Hela Ransomware hotar dataläckor

Under vår undersökning av nyligen inskickade prover på skadlig programvara, stötte våra forskare på ett ransomware-program som heter "Whole". Vi har fastställt att det härrör från Keylock ransomware. Denna skadliga programvara krypterar data och kräver lösensummor i utbyte mot att dekryptera dem.

I våra tester krypterade "Whole" ransomware filer och lade till ett ".whole"-tillägg till sina filnamn. Till exempel skulle en fil som ursprungligen hette "1.jpg" visas som "1.jpg.whole" och "2.png" som "2.png.whole".

När krypteringsprocessen var klar ändrades skrivbordsunderlägget och en lösensumma med titeln "README-ID-[offers_ID].txt" genererades. Från innehållet i denna anteckning är det uppenbart att denna ransomware främst riktar sig till företag snarare än enskilda användare.

Meddelandet som visas på skrivbordsunderlägget "Hele" instruerar offret att läsa den associerade textfilen ("README-ID-[offers_ID].txt"). Denna lösennota förklarar att offrets filer har krypterats och försäkrar dem att deras unika dekrypteringsnyckel är säkert lagrad på angriparnas servrar.

Återställning kan testas utan kostnad genom att skicka några krypterade filer till cyberbrottslingar (inom vissa riktlinjer). Om offret inte försöker kontakta angriparna inom 3 dagar kan deras känsliga affärsrelaterade data avslöjas eller säljas.

Meddelandet innehåller också varningar som informerar offret om att byte av namn eller ändring av de påverkade filerna, samt användning av tredjepartsåterställningsverktyg eller antivirusprogram, kan göra datan oåterkallelig.

Hela Ransomware tappar lång notering

Den fullständiga texten i hela lösennotan lyder som följer:

DINA FILER ÄR KRYPTERADE

Dina filer har krypterats med starka krypteringsalgoritmer och modifierats!
Oroa dig inte att din unika krypteringsnyckel lagras säkert på vår server och dina data kan dekrypteras snabbt och säkert.

Vi kan bevisa att vi kan dekryptera all din data. Skicka oss bara 3 icke viktiga, små (~2mb) krypterade filer, som lagras slumpmässigt på din server. Bifoga även den här filen README-ID-.txt som lämnats av oss i varje mapp.
Vi kommer att dekryptera dessa filer och skicka dem till dig som ett bevis. Observera att filer för gratis testdekryptering inte bör innehålla värdefull information.

Om du inte kommer att inleda en dialog med oss inom 72 timmar kommer vi att tvingas publicera dina filer i det offentliga området. Dina kunder och partners kommer att informeras om dataläckan.
På så sätt kommer ditt rykte att förstöras. Om du inte reagerar kommer vi att tvingas sälja den viktigaste informationen såsom databaser och personuppgifter till intresserade parter för att generera lite vinst.

Om du vill lösa denna situation, bifoga den här filen README-ID-.txt i brevet och skriv till ALLA dessa 2 e-postadresser:

pmmx@techmail.info
wholekey@mailfence.com

VIKTIG!
Vi rekommenderar att du kontaktar oss direkt för att undvika överbetalande agenter.
Vi ber att skicka ditt meddelande till ALLA våra 2 e-postadresser eftersom din e-post av olika anledningar kanske inte kommer att levereras.
Vårt meddelande kan kännas igen som skräppost, så se till att kontrollera skräppostmappen.
Om vi inte svarar dig inom 24 timmar, skriv till oss från en annan e-postadress.
Slösa inte bort tiden, det kommer bara att leda till ytterligare skador på ditt företag.
Byt inte namn och försök att dekryptera filerna själv. Vi kommer inte att kunna hjälpa dig om filerna kommer att ändras.
Om du försöker använda någon programvara från tredje part för att återställa dina data eller antiviruslösningar, gör en säkerhetskopia för alla krypterade filer.
Om du tar bort några krypterade filer från den aktuella datorn kanske du inte kan dekryptera dem.

Hur kan ransomware komma in i ditt system?

Ransomware kan infiltrera ditt system på olika sätt, och att förstå dessa ingångspunkter är avgörande för att skydda ditt system mot sådana attacker. Här är vanliga sätt som ransomware kan komma in i ditt system:

• E-postbilagor: Nätfiske-e-post är en vanlig metod för distribution av ransomware. Cyberbrottslingar skickar till synes legitima e-postmeddelanden med infekterade bilagor (t.ex. PDF-filer, Word-dokument eller ZIP-filer) eller länkar till skadliga webbplatser. När användare öppnar dessa bilagor eller klickar på länkarna, laddas ransomware ner och exekveras på deras system.
• Skadliga länkar: Ransomware kan också levereras genom vilseledande eller skadliga länkar i e-postmeddelanden, snabbmeddelanden eller på webbplatser. Att klicka på dessa länkar kan leda till nedladdning och körning av ransomware.
• Malvertising: Cyberkriminella kan använda skadliga annonser (malvertisements) på legitima webbplatser för att leverera ransomware. Att helt enkelt besöka en webbplats med dessa annonser kan utlösa en automatisk nedladdning av skadlig programvara.
• Utnyttja sårbarheter: Ransomware-författare kan utnyttja sårbarheter i programvara i ditt operativsystem eller dina applikationer. Om ditt system inte är uppdaterat med säkerhetskorrigeringar kan det vara sårbart för exploateringsbaserade attacker.
• Drive-By-nedladdningar: Ransomware kan levereras genom "drive-by-nedladdningar", där användare omedvetet laddar ner skadlig kod när de besöker komprometterade eller skadliga webbplatser. Dessa nedladdningar kan ske utan användarinteraktion eller medgivande.
• Remote Desktop Protocol (RDP)-attacker: Angripare kan utnyttja svaga eller förinställda RDP-uppgifter för att få åtkomst till fjärrsystem. Väl inne kan de installera ransomware och kryptera filer.
• Programnedladdningar: Nedladdning av programvara eller filer från opålitliga eller piratkopierade källor kan utsätta ditt system för ransomware. Olaglig programvara eller knäckta versioner kommer ofta med dolda skadliga nyttolaster.