Reload Ransomware opiera się na Makop
W naszej analizie szkodliwego oprogramowania Reload ustaliliśmy, że należy ono do rodziny Makop i działa jako oprogramowanie ransomware, przeznaczone głównie do szyfrowania plików. Oprócz szyfrowania danych, Reload umieszcza także notatkę z żądaniem okupu o nazwie „+README-WARNING+.txt” i modyfikuje nazwy plików.
Reload dodaje sekwencję losowych znaków, prawdopodobnie identyfikator ofiary, adres e-mail i rozszerzenie „.reload” do oryginalnych nazw plików. Na przykład przekształca „1.jpg” w „1.jpg.[2AF20FA3].[reload2024@outlook.com].reload” i „2.png” w „2.png.[2AF20FA3].[reload2024@ Outlook.com].reload” i tak dalej.
Żądanie okupu zaczyna się od jasnego stwierdzenia wskazującego, że wszystkie pliki zostały zaszyfrowane i mają teraz rozszerzenie „.reload”. Podkreśla, jak pilne jest niezwłoczne skontaktowanie się z atakującymi, aby zapobiec publikacji zaszyfrowanych plików w Internecie. W notatce podany jest adres e-mail reload2024@outlook.com do celów komunikacyjnych.
Co więcej, notatka stwarza zagrożenie trwałą utratą plików, jeśli ofiary nie nawiążą bezpośredniego kontaktu z atakującymi w celu odzyskania plików, co wyraźnie odradza korzystanie z firm pośredniczących lub programów internetowych w celu odzyskania plików.
Załaduj ponownie żądanie okupu w całości
Pełny tekst żądania okupu wygenerowanego przez Reload brzmi następująco:
Your files are encrypted and stolen, all encrypted files have the extension .reload
To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!
Our contact email address: reload2024@outlook.com
Your files may be published on the Internet if you ignore this message.
You will lose your files if you do not write to us to recover your files!
You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!
W jaki sposób oprogramowanie Ransomware Like Reload jest dystrybuowane w Internecie?
Reload, podobnie jak wiele odmian ransomware, jest zazwyczaj rozpowszechniany w Internecie za pomocą różnych metod, których celem jest wykorzystanie luk w zabezpieczeniach lub nakłonienie użytkowników do pobrania i uruchomienia złośliwej zawartości. Oto typowe metody dystrybucji oprogramowania ransomware, takiego jak Reload:
E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dostarczania oprogramowania ransomware. Te e-maile mogą wydawać się uzasadnione i zawierać złośliwe załączniki lub łącza. W przypadku Reload użytkownicy mogą zostać nakłonieni do otwarcia załącznika, takiego jak pozornie nieszkodliwy dokument lub plik, co następnie uruchomi proces instalacji złośliwego oprogramowania.
Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może prowadzić do niezamierzonego pobrania i zainstalowania oprogramowania ransomware. Cyberprzestępcy mogą wykorzystywać luki w przeglądarkach lub wtyczkach w celu dostarczenia szkodliwego ładunku.
Zestawy exploitów: Cyberprzestępcy mogą wykorzystywać zestawy exploitów do atakowania znanych luk w oprogramowaniu, systemach operacyjnych lub przeglądarkach. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów skanuje w poszukiwaniu luk w zabezpieczeniach i dostarcza oprogramowanie ransomware, jeśli zostanie znaleziona odpowiednia luka.
Pobieranie metodą drive-by: nieświadome pobieranie złośliwej zawartości podczas odwiedzania witryn internetowych, często w formie wyskakujących okienek lub automatycznych pobrań, może skutkować instalacją oprogramowania ransomware. Użytkownicy mogą nie być świadomi tych pobrań, co ułatwia złośliwemu oprogramowaniu infiltrację systemu.
Złośliwe reklamy (malvertising): Cyberprzestępcy mogą wykorzystywać reklamy internetowe do dystrybucji oprogramowania ransomware. Kliknięcie zainfekowanej reklamy może przekierować użytkowników do witryny zawierającej złośliwe oprogramowanie lub spowodować automatyczne pobranie.
Zaatakowane oprogramowanie: osoby atakujące mogą naruszyć legalne instalatory lub aktualizacje oprogramowania, wprowadzając do nich oprogramowanie ransomware, zanim użytkownicy pobiorą i zainstalują pozornie autentyczne oprogramowanie.