Программа-вымогатель ReadText зашифрует ваши диски

Наша исследовательская группа столкнулась с программой-вымогателем ReadText во время проверки новых материалов. Это вредоносное ПО принадлежит к семейству вымогателей MedusaLocker.

ReadText функционирует типично для программ-вымогателей. Он зашифровал файлы на нашей тестовой машине, добавив расширение «.readtext4» к исходным именам файлов. Конкретное число, используемое при генерации расширений, может варьироваться в зависимости от версии программы-вымогателя. Например, файл с первоначальным именем «1.jpg» будет преобразован в «1.jpg.readtext4», а «2.png» в «2.png.readtext4» и так далее.

Впоследствии он разместил сообщение с требованием выкупа под названием «How_to_back_files.html». Из этого сообщения становится ясно, что ReadText нацелен на бизнес и использует тактику двойного вымогательства.

В примечании, связанном с программой-вымогателем ReadText, говорится, что корпоративная сеть жертвы была скомпрометирована. Критические файлы были зашифрованы, а конфиденциальные или личные данные были украдены.

В сообщении не рекомендуется изменять имена зашифрованных файлов или пытаться восстановить их с помощью сторонних инструментов расшифровки, поскольку такие действия сделают данные невозвратными.

Пострадавшему сообщают о необходимости заплатить выкуп. Несоблюдение этого требования приведет к утечке или продаже украденных данных. Кроме того, задержка контакта более чем на 72 часа приведет к увеличению суммы выкупа. Прежде чем совершить платеж, жертва имеет возможность протестировать процесс расшифровки, отправив злоумышленникам два-три зашифрованных файла.

Записка о выкупе ReadText грозит утечкой данных

Полный текст записки о выкупе ReadText выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

В СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛО ПРОНИКНОВЕНО
Все ваши важные файлы зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (RSA+AES)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
БУДЕТ НАВСЕГДА ЕГО ПОВРЕЖДЕНО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто способен
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после вашей оплаты.
Если вы решите не платить, мы опубликуем ваши данные или перепродадим их.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель – не навредить вашей репутации и не предотвратить
ваш бизнес от бега.

Вы можете отправить нам 2-3 неважных файла и мы бесплатно их расшифруем.
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

электронная почта:
ithelp15@securitymy.name
ithelp15@youshelted.com

Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com.
ЕСЛИ ВЫ НЕ СВЯЖИТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Тор-чат, чтобы всегда быть на связи:

Как программы-вымогатели распространяются в Интернете?

Программы-вымогатели распространяются в Интернете различными способами, часто используя уязвимости в программном обеспечении, методы социальной инженерии и вредоносные вложения или ссылки. Вот некоторые распространенные способы распространения программ-вымогателей:

Фишинговые письма:
Фишинговые электронные письма являются распространенным методом распространения программ-вымогателей. Злоумышленники рассылают мошеннические электронные письма, которые кажутся исходящими из законных источников, таких как банки, государственные учреждения или доверенные организации. Эти электронные письма содержат вредоносные вложения или ссылки, которые при нажатии или открытии загружают и запускают программы-вымогатели на компьютере жертвы.

Вредоносная реклама:
Вредоносная реклама предполагает размещение киберпреступниками вредоносной рекламы на законных веб-сайтах. Когда пользователь нажимает на эти объявления, он может неосознанно инициировать загрузку программы-вымогателя или быть перенаправлен на веб-сайт, на котором размещены наборы эксплойтов, которые затем доставляют полезную нагрузку программы-вымогателя.

Загрузки для Drive-By:
Загрузка с диска происходит, когда пользователь посещает взломанный или вредоносный веб-сайт. В некоторых случаях веб-сайт использует уязвимости в веб-браузере или плагинах пользователя для автоматической загрузки и установки программы-вымогателя в систему посетителя без какого-либо взаимодействия с пользователем.

Наборы эксплойтов:
Наборы эксплойтов — это наборы инструментов, используемые злоумышленниками для выявления и использования уязвимостей в программном обеспечении жертвы. Когда пользователь посещает взломанный веб-сайт или нажимает на вредоносную ссылку, набор эксплойтов сканирует уязвимости и доставляет полезные данные программы-вымогателя, если уязвимость обнаружена.

Атаки по протоколу удаленного рабочего стола (RDP):
Злоумышленники нацелены на открытые порты RDP и пытаются получить несанкционированный доступ к компьютеру или сети жертвы. Оказавшись внутри, они внедряют программу-вымогатель непосредственно в систему.

Вредоносные вложения:
Программы-вымогатели могут распространяться через вложения электронной почты, часто замаскированные под безобидные файлы, такие как PDF-файлы, документы Word или ZIP-архивы. Когда эти вложения открываются, они выполняют вредоносные сценарии или макросы, которые инициируют загрузку программы-вымогателя.