Ransomware RedProtection żąda płatności w Bitcoinach

Nasi badacze zidentyfikowali usługę RedProtection podczas analizy przesłanych nowych plików. Ta forma złośliwego oprogramowania należy do kategorii oprogramowania ransomware, którego głównym celem jest szyfrowanie danych i żądanie zapłaty za ich odszyfrowanie.

Po uruchomieniu próbki RedProtection w naszym systemie testowym zainicjowała ona szyfrowanie plików. Tytuły zaszyfrowanych plików zostały zmodyfikowane poprzez dodanie rozszerzenia składającego się z czterech losowych znaków. Na przykład plik o nazwie „1.jpg” został przekształcony w „1.jpg.g525”, a plik „2.png” stał się „2.png.7n45” i tak dalej.

Po zakończeniu procesu szyfrowania ransomware zmienił tapetę pulpitu i wygenerował notatkę z żądaniem okupu o nazwie „read_it.txt”. Na tapecie widniał komunikat informujący ofiarę, że jej dane zostały zaszyfrowane, i wzywający ją do skontaktowania się z napastnikami w ciągu trzydziestu minut.

Wiadomość z żądaniem okupu jest prezentowana w języku angielskim i francuskim i wskazuje, że odzyskanie zaszyfrowanych plików wymaga zapłaty 0,0061 BTC (kryptowaluta Bitcoin). W chwili obecnej kwota ta jest szacowana na około 200 USD, biorąc pod uwagę stałe wahania kursów walut.

W notatce jest wzmianka, że okup podlega negocjacjom, ale musi zostać uregulowany w ciągu 24 godzin. Brak płatności w podanym terminie spowoduje usunięcie klucza deszyfrującego, co uniemożliwi odzyskanie plików.

Żądanie okupu RedProtection jest dostępne w języku francuskim i angielskim

Pełny tekst żądania okupu RedProtection brzmi następująco:

Warning! All your files have been encrypted. To regain access to your data, you must pay a ransom of 0.0061 btc (negotiable) in this wallet (17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV) within the next 24 hours.
If you don't pay on time, the decryption key will be destroyed, and your files will be lost forever.
Follow the instructions below to make the payment and recover your data:
contact me on Telegram: hxxps://t.me/RedProtection

Your ID is -

Uwaga ! Tous vos fichiers ont été cryptés.
Otrzymaj dostęp do swoich données, możesz zapłacić 0,0061 btc (zbywalne) na adres Bitcoin suivante (17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV) przez 24 godziny.
Si vous ne payez pas à temps, la clé de decryptage sera détruite, et vos fichiers seront perdus à jamais.
Suivez les instrukcje ci-dessous pour Effectuer le paiement et récupérer vos données:
contacte-moi sur Telegram: hxxps://t.me/RedProtection

Szacowany identyfikator głosu -

W jaki sposób oprogramowanie ransomware takie jak RedProtection może zainfekować Twój komputer?

Oprogramowanie ransomware, w tym zagrożenia takie jak RedProtection, może zainfekować komputer na różne sposoby. Oto typowe metody, za pomocą których oprogramowanie ransomware uzyskuje dostęp do systemu:

• E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dystrybucji oprogramowania ransomware. Te e-maile mogą zawierać złośliwe załączniki lub łącza, które po kliknięciu pobierają i uruchamiają oprogramowanie ransomware na komputerze ofiary.
• Złośliwe linki: oprogramowanie ransomware może być dystrybuowane za pośrednictwem złośliwych linków w witrynach internetowych, mediach społecznościowych lub innych platformach internetowych. Kliknięcie takich linków może spowodować pobranie i instalację oprogramowania ransomware bez wiedzy użytkownika.
• Wykorzystywanie luk w oprogramowaniu: Cyberprzestępcy wykorzystują luki w oprogramowaniu lub systemach operacyjnych, aby dostarczać ransomware. Aby ograniczyć to ryzyko, niezwykle ważne jest, aby oprogramowanie, w tym programy antywirusowe i systemy operacyjne, było aktualne i zawierało najnowsze poprawki zabezpieczeń.
• Złośliwe reklamy: złośliwe reklamy, zwane złośliwymi reklamami, polegają na tym, że cyberprzestępcy umieszczają zainfekowane reklamy w legalnych witrynach internetowych. Kliknięcie tych reklam może prowadzić do pobrania i uruchomienia oprogramowania ransomware.
• Pobieranie drive-by: oprogramowanie ransomware może być dostarczane poprzez „pobieranie drive-by”, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane, gdy użytkownik odwiedza zainfekowaną lub złośliwą witrynę internetową.