Intel рансъмуер

Изследователите са открили нов вид рансъмуер, известен като Intel Ransomware. Този заплашителен софтуер прониква в устройства, криптира съхранените данни и изисква откуп в замяна на предполагаемото дешифриране на компрометираната информация.

Трябва да се отбележи, че файловете, засегнати от рансъмуер на Intel, преминават процес на преименуване. Оригиналните имена на файлове се допълват с уникален идентификатор, присвоен на жертвата, последван от „[intellent@ai_download_file]“ и завършващ с разширението „.intel“. Като илюстрация, файл с първоначален надпис "1.jpg" ще бъде трансформиран в "1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel" след криптиране.

След като процесът на криптиране приключи, жертвите се натъкват на бележки за откуп, представени както в изскачащ прозорец, така и като текстови файлове с име „README!.txt“. Тези текстови файлове се съхраняват във всяка криптирана папка и на работния плот на системата. Анализът на съдържанието на бележката за откуп разкрива, че Intel Ransomware е насочен специално към компании и използва двойни тактики за изнудване. Освен това тази заплашителна програма е свързана със семейството на Dharma Ransomware .

Рансъмуерът на Intel не позволява на жертвите да получат достъп до собствените си данни

Intel Ransomware демонстрира всеобхватен подход чрез криптиране както на локални, така и на споделени в мрежа файлове, докато ключовите системни файлове остават незасегнати, за да се избегне спирането на системата. По-специално, той използва стратегия за избягване на двойно криптиране чрез изключване на файлове, заключени от друг ransomware. Този метод обаче не е надежден, тъй като разчита на предварително дефиниран списък, който може да не включва всички известни варианти на ransomware.

Освен това злонамереният софтуер на Intel показва сложност в работата си, като затваря процеси, свързани с файлове, които могат да бъдат отворени, като четци на текстови файлове и програми за бази данни. Тази проактивна мярка има за цел да предотврати конфликти за файлове, считани за „в употреба“, като гарантира, че не са освободени от криптиране.

Фамилията рансъмуер Dharma, към която принадлежи зловредният софтуер на Intel, използва стратегически тактики за проникване и устойчивост. Това включва изключване на защитната стена, за да се улесни проникването и да се избегне откриването. Освен това техниките за осигуряване на постоянство включват:

• • Копиране на зловреден софтуер в пътя %LOCALAPPDATA%.

• • Регистрирането му със специфични ключове за изпълнение.

• • Конфигуриране на автоматично стартиране на ransomware след всяко рестартиране на системата.

Забележителен аспект на атаките на Дхарма е техният потенциал за целенасочени действия. Програмите, свързани с това семейство, могат да събират данни за геолокация, което позволява изключения в техните атаки. Тази адаптивност предполага, че инфекциите могат да имат политически или геополитически мотиви или могат целенасочено да избягват жертви, за които е малко вероятно да отговорят на исканията за откуп, особено в региони със слаби икономически условия.

За да възпрепятства допълнително усилията за възстановяване, рансъмуерът на Intel може да изтрие Shadow Volume Copies, възпрепятствайки възстановяването на предишни версии на файлове. Въз основа на задълбочени изследвания на инфекции с ransomware е очевидно, че дешифрирането без намесата на нападателите обикновено е непреодолимо предизвикателство.

Рансъмуерът на Intel използва тактика на двойно изнудване

Съдържанието в текстовия файл служи като кратко известие за жертвата, което съобщава, че данните им са криптирани и събрани. Той подканва жертвата да установи комуникация, като изпрати имейл до нападателите.

За разлика от това, изскачащото съобщение предоставя по-подробна информация за инфекцията с ransomware. Той повтаря аспектите на криптирането и кражбата на данни, като подчертава спешността на ситуацията. Бележката за откуп издава строго предупреждение, че неуспехът да се свържете с киберпрестъпниците в рамките на 24 часа или отказът да се изпълни искането за откуп ще доведе до разкриване на откраднатото съдържание в тъмната мрежа или продажбата му на конкуренти на компанията на жертвата.

За да демонстрира възможността за възстановяване, съобщението предлага безплатен тест за декриптиране, който да се проведе на един файл. Жертвата също е изрично информирана, че търсенето на помощ от компании за възстановяване може да доведе до допълнителни финансови загуби, тъй като тези посредници обикновено налагат такси, които се добавят към сумата на откупа.

Въпреки това, често се наблюдава, че жертвите, дори след като са изпълнили исканията за откуп, не получават обещаните ключове за дешифриране или софтуер. Въпреки изпълнението на изискванията за откуп, няма гаранция за възстановяване на файла. Следователно изследователите категорично обезсърчават плащането на откупа, тъй като той не само не гарантира извличането на файлове, но също така поддържа и подкрепя престъпни дейности. В допълнение, важно е да се разбере, че докато премахването на ransomware може да спре по-нататъшното криптиране на данни, процесът на премахване не възстановява автоматично компрометирани преди това файлове.

Intel Ransomware показва следната бележка за откуп като изскачащ прозорец:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Ако не ни пишете до 24 часа, ние ще започнем да публикуваме и продаваме вашите данни в даркнет на хакерски сайтове и ще предложим информацията на вашите конкуренти
пишете ни: intellent.ai@onionmail.org ВАШИЯТ ID -
Ако не получите отговор до 24 часа, пишете на този имейл: intellent.ai@onionmail.org

ВАЖНА ИНФОРМАЦИЯ!
Имайте предвид, че след като вашите данни се появят на нашия сайт за изтичане на информация, те могат да бъдат купени от вашите конкуренти във всяка секунда, така че не се колебайте дълго време. Колкото по-скоро платите откупа, толкова по-скоро вашата компания ще бъде в безопасност.
разгледахме всички ваши отчети и приходите на вашата компания.
Гаранция: Ако не ви предоставим дешифратор или не изтрием данните ви, след като сте платили, никой няма да ни плаща в бъдеще. Ние ценим нашата репутация.
Гаранционен ключ: За да докажем, че ключът за декриптиране съществува, можем да тестваме файла (не базата данни и архива) безплатно.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да доведе до трайна загуба на данни.
Не отивайте при компании за възстановяване - те по същество са само посредници. Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят таксата си към нашата) ние сме единствените, които разполагат с ключовете за дешифриране.

Текстовите файлове, създадени от Intel Ransomware, съдържат следното съобщение:

Вашите данни са откраднати и криптирани!

пишете ни

intellent.ai@onionmail.org'