Ransomwared Ransomware просит обнаженных картинок вместо биткойнов
Семейство вымогателей под названием Ransomwared делает новости в последнее время, и для этого есть по крайней мере две веские причины. С одной стороны, он нацелен на отдельных пользователей, а не на крупные организации, что несколько необычно в наше время. Возможно, более заметными являются требования, предъявляемые мошенниками. Похоже, это уже не все о биткойнах.
Table of Contents
Не так много деталей о недавней кампании выкупа
Хотя довольно много людей, кажется, говорят о недавно обнаруженных образцах вымогателей, фактические детали относительно распространения и действия угрозы на местах невелики. Эксперты, которые изучили это, ничего не сказали о том, как они наткнулись на это. Информации о методах распространения и социальной инженерии, используемых для обмана жертв при установке вымогателей, нет, и мы можем только догадываться, сколько людей пострадали.
Мы точно знаем, что мошенники никогда не хотели зарабатывать деньги на текущей кампании.
Мошенники шифруют файлы пользователей и требуют явных изображений в обмен на расшифровщик
После развертывания Ransomwared шифрует файлы, найденные на зараженном компьютере, и в более поздних версиях добавляет расширение файла.iwanttits. Отсутствие технического анализа означает, что мы не можем быть уверены, какие файлы предназначаются Ransomwared, но скриншоты, которые исследователи безопасности поделились, предполагают, что он шифрует только те данные, которые он находит в следующих папках:
- C:\Users\[Username]\Documents\
- C:\Users\[Username]\Pictures\
- C:\Users\[Username]\Videos\
- C:\Users\[Username]\Music\
В отличие от большинства семейств вредоносных программ этого типа, Ransomwared не оставляет никаких выкупов. Вместо этого, как только он будет готов с шифрованием, он отображает всплывающее окно со следующим сообщением:
"Файлы зашифрованы. Покажите мне свои сиськи, чтобы расшифровать его".
При нажатии кнопки ОК открывается другое окно, которое показывает, что файлы в вышеупомянутых четырех каталогах зашифрованы. Там есть поле для ключа восстановления и второе сообщение:
"Вы выкуплены! Чтобы восстановить ваши файлы, напишите нам свои сиськи по адресу: sashagrey@blurred.credit"
Исследователи Emsisoft более внимательно изучили новые образцы и справедливо отметили, что мошенники забыли упомянуть, какие сиськи они ищут. Эксперты предположили, что вместо того, чтобы щелкать обнаженные фотографии себя и отправить их по адресу, названного в честь бывшего порнозвезда, жертвы могут попытаться отправками фотографий маленьких певчих и посмотрите, что будет удовлетворять желания преступников. Однако даже в этом нет необходимости, поскольку файлы, зашифрованные с помощью Ransomwared, можно легко расшифровать.
Восстановление данных не должно включать обнаженные картинки
Обращение к жертвам за обнаженными фотографиями в обмен на разблокирование их файлов может быть относительно недавним методом, используемым операторами Ransomwared, но само вредоносное ПО вовсе не ново. Несколько минут в Google скажут вам, что напряжение сначала делало раунды в конце 2018 года, и хотя требования тогда были немного более традиционными, операция вымогателей была в значительной степени идентична. Когда они увидели это впервые, исследователи безопасности проанализировали семейство вымогателей и быстро поняли, что они не очень продвинуты.
Механизм шифрования Ransomwared использует DES (сокращение от Data Encryption Standard), алгоритм шифрования с симметричным ключом, разработанный в 1970-х годах. В лучшие времена это слабый алгоритм, и, в довершение всего, технический анализ последних образцов Ransomwared показал, что ключ, который разблокирует файлы людей, хранится в исходном коде вредоносного ПО в виде простого текста.
Вам не нужно копаться в коде, чтобы расшифровать ваши файлы. В начале месяца Emsisoft выпустила бесплатный инструмент для расшифровки, который может разблокировать файлы, зашифрованные новыми и старыми версиями Ransomwared.
Жертвы вымогателей часто совершают ошибку, перепрыгивая через оружие и уступая требованиям мошенников, не задумываясь о последствиях. Тем не менее, как вы можете видеть, часто достаточно нескольких минут исследований, чтобы сэкономить вам несколько крипто-монет или, в этом случае, много смущения. Данное исследование также может дать вам представление о том, насколько важны резервные копии.