Attack Ransomware — это вариант MedusaLocker
При изучении новых образцов вредоносных программ наша команда исследователей наткнулась на тип программ-вымогателей, известный как Attack.
Эта вредоносная программа, относящаяся к семейству программ-вымогателей MedusaLocker, шифрует данные и требует оплаты за их расшифровку. Атакующие программы-вымогатели существуют в различных формах, и каждая версия добавляет свой номер к расширению «.attack» зашифрованных файлов. Например, файл с именем «1.jpg» может быть преобразован в «1.jpg.attack7» и т. д. После завершения шифрования программа-вымогатель создает сообщение с именем «how_to_back_files.html», в котором требуется выкуп. Из сообщения становится очевидным, что программа-вымогатель нацелена на бизнес, а не на отдельных лиц.
Сообщение о выкупе указывает на то, что злоумышленники проникли в сеть компании-жертвы и зашифровали свои файлы с помощью передовых криптографических алгоритмов (RSA и AES). Он предостерегает от попыток переименовать или изменить зашифрованные файлы или использовать сторонние инструменты дешифрования, так как это сделает файлы безвозвратно невосстановимыми. Кроме того, в сообщении говорится, что из сети жертвы были украдены особо важные данные и требуется неуказанный выкуп, который увеличивается, если контакт не установлен в течение 72 часов. Жертвы могут протестировать расшифровку до трех файлов, прежде чем удовлетворить требование о выкупе. Если выкуп не будет выплачен, злоумышленники угрожают публично раскрыть или продать украденные данные.
В примечании о выкупе за атаку обещают расшифровку трех файлов
Полный текст записки о выкупе Атаки гласит:
ВАШ ЛИЧНЫЙ ID:
СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛА ВЗЛОМАНА
Все ваши важные файлы были зашифрованы!Ваши файлы в безопасности! Только модифицированный. (РСА+АЕС)
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы опубликуем ваши данные для всех или реселлера.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от запуска.Вы можете отправить нам 2-3 неважных файла и мы их бесплатно расшифруем
чтобы доказать, что мы можем вернуть ваши файлы.Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.
электронная почта:
ithelp01@decorous.cyou
ithelp01@decorous.cyou
- Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com
ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.
Как обычно распространяется программа-вымогатель, подобная атаке?
Программы-вымогатели, такие как Attack, обычно распространяются различными способами, включая фишинговые электронные письма, наборы эксплойтов, вредоносную рекламу, социальную инженерию и атаки на протокол удаленного рабочего стола (RDP). Фишинговые электронные письма обычно содержат вредоносные вложения или ссылки, при нажатии на которые загружается и выполняется программа-вымогатель. Наборы эксплойтов используют уязвимости в программном обеспечении или операционных системах для доставки и установки программ-вымогателей.
Вредоносная реклама подразумевает размещение вредоносного кода в легитимных онлайн-объявлениях, при нажатии на которые загружается и устанавливается программа-вымогатель. Тактика социальной инженерии используется, чтобы заставить пользователей загрузить и запустить программу-вымогатель, в то время как RDP-атаки включают подбор учетных данных RDP для получения доступа к системе и развертывания программы-вымогателя. Независимо от используемого метода важно проявлять осторожность и применять лучшие практики, чтобы не стать жертвой атак программ-вымогателей.
