Khonsari Ransomware

Khonsari Ransomware е чисто нов ransomware, предназначен да атакува компютри, базирани на Windows. За да направят това, мошениците зад ransomware използват наскоро откритата уязвимост CVE-2021-44228, известна също като Log4Shell , Logjam и Log4j. Последното е критичен недостатък, който позволява на хакерите да прилагат отдалечено изпълнение на код, за да отвлекат неизправени сървъри и да ги поставят в ботнет.

Противно на други популярни части от ransomware, които в момента са в обращение, Khonsari не се разпространява чрез спам поща или злонамерено рекламиране. За да заразят компютър с Khonsari, отговорните мошеници трябва първо да използват споменатата по-горе уязвимост, за да принудят целевата система да изтегли произволен код. Веднъж изпълнен, този код дава на киберпрестъпниците пълен контрол над целевата система и безкрайни възможности за засаждане на всички видове зловреден софтуер, включително Khonsari.

Ако противникът реши да стартира инфекция с Khonsari на този етап, ransomware ще шифрова много типове файлове и ще генерира следната бележка за откуп:

Вашите файлове са криптирани и откраднати от семейство Хонсари. Ако искате да дешифрирате, обадете се на (225) 287-1309 или имейл na karenkhonsari@gmail.com . Ако не знаете как да купите btc, използвайте търсачка, за да намерите борси. НЕ ПРОМЕНЯЙТЕ ИЛИ ИЗТРИВАЙТЕ ТОЗИ ФАЙЛ ИЛИ КОЙТО И ДА Е КРИПИРАНИ ФАЙЛОВЕ. АКО го направите, ВАШИТЕ ФАЙЛОВЕ МОЖЕ ДА СА НЕВЪЗСТАНОВИМИ.'

Забележката е доста основна по отношение на инструкциите, както и самият Khonsari Ransomware. Полезният товар на Khonsari е с размер само 12 KB, което обяснява защо той далеч не е толкова сложен, колкото другите забележителни заплахи. Изследователите спекулират, че контактът, предоставен в бележката за откуп, може да е фалшив флаг и че Карен Хонсари може да е физическо лице в реалния живот. Те обаче все още не са потвърдили тази теория, поради което Khonsari Ransomware за момента крие сериозни рискове.