Reload Ransomware на основе Makop

В ходе анализа вредоносного ПО Reload мы определили, что оно принадлежит к семейству Makop и функционирует как программа-вымогатель, предназначенная в первую очередь для шифрования файлов. Помимо шифрования данных, Reload также отправляет записку о выкупе с именем «+README-WARNING+.txt» и изменяет имена файлов.

Reload добавляет к исходным именам файлов последовательность случайных символов, предположительно идентификатор жертвы, адрес электронной почты и расширение «.reload». Например, он преобразует «1.jpg» в «1.jpg.[2AF20FA3].[reload2024@outlook.com].reload», а «2.png» в «2.png.[2AF20FA3].[reload2024@». Outlook.com].reload» и так далее.

Записка о выкупе начинается с четкого заявления о том, что все файлы были зашифрованы и теперь имеют расширение «.reload». Это подчеркивает необходимость срочно связаться с злоумышленниками, чтобы предотвратить публикацию зашифрованных файлов в Интернете. В примечании указан адрес электронной почты reload2024@outlook.com для целей связи.

Кроме того, в записке содержится угроза безвозвратной потери файлов, если жертвы не смогут напрямую связаться с злоумышленниками для восстановления файлов, что явно не рекомендует использовать посреднические компании или интернет-программы для восстановления файлов.

Перезагрузить записку о выкупе полностью

Полный текст записки о выкупе, созданной Reload, выглядит следующим образом:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Как программы-вымогатели типа Reload распространяются в Интернете?

Reload, как и многие варианты программ-вымогателей, обычно распространяется в Интернете с помощью различных методов, направленных на использование уязвимостей или обманным путем заставить пользователей загрузить и запустить вредоносный контент. Вот распространенные методы распространения программ-вымогателей, таких как Reload:

Фишинговые электронные письма. Киберпреступники часто используют фишинговые электронные письма для доставки программ-вымогателей. Эти электронные письма могут выглядеть законными и содержать вредоносные вложения или ссылки. В случае с «Перезагрузкой» пользователи могут быть склонны открыть вложение, например, казалось бы, безобидный документ или файл, что затем запускает процесс установки вредоносного ПО.

Вредоносные веб-сайты. Посещение взломанных или вредоносных веб-сайтов может привести к непреднамеренной загрузке и установке программ-вымогателей. Киберпреступники могут использовать уязвимости в браузерах или плагинах для доставки вредоносной полезной нагрузки.

Наборы эксплойтов. Киберзлоумышленники могут использовать наборы эксплойтов для устранения известных уязвимостей в программном обеспечении, операционных системах или браузерах. Когда пользователь посещает взломанный веб-сайт, набор эксплойтов сканирует его на наличие уязвимостей и доставляет полезную нагрузку программы-вымогателя, если обнаруживается подходящая уязвимость.

Попутные загрузки. Непреднамеренная загрузка вредоносного контента во время посещения веб-сайтов, часто через всплывающие окна или автоматические загрузки, может привести к установке программы-вымогателя. Пользователи могут не знать об этих загрузках, что облегчает проникновение вредоносного ПО в систему.

Вредоносная реклама (вредоносная реклама). Киберпреступники могут использовать онлайн-рекламу для распространения программ-вымогателей. Нажатие на зараженное объявление может перенаправить пользователей на сайт, на котором размещено вредоносное ПО, или вызвать автоматическую загрузку.

Скомпрометированное программное обеспечение. Злоумышленники могут поставить под угрозу законные установщики или обновления программного обеспечения, внедрив в них программу-вымогатель до того, как пользователи загрузят и установят, казалось бы, подлинное программное обеспечение.