Программа-вымогатель EXISC нацелена на корпорации и предприятия

Во время исследования новых материалов на сайте VirusTotal мы обнаружили программу-вымогатель под названием EXISC. Его основная цель — шифровать данные и требовать оплату в обмен на их расшифровку.

Запустив образец EXISC в нашей тестовой системе, мы заметили, что он успешно зашифровал файлы и добавил расширение «.EXISC» к их исходным именам файлов. Например, файл с именем «1.jpg» будет преобразован в «1.jpg.EXISC», а «2.png» станет «2.png.EXISC» и так далее.

После процесса шифрования EXISC создал записку с требованием выкупа под названием «Пожалуйста, свяжитесь с нами, чтобы восстановить.txt». Из содержания этого сообщения стало очевидно, что программа-вымогатель в первую очередь нацелена на крупные организации, а не на отдельных домашних пользователей.

Записка о выкупе сообщает жертве, что сеть их компании была скомпрометирована. Степень ущерба описывается следующим образом: файлы были зашифрованы, а важные или конфиденциальные данные были украдены.

Согласно записке, жертва должна заплатить выкуп, чтобы восстановить доступ к своим файлам и предотвратить утечку эксфильтрированного контента. Хотя точная сумма выкупа не указана, прямо упоминается, что оплата должна быть произведена либо в биткойнах, либо в криптовалютах Monero.

Кроме того, в записке предполагается, что определенное количество файлов может быть отправлено на тестовую расшифровку. Это должно служить для жертвы доказательством того, что восстановление данных действительно возможно.

Записка о выкупе EXISC предполагает контакт через Tox

Полный текст записки EXISC о выкупе выглядит следующим образом:

Здравствуйте, компьютер вашей компании зашифрован мной, и база данных и данные загружены. Если вы не хотите, чтобы я разглашал эти материалы, вы должны заплатить мне выкуп. После получения выкупа я удалю все загруженные файлы и помогу вам расшифровать ваш компьютер, иначе Если мы это сделаем, мы раскроем эти материалы и ваша компания столкнется с беспрецедентными последствиями.

Мы работаем только за деньги и не разрушаем вашу сеть, и мы очень честны. После получения выкупа мы также предоставим вам информацию об уязвимости вашей системы, чтобы помочь вам устранить уязвимость во избежание повторных атак.

Если вы сомневаетесь в нашей способности расшифровывать файлы, вы можете отправить мне несколько зашифрованных файлов, и я расшифрую их, чтобы доказать это.

Пожалуйста, заплатите выкуп в биткойнах или Monero.

Пожалуйста, используйте TOX, чтобы связаться со мной или написать мне по электронной почте.

Электронная почта:HonestEcoZ@dnmx.org

TOX ID:(буквенно-цифровая строка)
Скачать TOX: hxxps://tox.chat/download.html

Каковы наиболее распространенные векторы заражения программами-вымогателями, такими как EXISC?

Программы-вымогатели, такие как EXISC, используют различные векторы заражения для проникновения в системы и сети. Ниже приведены некоторые из наиболее распространенных векторов заражения, используемых программами-вымогателями:

• Фишинговые электронные письма. Фишинговые электронные письма остаются распространенным методом распространения программ-вымогателей. Киберпреступники создают убедительные электронные письма, которые кажутся законными, часто выдавая себя за доверенных лиц или лиц. Эти электронные письма содержат вредоносные вложения или встроенные ссылки, которые при нажатии или открытии инициируют процесс заражения программой-вымогателем.
• Вредоносные загрузки и вложения: программы-вымогатели могут быть непреднамеренно загружены с вредоносных веб-сайтов или через зараженные вложения файлов. Это может произойти, когда пользователи посещают скомпрометированные веб-сайты или открывают вложения электронной почты, содержащие исполняемые файлы, макросы или полезные данные на основе сценариев.
• Наборы эксплойтов. Наборы эксплойтов — это вредоносные инструменты, которые используют уязвимости программного обеспечения, присутствующие в веб-браузерах, подключаемых модулях или операционных системах. Используя эти уязвимости, программы-вымогатели могут незаметно доставляться в систему жертвы, когда она посещает взломанный веб-сайт или нажимает на вредоносную рекламу.
• Атаки по протоколу удаленного рабочего стола (RDP). Операторы программ-вымогателей часто нацелены на системы с незащищенными или слабо защищенными подключениями по протоколу удаленного рабочего стола. Они используют методы грубой силы для получения несанкционированного доступа и установки программ-вымогателей.
• Уязвимости программного обеспечения: программы-вымогатели могут использовать незакрытые или устаревшие уязвимости программного обеспечения для проникновения в системы. Сюда входят уязвимости в операционных системах, приложениях или сетевых службах, которые позволяют программам-вымогателям получать несанкционированный доступ и выполнять свою полезную нагрузку.
• Вредоносная реклама. Вредоносную рекламу или вредоносную рекламу можно найти на законных веб-сайтах или в рекламных сетях. Эти рекламные объявления содержат скрытые сценарии, которые перенаправляют пользователей на вредоносные веб-сайты с программами-вымогателями или запускают автоматическую загрузку полезной нагрузки программ-вымогателей.
• Попутные загрузки. Попутные загрузки происходят, когда программа-вымогатель загружается автоматически без согласия или взаимодействия пользователя, как правило, со взломанных веб-сайтов. Эти веб-сайты содержат вредоносный код, который использует уязвимости в веб-браузере или подключаемых модулях пользователя, что позволяет скрытно доставлять программы-вымогатели.