Программа-вымогатель Vehu блокирует зараженные системы

В ходе анализа новых образцов вредоносного ПО мы выявили программу-вымогатель Vehu. Наше расследование показало, что Vehu является частью семейства программ-вымогателей Djvu. Он шифрует файлы и добавляет к именам файлов расширение «.vehu», а также представляет записку о выкупе с именем «_README.txt». Важно отметить, что программа-вымогатель Djvu часто распространяется вместе с RedLine, Vidar или аналогичным вредоносным программным обеспечением.

Например, Vehu изменяет имена файлов, добавляя к ним «.vehu», переименовывая «1.jpg» в «1.jpg.vehu», а «2.png» в «2.png.vehu» и так далее.

В записке о выкупе утверждается, что все файлы, включая изображения, базы данных и документы, зашифрованы с использованием надежного шифрования. Чтобы восстановить доступ к файлам, жертва должна приобрести инструмент и ключ для дешифрования. Цена инструмента расшифровки составляет 999 долларов, но если жертва свяжется с злоумышленниками в течение 72 часов, его можно приобрести за 499 долларов.

Инструкции предписывают жертве написать электронное письмо на адрес support@freshingmail.top или datarestorehelpyou@airmail.cc. Предупреждает, что файлы не будут восстановлены без оплаты. Кроме того, в заметке упоминается, что жертва может отправить злоумышленникам один зашифрованный файл и получить его в расшифрованном виде в качестве демонстрации, при условии, что файл не содержит ценной информации.

Vehu использует стандартизированную записку о выкупе в формате Djvu

Полный текст записки о выкупе Vehu гласит:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Как программы-вымогатели могут заразить вашу систему?

Программы-вымогатели могут заразить вашу систему различными способами, часто используя уязвимости или используя тактику социальной инженерии. Вот несколько распространенных способов проникновения программ-вымогателей в вашу систему:

Фишинговые электронные письма. Один из наиболее распространенных методов — фишинговые электронные письма. Злоумышленники рассылают обманные электронные письма, которые кажутся законными, часто с вложениями или ссылками. Нажав на эти ссылки или загрузив вложения, можно загрузить и запустить программу-вымогатель в вашей системе.

Вредоносные ссылки. Киберпреступники также могут распространять программы-вымогатели через вредоносные ссылки на веб-сайтах, в социальных сетях или приложениях для обмена мгновенными сообщениями. Нажатие на эти ссылки может привести к загрузке и установке программы-вымогателя.

Наборы эксплойтов. Программы-вымогатели могут использовать уязвимости в программном обеспечении или операционных системах с помощью наборов эксплойтов. Эти комплекты представляют собой автоматизированные инструменты, используемые злоумышленниками для выявления и использования слабых мест в программном обеспечении для доставки вредоносных программ, включая программы-вымогатели.

Атаки на протокол удаленного рабочего стола (RDP). Злоумышленники могут попытаться получить несанкционированный доступ к системам со слабыми или стандартными учетными данными протокола удаленного рабочего стола (RDP). Оказавшись внутри, они могут внедрить программу-вымогатель непосредственно в скомпрометированную систему.

Попутные загрузки: программы-вымогатели могут загружаться и устанавливаться автоматически, когда вы посещаете взломанные или вредоносные веб-сайты. Этот метод часто использует уязвимости вашего веб-браузера или плагинов.

Вредоносная реклама. Злоумышленники используют вредоносную рекламу (вредоносную рекламу) на законных веб-сайтах для доставки программ-вымогателей. Нажатие на эти объявления или даже иногда просто их просмотр может вызвать загрузку и выполнение программы-вымогателя.

Уязвимости программного обеспечения. Использование неисправленных или устаревших уязвимостей программного обеспечения — еще один способ проникновения программ-вымогателей в системы. Если вы не установите обновления безопасности, ваша система станет уязвимой для программ-вымогателей и других вредоносных программ.