Arai Ransomware

До CagedTech през Ransomwareг

Превод на:

Arai Ransomware е пагубна заплаха, предназначена да криптира данните, съхранявани на устройствата, които е заразил. Рансъмуерът Arai е способен да се насочва към множество типове файлове, които ще бъдат оставени в неизползваемо състояние, след като бъдат подложени на криптиране на данни. Използваният криптографски алгоритъм гарантира, че засегнатите файлове ще бъдат почти невъзможни за възстановяване без правилните ключове за дешифриране. Трябва да се отбележи, че рансъмуерът Arai изглежда е специално насочен към заразяване на корпоративни субекти.

Рансъмуерът Arai променя оригиналните имена на файловете, които заключва, като добавя „.araicrypt“ към тях като ново файлово разширение. Сред промените в нарушените устройства, причинени от Arai Ransomware, също ще бъде създаването на нов текстов файл с име „READ_TO_RESTORE_YOUR_FILES.txt“. Файлът ще бъде пуснат на работния плот на устройството и неговата роля е да носи бележка за откуп с инструкции от киберпрестъпниците.

Подробности за бележката за откуп

В съобщението с искане на откуп престъпните оператори на Arai Ransomware разкриват, че провеждат операция за двойно изнудване. Освен че не позволяват на жертвите да получат достъп до собствените си файлове, нападателите също събират чувствителна или поверителна информация от заразените системи. Бележката гласи, че злонамереният софтуер е изтрил всички резервни копия и Shadow Volume Copies на криптираните файлове.

Ексфилтрираните данни се използват като допълнителен лост за тласкане на жертвите към плащане на искания откуп. В противен случай хакерите заплашват да предоставят личните данни на обществеността или да ги продадат на всички заинтересовани страни. Освен това жертвите очевидно имат само 48 часа, за да изпълнят изискванията на киберпрестъпниците. След изтичането на този период хакерите ще откажат да съдействат за възстановяването на криптираните файлове и да публикуват събраната информация.

Бележката за откуп оставя на жертвите два имейл адреса, които могат да служат като комуникационни канали. Основният адрес е „AraiHelp@secmail.pro“, докато „AraiHelp2@secmail.pro“ служи като резервен.

Пълният текст на съобщението на Arai Ransomware е:

'===========================================

All Your Files Have Been Encrypted !!

===========================================

All of your backups and shadow copies have also been deleted so forget restoring

them.

===========================================

We also have been able to steal your confidential files (databases, customers data's,

HR etc...) all over your network workstations and servers.

===========================================

If you want to hear your mind instead of our instructions, you will loose stupidly your

files but you will also see your files being published online or sell to tiers (and we'll do it)

In this case, beleive us that you're going to suffer a big financial loss and a big loss

of reputation.

===========================================

We are aware that you don't want this case too happens.

If you want to restore files and want us to delete your confidentials files, contact us right

with a message to the contact address below. Include the KeyID in your message pls.

===========================================

AraiHelp@secmail.pro

If there's no answers from us in the next 15 hours, contact us to :

AraiHelp2@secmail.pro

Note that you have only 48 hours to contact us. After this delay, there will be no data

recovered and your files will be published.

Key Identifier:'