Зомби-вымогатель шифрует системы жертв

В ходе исследования новых образцов файлов наша исследовательская группа обнаружила еще один вариант программы-вымогателя, принадлежащий к семейству MedusaLocker, под названием Zombi.

Это вредоносное программное обеспечение следует типичной схеме шифрования данных и требования выкупа за расшифровку, уделяя особое внимание более крупным субъектам, таким как компании и организации, а не отдельным пользователям. Зомби также использует тактику двойного вымогательства.

При запуске образца Zombi на нашей тестовой машине он шифровал файлы и добавлял к их именам расширение «.zombi2», причем конкретное число варьировалось в зависимости от варианта. Например, исходный файл с именем «1.jpg» будет преобразован в «1.jpg.zombi2» и так далее. Впоследствии была создана записка с требованием выкупа под названием «How_to_back_files.html».

Сообщение о выкупе уведомляет жертву о том, что сеть ее компании была взломана, что привело к шифрованию файлов с использованием криптографических алгоритмов RSA и AES, а также к краже конфиденциальных или личных данных.

Жертву предупреждают, что любые попытки переименовать или изменить зашифрованные файлы или использование стороннего программного обеспечения для восстановления могут привести к повреждению данных и сделать их невозвратными.

Злоумышленники требуют неуказанный выкуп с угрозой увеличения, если контакт не будет установлен в течение 72 часов. Отказ от оплаты приведет к утечке или продаже отфильтрованных данных. Перед совершением платежа жертве предоставляется возможность протестировать расшифровку, отправив киберпреступникам до трех зашифрованных файлов, не содержащих критической информации.

Записка о выкупе зомби предоставлена с луковым адресом

Полный текст записки о выкупе у Зомби выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

В СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛО ПРОНИКНОВЕНО
Все ваши важные файлы зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (RSA+AES)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
БУДЕТ НАВСЕГДА ЕГО ПОВРЕЖДЕНО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто способен
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после вашей оплаты.
Если вы решите не платить, мы опубликуем ваши данные или перепродадим их.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель – не навредить вашей репутации и не предотвратить
ваш бизнес от бега.

Вы можете отправить нам 2-3 неважных файла и мы бесплатно их расшифруем.
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

электронная почта:
ithelp07@securitymy.name
ithelp07@youshelted.com

Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com.
ЕСЛИ ВЫ НЕ СВЯЖИТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Тор-чат, чтобы всегда быть на связи:
(луковый адрес)

Как программы-вымогатели могут проникнуть в вашу систему?

Программы-вымогатели могут проникнуть в вашу систему различными способами, часто используя уязвимости или обманом заставляя пользователей неосознанно установить вредоносное программное обеспечение. Вот некоторые распространенные методы:

• Фишинговые электронные письма. Киберпреступники часто используют фишинговые электронные письма для распространения программ-вымогателей. Эти электронные письма могут содержать вредоносные вложения или ссылки, при нажатии на которые загружается и устанавливается программа-вымогатель в вашу систему.
• Вредоносные веб-сайты. Посещение взломанных или вредоносных веб-сайтов может подвергнуть вашу систему случайным загрузкам, при которых программы-вымогатели автоматически загружаются и выполняются без вашего ведома и согласия.
• Зараженное программное обеспечение или приложения. Загрузка программного обеспечения или приложений из ненадежных источников может привести к заражению вашей системы программами-вымогателями. Взломанное или пиратское программное обеспечение особенно опасно, так как оно могло быть изменено с целью включения вредоносного кода.
• Использование уязвимостей программного обеспечения. Программы-вымогатели могут использовать уязвимости в вашей операционной системе или программном обеспечении. Крайне важно поддерживать вашу систему и все программное обеспечение в актуальном состоянии с использованием последних обновлений безопасности, чтобы свести к минимуму риск взлома.
• Вредоносная реклама (вредоносная реклама). Если взломанная онлайн-реклама может привести к распространению программ-вымогателей. Нажатие на вредоносное объявление или всплывающее окно может вызвать загрузку и установку программы-вымогателя в вашу систему.