Программа-вымогатель Pzcqyq принадлежит семье Snatch

В ходе анализа представленных образцов наша команда успешно идентифицировала Pzcqyq, разновидность программы-вымогателя, связанную с семейством Snatch. Наше исследование показало, что Pzcqyq использует методы шифрования для защиты файлов. Он добавляет расширение «.pzcqyq» к именам файлов и создает примечание о выкупе, конкретно озаглавленное «КАК ВОССТАНОВИТЬ ВАШ PZCQYQ FILES.TXT».

Чтобы проиллюстрировать, как Pzcqyq изменяет имена файлов, рассмотрим следующее: он преобразует «1.jpg» в «1.jpg.pzcqyq», и продолжает этот шаблон для таких файлов, как «2.png», становится «2.png.pzcqyq», и скоро.

Содержание записки о выкупе информирует жертв о том, что их сеть подверглась симулированному тесту на проникновение, в ходе которого их файлы были подвергнуты шифрованию. Злоумышленники утверждают, что скачали массив данных объемом более 100 ГБ. Сюда входят личные данные, маркетинговая информация, конфиденциальные документы, финансовые отчеты и дубликаты избранных почтовых ящиков.

Киберпреступники предупреждают о любых попытках расшифровки вручную или использовании сторонних инструментов. Они подчеркивают, что только их инструмент дешифрования способен эффективно восстановить файлы. Они подчеркивают, что любое другое программное обеспечение потенциально может нанести дополнительный вред файлам, сделав их невосстановимыми. В записке о выкупе содержится пара адресов электронной почты «goodwork2020@mailfence.com» и «2020host2021@tutanota.com», с которыми жертвы могут общаться.

Кроме того, злоумышленники предлагают бесплатно расшифровать до трех файлов при условии, что их общий размер не превышает 1 МБ. Они также подчеркивают возможность публичного раскрытия этих зашифрованных файлов, если они не получат ответа в течение трех дней.

Записка о выкупе Pzcqyq утверждает, что украдено 100 ГБ

Полный текст записки о выкупе Pzcqyq выглядит следующим образом:

ВСЯ СЕТЬ ЗАШИФРОВАНА, ВАШ БИЗНЕС ТЕРЯЕТ ДЕНЬГИ!

Уважаемый Администрация! Сообщаем вам, что ваша сеть прошла тест на проникновение, в ходе которого мы зашифровали
ваши файлы и загрузил более 100 ГБ ваших данных

Личные данные
Маркетинговые данные
Конфиденциальные документы
Бухгалтерский учет
Копия некоторых почтовых ящиков

Важный! Не пытайтесь расшифровать файлы самостоятельно или с помощью сторонних утилит.
Единственная программа, которая может их расшифровать, — это наш расшифровщик, который вы можете запросить по контактам, указанным ниже.
Любая другая программа только повредит файлы таким образом, что восстановить их будет невозможно.
Пишите нам напрямую, не прибегая к посредникам, они вас обманут.

Вы можете получить все необходимые доказательства, обсудить с нами возможные решения этой проблемы и запросить расшифровщик
воспользовавшись указанными ниже контактами.
Бесплатная расшифровка в качестве гарантии. Отправьте нам 3 файла для бесплатной расшифровки.
Общий размер файла должен быть не более 1 МБ! (нет в архиве).

Обратите внимание, что если мы не получим от вас ответа в течение 3 дней, мы оставляем за собой право опубликовать файлы для всеобщего обозрения.

Связаться с нами:
goodwork2020@mailfence.com или 2020host2021@tutanota.com

Как программы-вымогатели, такие как Pzcqyq, могут заразить вашу систему?

Методы, с помощью которых программы-вымогатели, такие как Pzcqyq, могут проникнуть в вашу систему, разнообразны и часто используют уязвимости в программном обеспечении, поведении человека или сетевой безопасности. Некоторые распространенные переносчики инфекции включают:

• Фишинговые электронные письма. Киберпреступники часто отправляют вводящие в заблуждение электронные письма с вредоносными вложениями или ссылками. Эти электронные письма могут казаться законными и побуждать получателей щелкать вложения или ссылки, которые затем выполняют полезную нагрузку программы-вымогателя.
• Вредоносные загрузки. Посещение взломанных веб-сайтов или загрузка программного обеспечения, файлов или носителей из ненадежных источников может привести к заражению программами-вымогателями. Эти загрузки могут содержать скрытое вредоносное ПО, которое активируется при выполнении.
• Загрузки Drive-by: вредоносный код может быть внедрен на законные веб-сайты. Когда вы посещаете такой сайт, вредоносное ПО загружается и запускается без вашего ведома или согласия.
• Наборы эксплойтов: это пакеты инструментов, которые нацелены на уязвимости в программных приложениях, часто используемые киберпреступниками для доставки программ-вымогателей через скомпрометированные веб-сайты.
• Атаки на протокол удаленного рабочего стола (RDP): если RDP вашей системы не защищен должным образом, злоумышленники могут получить доступ и развернуть программу-вымогатель.
• Вредоносная реклама: Злоумышленники могут размещать вредоносную рекламу на законных веб-сайтах. Нажатие на эти объявления может привести к заражению программами-вымогателями.
• Социальная инженерия: Злоумышленники могут использовать человеческую психологию, чтобы заставить пользователей загружать или запускать вредоносное ПО, часто выдавая себя за законные организации или отдельных лиц.
• Уязвимости программного обеспечения. Использование неисправленных уязвимостей в операционных системах или программных приложениях — распространенный способ злоумышленников получить несанкционированный доступ.