Vehu Ransomware blokuje zainfekowane systemy

Podczas analizy nowych próbek złośliwego oprogramowania zidentyfikowaliśmy oprogramowanie ransomware Vehu. Nasze dochodzenie ujawniło, że Vehu jest częścią rodziny ransomware Djvu. Szyfruje pliki i dodaje do nazw plików rozszerzenie „.vehu”, a także przedstawia żądanie okupu o nazwie „_README.txt”. Należy zauważyć, że oprogramowanie ransomware Djvu jest często dystrybuowane wraz z RedLine, Vidar i podobnym złośliwym oprogramowaniem.

Na przykład Vehu zmienia nazwy plików, dodając do nich „.vehu”, zmieniając nazwę „1.jpg” na „1.jpg.vehu” i „2.png” na „2.png.vehu” i tak dalej.

W żądaniu okupu stwierdza się, że wszystkie pliki, w tym zdjęcia, bazy danych i dokumenty, są szyfrowane przy użyciu silnego szyfrowania. Aby odzyskać dostęp do plików, ofiara musi zakupić narzędzie i klucz do odszyfrowania. Narzędzie deszyfrujące kosztuje 999 dolarów, ale jeśli ofiara skontaktuje się z atakującymi w ciągu 72 godzin, można je kupić za 499 dolarów.

Instrukcje kierują ofiarę na adres e-mail support@freshingmail.top lub datarestorehelpyou@airmail.cc. Ostrzega, że pliki nie zostaną przywrócone bez zapłaty. Ponadto w notatce wskazano, że ofiara może wysłać atakującemu jeden zaszyfrowany plik i otrzymać go w postaci odszyfrowanej w ramach demonstracji, pod warunkiem, że plik nie zawiera cennych informacji.

Vehu korzysta ze standardowego żądania okupu Djvu

Pełny tekst żądania okupu Vehu brzmi następująco:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

W jaki sposób oprogramowanie ransomware może zainfekować Twój system?

Ransomware może zainfekować Twój system na różne sposoby, często wykorzystując luki w zabezpieczeniach lub opierając się na taktyce socjotechniki. Oto kilka typowych sposobów, w jakie ransomware może przedostać się do Twojego systemu:

E-maile phishingowe: Jedną z najpowszechniejszych metod są e-maile phishingowe. Atakujący wysyłają zwodnicze e-maile, które wydają się uzasadnione, często z załącznikami lub linkami. Kliknięcie tych linków lub pobranie załączników może spowodować pobranie i uruchomienie oprogramowania ransomware w Twoim systemie.

Złośliwe linki: Cyberprzestępcy mogą również rozpowszechniać oprogramowanie ransomware za pośrednictwem złośliwych linków w witrynach internetowych, na platformach mediów społecznościowych lub w komunikatorach internetowych. Kliknięcie tych linków może spowodować pobranie i instalację oprogramowania ransomware.

Zestawy exploitów: oprogramowanie ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych przy użyciu zestawów exploitów. Zestawy te to zautomatyzowane narzędzia wykorzystywane przez osoby atakujące do identyfikowania i wykorzystywania luk w oprogramowaniu w celu dostarczania złośliwego oprogramowania, w tym oprogramowania ransomware.

Ataki protokołu Remote Desktop Protocol (RDP): osoby atakujące mogą próbować uzyskać nieautoryzowany dostęp do systemów ze słabymi lub domyślnymi poświadczeniami protokołu Remote Desktop Protocol (RDP). Po wejściu do środka mogą wdrożyć oprogramowanie ransomware bezpośrednio w zaatakowanym systemie.

Pobieranie na dysk: oprogramowanie ransomware można pobrać i zainstalować w trybie cichym, gdy odwiedzasz zainfekowane lub złośliwe witryny internetowe. Ta metoda często wykorzystuje luki w zabezpieczeniach przeglądarki internetowej lub wtyczek.

Złośliwe reklamy: osoby atakujące wykorzystują złośliwe reklamy (złośliwe reklamy) w legalnych witrynach internetowych w celu dostarczania oprogramowania ransomware. Kliknięcie tych reklam, a czasami nawet samo ich obejrzenie, może spowodować pobranie i wykonanie ransomware.

Luki w oprogramowaniu: wykorzystywanie niezałatanych lub nieaktualnych luk w oprogramowaniu to kolejny sposób, w jaki oprogramowanie ransomware może przedostać się do systemów. Jeśli nie zainstalujesz aktualizacji zabezpieczeń, Twój system stanie się podatny na ataki oprogramowania ransomware i innego złośliwego oprogramowania.