiają złośliwe skrypty lub makra, które inicjują pobieranie ransomware.
