Całe oprogramowanie ransomware grozi wyciekiem danych

ransomware

Podczas badania nowo przesłanych próbek złośliwego oprogramowania nasi badacze natknęli się na program ransomware o nazwie „Whole”. Ustaliliśmy, że pochodzi on z oprogramowania ransomware Keylock. To złośliwe oprogramowanie szyfruje dane i żąda okupu w zamian za ich odszyfrowanie.

W naszych testach ransomware „Whole” szyfrowało pliki i dodało rozszerzenie „.whole” do ich nazw. Na przykład plik pierwotnie nazwany „1.jpg” będzie wyświetlany jako „1.jpg.whole”, a „2.png” jako „2.png.whole”.

Po zakończeniu procesu szyfrowania tapeta pulpitu została zmieniona i wygenerowana została notatka z żądaniem okupu zatytułowana „README-ID-[identyfikator_ofiary].txt”. Z treści tej notatki jasno wynika, że to oprogramowanie ransomware atakuje przede wszystkim firmy, a nie indywidualnych użytkowników.

Komunikat wyświetlany na tapecie pulpitu „Cały” instruuje ofiarę, aby przeczytała powiązany plik tekstowy („README-ID-[identyfikator_ofiary].txt”). Ta notatka o okupie wyjaśnia, że pliki ofiary zostały zaszyfrowane i zapewnia ją, że jej unikalny klucz deszyfrujący jest bezpiecznie przechowywany na serwerach atakujących.

Odzyskiwanie można przetestować bezpłatnie, wysyłając kilka zaszyfrowanych plików cyberprzestępcom (zgodnie z określonymi wytycznymi). Jeśli ofiara nie podejmie próby skontaktowania się z atakującymi w ciągu 3 dni, jej wrażliwe dane biznesowe mogą zostać ujawnione lub sprzedane.

Wiadomość zawiera również ostrzeżenia informujące ofiarę, że zmiana nazwy lub modyfikacji dotkniętych plików, a także użycie narzędzi do odzyskiwania lub oprogramowania antywirusowego innych firm może uniemożliwić odzyskanie danych.

Whole Ransomware publikuje obszerną notatkę

Pełny tekst żądania okupu Whole brzmi następująco:

TWOJE PLIKI SĄ ZASZYFROWANE

Twoje pliki zostały zaszyfrowane silnymi algorytmami szyfrowania i zmodyfikowane!
Nie martw się, Twój unikalny klucz szyfrowania jest bezpiecznie przechowywany na naszym serwerze, a Twoje dane można odszyfrować szybko i bezpiecznie.

Możemy udowodnić, że potrafimy odszyfrować wszystkie Twoje dane. Prosimy o przesłanie nam 3 nieistotnych, małych (~2MB) zaszyfrowanych plików, które są losowo przechowywane na Twoim serwerze. Dołącz także swój plik README-ID-.txt pozostawiony przez nas w każdym folderze.
Odszyfrujemy te pliki i wyślemy je do Ciebie jako dowód. Należy pamiętać, że pliki do bezpłatnego testowego odszyfrowania nie powinny zawierać cennych informacji.

Jeśli w ciągu 72 godzin nie rozpoczniesz z nami dialogu, będziemy zmuszeni opublikować Twoje pliki w domenie publicznej. Twoi klienci i partnerzy zostaną poinformowani o wycieku danych.
W ten sposób Twoja reputacja zostanie zniszczona. Jeśli nie zareagujesz, będziemy zmuszeni sprzedać najważniejsze informacje, takie jak bazy danych i dane osobowe, zainteresowanym podmiotom, aby wygenerować jakiś zysk.

