Saba Ransomware to nowy klon Djvu
Podczas badania próbek złośliwego oprogramowania natknęliśmy się na Saba, który jest wariantem oprogramowania ransomware należącego do rodziny ransomware Djvu. Saba szyfruje pliki i modyfikuje ich nazwy, dodając rozszerzenie „.saba”. Generuje również żądanie okupu w postaci pliku tekstowego o nazwie "_readme.txt".
Na przykład Saba zmienia między innymi nazwę pliku „1.jpg” na „1.jpg.saba” i „2.png” na „2.png.saba”. Warto zauważyć, że warianty ransomware Djvu są często dystrybuowane wraz z narzędziami do kradzieży informacji, takimi jak Vidar i RedLine.
Żądanie okupu utworzone przez Saba zawiera dwa adresy e-mail (support@freshmail.top i datarestorehelp@airmail.cc), kierując ofiary do skontaktowania się z atakującymi w ciągu 72 godzin, aby uniknąć podwyższenia okupu. Początkowa kwota płatności wynosi 490 USD, ale brak działania w określonym terminie spowoduje zwiększenie płatności o 980 USD za narzędzia deszyfrujące.
Ponadto żądanie okupu podkreśla, że odzyskanie zaszyfrowanych plików jest niemożliwe bez zakupu oprogramowania deszyfrującego i unikalnego klucza od atakujących. Notatka wspomina również o ofercie bezpłatnego odszyfrowania pojedynczego pliku, ale plik nie może zawierać ważnych informacji.
Saba Ransom Note prosi o 480 $ początkowego okupu
Pełne żądanie okupu Saba jest zgodne ze zwykłym szablonem Djvu, prosząc o 480 dolarów okupu i grożąc podwojeniem tej kwoty w ciągu trzech dni. Pełna notatka brzmi następująco:
UWAGA!
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne są szyfrowane przy użyciu najsilniejszego szyfrowania i unikalnego klucza.
Jedyną metodą odzyskania plików jest zakup narzędzia deszyfrującego i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać wartościowych informacji.
Możesz pobrać i przejrzeć narzędzie do odszyfrowywania przeglądu wideo:
hxxps://we.tl/t-iN0WoEcmv0
Cena klucza prywatnego i oprogramowania deszyfrującego wynosi 980 USD.
Rabat 50% dostępny, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź swój e-mail w folderze "Spam" lub "śmieci", jeśli nie otrzymasz odpowiedzi dłużej niż 6 godzin.Aby otrzymać to oprogramowanie, musisz napisać na nasz e-mail:
support@freshmail.topZarezerwuj adres e-mail do kontaktu z nami:
datarestorehelp@airmail.ccTwój osobisty identyfikator:
W jaki sposób oprogramowanie ransomware, takie jak Saba, jest zwykle dystrybuowane przez cyberprzestępców?
Przestępcy zazwyczaj dystrybuują ransomware, takie jak Saba, różnymi metodami, w tym:
- Złośliwe załączniki do wiadomości e-mail — ransomware może rozprzestrzeniać się za pośrednictwem załączników do wiadomości e-mail, zwłaszcza tych z nieznanych lub podejrzanych źródeł. Załączniki te mogą zawierać ukryty plik wykonywalny lub złośliwe makro, które po otwarciu uruchamia infekcję ransomware.
- Malvertising — atakujący mogą wykorzystywać złośliwe reklamy, często w witrynach o dużym natężeniu ruchu, do dystrybucji oprogramowania ransomware. Reklamy te mogą wyglądać na uzasadnione, ale po kliknięciu przekierowują użytkowników do strony, która pobiera ransomware do ich systemu.
- Wykorzystywanie luk w oprogramowaniu — atakujący mogą wykorzystywać znane luki w oprogramowaniu do dostarczania oprogramowania ransomware do systemów, które nie mają zainstalowanych najnowszych poprawek i aktualizacji zabezpieczeń.
- Inżynieria społeczna — atakujący mogą wykorzystywać różne taktyki inżynierii społecznej, aby nakłonić użytkowników do pobrania i zainstalowania oprogramowania ransomware. Na przykład osoby atakujące mogą tworzyć fałszywe aktualizacje oprogramowania lub alerty antywirusowe, które po kliknięciu faktycznie pobierają ransomware do systemu.
- Pirackie oprogramowanie — pirackie oprogramowanie jest często dołączane do złośliwego oprogramowania, w tym oprogramowania wymuszającego okup. Pobieranie i instalowanie takiego oprogramowania z niezaufanych źródeł może prowadzić do infekcji ransomware.
Bardzo ważne jest, aby zachować czujność i ostrożność podczas pobierania lub otwierania załączników, klikania linków lub pobierania oprogramowania. Aktualizowanie oprogramowania antywirusowego, instalowanie poprawek i aktualizacji zabezpieczeń oraz regularne tworzenie kopii zapasowych ważnych plików może również pomóc w ochronie przed oprogramowaniem ransomware, takim jak Saba.