Программа-вымогатель Trash Panda показывает необычную записку о выкупе

Во время обычного изучения недавних отправленных файлов наша исследовательская группа наткнулась на вариант программы-вымогателя Trash Panda. Это конкретное вредоносное ПО было обнаружено в ходе наших постоянных усилий по расследованию возникающих угроз.

После запуска образца Trash Panda в нашей контролируемой тестовой среде программа сразу же запустила процедуру шифрования данных. В результате имена файлов были изменены с добавлением расширения «.monochrome». Например, файл с именем «1.jpg» был быстро преобразован в «1.jpg.monochrome», а «2.png» стал «2.png.monochrome» и так далее. Как только этот процесс шифрования завершился, была создана сопроводительная записка о выкупе с пометкой «[random_string]-readme.html».

Записка с требованием выкупа, использованная Trash Panda, содержит тревожное сообщение о том, что файлы жертвы были надежно зашифрованы. Далее в записке рекомендуется обратиться к злоумышленникам, стоящим за атакой, чтобы инициировать процесс восстановления скомпрометированных данных. Включено важное предупреждение, подчеркивающее, что невозможность установить контакт с киберпреступниками до того, как часы обратного отсчета достигнут нуля, приведет к безвозвратному удалению ключа дешифрования, что фактически сделает любые попытки восстановления данных тщетными.

Записка о выкупе Trash Panda намекает на военный конфликт

Полный текст программы-вымогателя Trash Panda использует простую речь, заменяя буквы цифрами, и относится к какому-то вооруженному конфликту, не упоминая ничего конкретного. Примечание гласит следующее:

Team Trash Panda была здесь

Все ваши файлы были уничтожены нашим

7r45H P4ND4

Давайте сделаем D341. Вы освобождаете наших людей. Мы освобождаем ваши данные.

Не пытайтесь восстановить любой файл. Все файлы были удалены с использованием передового стандарта шифрования, установленного Национальным институтом стандартов и технологий США (NIST). Вы можете проверить следующую ссылку, чтобы узнать, как ваши файлы были удалены. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Нам плевать на ваши данные. Нам плевать на деньги. Мы хотим, чтобы наша семья вернулась обратно к нам, а ВЫ УБИРАЙТЕСЬ С НАШЕЙ РОДИНЫ.

О, кстати, у вас ограниченное время для принятия решения. Мы удалим мастер-ключ после истечения времени обратного отсчета. Спешите ~ Спешите ~

ВАШ КЛЮЧ БУДЕТ УДАЛЕН ПОСЛЕ
(Таймер обратного отсчета)

Вы можете связаться с нами по -

Если вы хотите вернуть свои файлы, поместите следующий ключ в форму ввода. Мы свяжемся с вами позже

Как программы-вымогатели, такие как Trash Panda, распространяются в Интернете?

Распространение программ-вымогателей, таких как Trash Panda, обычно включает в себя различные тактики и методы, предназначенные для использования уязвимостей, поведения пользователей и технологических недостатков. Хотя у меня нет конкретной информации о методах распространения «Trash Panda», поскольку мои знания истекают в сентябре 2021 года, я могу предоставить вам общее представление о том, как обычно распространяется программа-вымогатель:

• Фишинговые электронные письма. Киберпреступники часто рассылают убедительные электронные письма, которые выглядят как исходящие из законных источников и содержат вредоносные вложения или ссылки. Когда пользователи взаимодействуют с этими вложениями или ссылками, полезная нагрузка программы-вымогателя загружается и выполняется в их системе.
• Вредоносная реклама. Вредоносная реклама на веб-сайтах или в рекламных сетях может привести пользователей на веб-сайты, на которых размещаются программы-вымогатели. Простое посещение взломанного веб-сайта может вызвать загрузку программы-вымогателя на компьютер жертвы.
• Загрузки Drive-By: Киберпреступники могут использовать уязвимости в программном обеспечении, плагинах или компонентах браузера для доставки программ-вымогателей в систему пользователя без какого-либо взаимодействия с пользователем. Это известно как попутная загрузка.
• Установщики скомпрометированного программного обеспечения: Злоумышленники могут проникнуть в установщики законного программного обеспечения, добавив полезную нагрузку программы-вымогателя. Когда пользователи загружают и устанавливают программное обеспечение из скомпрометированных источников, также устанавливается программа-вымогатель.
• Атаки на протокол удаленного рабочего стола (RDP): Злоумышленники могут нацеливаться на системы со слабыми или незащищенными подключениями RDP. Они получают доступ и устанавливают программу-вымогатель вручную или используют автоматизированные инструменты для доставки полезной нагрузки программы-вымогателя.
• Вредоносные макросы. Вредоносные макросы, встроенные в документы Microsoft Office, могут использоваться для загрузки и выполнения программ-вымогателей, когда пользователи включают макросы в этих документах.