Jeśli chcesz rozwiązać tę sytuację, dołącz do listu plik README-ID-.txt i napisz na WSZYSTKIE z tych 2 adresów e-mail:

pmmx@techmail.info
całykey@mailfence.com

WAŻNY!
Zalecamy bezpośredni kontakt z nami, aby uniknąć przepłacania agentów.
Prosimy o przesłanie Twojej wiadomości na WSZYSTKIE nasze 2 adresy e-mail, ponieważ z różnych powodów Twój e-mail może nie zostać dostarczony.
Nasza wiadomość może zostać rozpoznana jako spam, dlatego pamiętaj o sprawdzeniu folderu ze spamem.
Jeśli nie odpowiemy Ci w ciągu 24 godzin, napisz do nas z innego adresu e-mail.
Proszę nie marnować czasu, spowoduje to tylko dodatkowe szkody dla Twojej firmy.
Proszę nie zmieniać nazwy i próbować samodzielnie odszyfrować pliki. Jeśli pliki zostaną zmodyfikowane, nie będziemy w stanie Ci pomóc.
Jeśli będziesz próbował użyć oprogramowania innej firmy do przywrócenia danych lub rozwiązań antywirusowych, wykonaj kopię zapasową wszystkich zaszyfrowanych plików.
Jeśli usuniesz jakiekolwiek zaszyfrowane pliki z bieżącego komputera, ich odszyfrowanie może nie być możliwe.

W jaki sposób oprogramowanie ransomware może dostać się do Twojego systemu?

Ransomware może przedostać się do systemu na różne sposoby, a zrozumienie tych punktów wejścia ma kluczowe znaczenie dla ochrony systemu przed takimi atakami. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do systemu:

  • Załączniki do wiadomości e-mail: wiadomości e-mail typu phishing są najczęstszą metodą dystrybucji oprogramowania ransomware. Cyberprzestępcy wysyłają pozornie uzasadnione e-maile z zainfekowanymi załącznikami (np. plikami PDF, dokumentami Word lub plikami ZIP) lub łączami do złośliwych witryn internetowych. Gdy użytkownicy otwierają te załączniki lub klikają łącza, oprogramowanie ransomware jest pobierane i uruchamiane w ich systemach.
  • Złośliwe łącza: oprogramowanie ransomware może być również dostarczane za pośrednictwem zwodniczych lub złośliwych łączy w wiadomościach e-mail, komunikatorach internetowych lub na stronach internetowych. Kliknięcie tych linków może prowadzić do pobrania i uruchomienia oprogramowania ransomware.
  • Złośliwe reklamy: Cyberprzestępcy mogą wykorzystywać złośliwe reklamy (złośliwe reklamy) w legalnych witrynach internetowych w celu dostarczania oprogramowania ransomware. Samo odwiedzenie zainfekowanej witryny zawierającej te reklamy może spowodować automatyczne pobranie złośliwego oprogramowania.
  • Wykorzystywanie luk w zabezpieczeniach: Autorzy oprogramowania ransomware mogą wykorzystywać luki w zabezpieczeniach oprogramowania w systemie operacyjnym lub aplikacjach. Jeśli Twój system nie jest wyposażony w aktualne poprawki zabezpieczeń, może być podatny na ataki oparte na exploitach.
  • Pobieranie dyskowe: oprogramowanie ransomware może być dostarczane poprzez „pobieranie dyskowe”, podczas którego użytkownicy nieświadomie pobierają złośliwy kod podczas odwiedzania zainfekowanych lub złośliwych witryn internetowych. Te pliki do pobrania mogą odbywać się bez interakcji i zgody użytkownika.
  • Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne poświadczenia RDP, aby uzyskać dostęp do systemów zdalnych. Po wejściu do środka mogą zainstalować oprogramowanie ransomware i szyfrować pliki.
  • Pobieranie oprogramowania: Pobieranie oprogramowania lub plików z niezaufanych lub pirackich źródeł może narazić system na oprogramowanie ransomware. Nielegalne oprogramowanie lub wersje cracków często zawierają ukryte złośliwe oprogramowanie.

Do Zaib
November 7, 2023
Ransomware
Polski
November 7, 2023
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.