Trash Panda Ransomware wyświetla nietypowe żądanie okupu

Podczas naszej rutynowej analizy ostatnich przesłanych plików, nasza grupa badawcza natknęła się na odmianę ransomware Trash Panda. To konkretne złośliwe oprogramowanie zostało wykryte w ramach naszych ciągłych wysiłków zmierzających do zbadania pojawiających się zagrożeń.

Po wykonaniu próbki Trash Panda w naszym kontrolowanym środowisku testowym program natychmiast zainicjował procedurę szyfrowania danych. W rezultacie zmieniono nazwy plików, dodając rozszerzenie „.monochrome”. Na przykład plik o nazwie „1.jpg” został szybko przekształcony w „1.jpg.monochrome”, podczas gdy „2.png” stał się „2.png.monochrome” i tak dalej. Gdy ten proces szyfrowania dobiegł końca, wygenerowano towarzyszącą mu notatkę z żądaniem okupu oznaczoną jako "[random_string]-readme.html".

Żądanie okupu wykorzystane przez Trash Panda zawiera niepokojącą wiadomość, że pliki ofiary zostały bezpiecznie zaszyfrowane. W dalszej części notatka zachęca do skontaktowania się ze złośliwymi podmiotami stojącymi za atakiem w celu zainicjowania procesu odzyskiwania zaatakowanych danych. Zawarte jest kluczowe ostrzeżenie, podkreślające, że niepowodzenie w nawiązaniu kontaktu z cyberprzestępcami przed wyzerowaniem zegara doprowadzi do trwałego usunięcia klucza deszyfrującego, skutecznie uniemożliwiając wszelkie próby odzyskania danych.

Notatka o okupie Trash Panda nawiązuje do konfliktu zbrojnego

Pełen tekst ransomware Trash Panda wykorzystuje leet-speak, zastępując litery cyframi i odnosi się do jakiegoś konfliktu zbrojnego, nie wspominając o niczym konkretnym. Notatka brzmi następująco:

Zespół Trash Panda był tutaj

Wszystkie twoje pliki zostały skasowane przez nasz

7r45H P4ND4 Acoś

Zróbmy D341. Uwolnisz naszych ludzi. Uwalniamy Twoje dane.

Nie próbuj odzyskać żadnego pliku. Wszystkie pliki zostały skasowane przy użyciu bardzo zaawansowanego standardu szyfrowania ustanowionego przez amerykański Narodowy Instytut Standardów i Technologii (NIST). Możesz sprawdzić poniższy link, aby dowiedzieć się, w jaki sposób Twoje pliki zostały usunięte. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Nie dbamy o Twoje dane. Nie dbamy o pieniądze. Chcemy, aby nasza rodzina do nas wróciła, a WY WYJDŹCIE Z NASZEJ MATKI.

Och, BTW, masz ograniczony czas na podjęcie decyzji. Usuniemy klucz główny po upływie czasu odliczania. Pospiesz się ~ Pospiesz się ~

TWÓJ KLUCZ ZOSTANIE USUNIĘTY PO
(minutnik)

Możesz skontaktować się z nami pod adresem -

Jeśli chcesz odzyskać swoje pliki, umieść następujący klucz w formularzu wejściowym. Skontaktujemy się z Tobą później

W jaki sposób ransomware, takie jak Trash Panda, jest dystrybuowane online?

Dystrybucja oprogramowania ransomware, takiego jak Trash Panda, zwykle obejmuje różnorodne taktyki i techniki zaprojektowane w celu wykorzystania luk w zabezpieczeniach, zachowań użytkowników i słabości technologicznych. Chociaż nie mam konkretnych informacji na temat metod dystrybucji „Trash Panda”, ponieważ mój limit wiedzy przypada na wrzesień 2021 r., mogę przedstawić ogólny wgląd w powszechną dystrybucję oprogramowania ransomware:

• Wiadomości e-mail typu phishing: Cyberprzestępcy często wysyłają przekonujące wiadomości e-mail, które wydają się pochodzić z legalnych źródeł i zawierają złośliwe załączniki lub łącza. Gdy użytkownicy wchodzą w interakcję z tymi załącznikami lub linkami, ładunek ransomware jest pobierany i uruchamiany w ich systemie.
• Malvertising: Złośliwe reklamy w witrynach internetowych lub sieciach reklamowych mogą prowadzić użytkowników do witryn zawierających oprogramowanie ransomware. Samo odwiedzenie zainfekowanej strony internetowej może spowodować pobranie oprogramowania ransomware na komputer ofiary.
• Drive-By Downloads: Cyberprzestępcy mogą wykorzystywać luki w oprogramowaniu, wtyczkach lub komponentach przeglądarki, aby dostarczać ransomware do systemu użytkownika bez jakiejkolwiek interakcji ze strony użytkownika. Nazywa się to pobieraniem drive-by.
• Zaatakowane instalatory oprogramowania: osoby atakujące mogą infiltrować legalne instalatory oprogramowania, dodając ładunek ransomware. Gdy użytkownicy pobierają i instalują oprogramowanie z zainfekowanych źródeł, instalowane jest również oprogramowanie ransomware.
• Ataki Remote Desktop Protocol (RDP): Atakujący mogą atakować systemy ze słabymi lub niechronionymi połączeniami RDP. Uzyskują dostęp i instalują ransomware ręcznie lub używają zautomatyzowanych narzędzi do dostarczania ładunku ransomware.
• Złośliwe makra: złośliwe makra osadzone w dokumentach pakietu Microsoft Office mogą służyć do pobierania i uruchamiania oprogramowania ransomware, gdy użytkownicy włączą makra w tych dokumentach.