Ransomwared Ransomware ber om nakenbilder istället för Bitcoins

En ransomware-familj som heter Ransomwared har nyheterna nyligen och det finns åtminstone två mycket goda skäl till detta. För det första riktar den sig till enskilda användare snarare än till stora organisationer, vilket är något ovanligt i dag. Kanske mer anmärkningsvärt är emellertid kraven som skurkarna ställer. Det ser ut som att det inte handlar om bitcoins längre.

Inte många detaljer kring den senaste Ransomwared-kampanjen

Även om ganska många människor verkar prata om de nyligen upptäckta Ransomwared-proverna, är de faktiska detaljerna kring hotets distribution och drift tunna på marken. Experterna som har granskat det har inte sagt något om hur de snubblat över det. Det finns ingen information om distributionsmetoderna och den sociala tekniken som används för att lura offren att installera ransomware, och vi kan bara gissa hur många som har drabbats.

Det vi vet med säkerhet är att skurkarna aldrig ville tjäna pengar på den aktuella kampanjen.

Crooks krypterar användarnas filer och kräver explicita bilder i utbyte mot dekrypteraren

När de har installerats krypterar Ransomwared filerna som den hittar på den infekterade datorn och lägger till .iwanttits-filändelsen i de nyare versionerna. Bristen på teknisk analys innebär att vi inte kan vara säkra på vilka filer Ransomwared-mål har, men säkerhetsforskarna för skärmdumpar har delat antyder att den bara krypterar data som den hittar i följande mappar:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

Till skillnad från de flesta skadliga familjer av denna typ lämnar Ransomwared ingen lösningsmeddelande. I stället, när den är klar med krypteringen, visar det ett popup-fönster med följande meddelande:

"Filer är krypterade. Visa mig dina bröst för att dekryptera det."

Om du klickar på OK-knappen öppnas ett annat fönster som visar att filerna i de ovannämnda fyra katalogerna är krypterade. Det finns ett fält för återställningsnyckeln och ett andra meddelande:

"Du är ransomwared! För att återställa dina filer, maila oss dina bröst till: sashagrey@blurred.credit"

Emsisoft-forskare tittade närmare på de nya proverna och påpekade med rätta att skurkarna glömde att nämna vilken typ av bröst de letade efter. Experterna föreslog att istället för att knäppa nakenbilder av sig själva och skicka dem till en adress uppkallad efter en tidigare porrstjärna, kanske offren försöker skicka bilder av små sångfåglar och se om det kommer att tillfredsställa brottsernas önskningar. Även det kommer dock inte att behövas, eftersom filer som är krypterade med Ransomwared lätt kan dekrypteras.

Att återställa data behöver inte involvera nakenbilder

Att be offer för nakenbilder i utbyte mot att låsa upp sina filer kan vara en relativt ny teknik som används av Ransomwared-operatörerna, men själva skadevaran är inte ny alls. Några minuter på Google kommer att berätta för dig att belastningen först genomförde rundorna i slutet av 2018, och även om kraven då var lite mer traditionella, var ransomware-operationen ganska mycket identisk. När de såg det för första gången analyserade säkerhetsforskare familjen ransomware och insåg snabbt att den inte är så avancerad.

Ransomwareds krypteringsmekanism är beroende av DES (förkortning för Data Encryption Standard), en symmetrisk nyckelkrypteringsalgoritm utvecklad på 1970-talet. Det är en svag algoritm vid bästa tidpunkter, och för att avsluta det hela avslöjade teknisk analys av de senaste Ransomwared-proverna att nyckeln som låser upp folks filer lagras i källkoden för skadlig kod i vanlig text.

Du behöver dock inte gå igenom koden för att dekryptera dina filer. I början av månaden släppte Emsisoft ett gratis dekrypteringsverktyg som kan låsa upp filer som är krypterade av nya och gamla versioner av Ransomwared.

Ransomware-offer gör ofta misstaget att hoppa pistolen och ge efter för skurkarnas krav utan att tänka på konsekvenserna. Som du ser är det dock tillräckligt med några minuters forskning att spara några kryptomynt eller, i det här fallet, en hel del förlägenhet. Den nämnda forskningen kan också ge dig en uppfattning om hur viktiga säkerhetskopior är.

February 14, 2020

Lämna ett svar