Intel Ransomware
Výzkumníci odhalili nový kmen ransomwaru známý jako Intel Ransomware. Tento ohrožující software proniká do zařízení, šifruje uložená data a požaduje výkupné výměnou za údajné dešifrování kompromitovaných informací.
Soubory ovlivněné ransomwarem Intel podléhají procesu přejmenování. Původní názvy souborů jsou doplněny jedinečným identifikátorem přiděleným oběti, za ním následuje „[intelent@ai_download_file]“ a končí příponou „.intel“. Pro ilustraci, soubor označený původně '1.jpg' by se po zašifrování transformoval na '1.jpg.id-9ECFA93E.[intelent@ai_download_file].intel'.
Jakmile je proces šifrování dokončen, oběti narazí na poznámky o výkupném prezentované jak ve vyskakovacím okně, tak jako textové soubory s názvem „README!.txt“. Tyto textové soubory jsou uloženy v každé zašifrované složce a na ploše systému. Analýza obsahu poznámky o výkupném odhaluje, že Intel Ransomware se konkrétně zaměřuje na společnosti a používá taktiku dvojitého vydírání. Kromě toho je tento ohrožující program přidružen k rodině Dharma Ransomware .
Intel Ransomware brání obětem v přístupu k jejich vlastním datům
Intel Ransomware demonstruje komplexní přístup tím, že šifruje místní i síťově sdílené soubory, přičemž klíčové systémové soubory zůstávají nedotčeny, aby se zabránilo tomu, že systém bude nefunkční. Zejména využívá strategii, jak se vyhnout dvojitému šifrování vyloučením souborů uzamčených jiným ransomwarem. Tato metoda však není spolehlivá, protože se spoléhá na předem definovaný seznam, který nemusí zahrnovat všechny známé varianty ransomwaru.
Malware Intel navíc vykazuje sofistikovanost ve svém provozu tím, že zavírá procesy spojené se soubory, které by mohly být otevřené, jako jsou čtečky textových souborů a databázové programy. Cílem tohoto proaktivního opatření je zabránit konfliktům u souborů považovaných za „používané“ a zajistit, aby nebyly vyňaty z šifrování.
Rodina ransomwaru Dharma, do které malware Intel patří, využívá strategickou taktiku pro infiltraci a vytrvalost. To zahrnuje vypnutí firewallu pro usnadnění infiltrace a vyhnutí se detekci. Techniky zajišťující perzistenci navíc zahrnují:
- Kopírování malwaru do cesty %LOCALAPPDATA%.
- Registrace pomocí konkrétních kláves Run.
- Konfigurace automatického spouštění ransomwaru po každém restartu systému.
Pozoruhodným aspektem útoků Dharma je jejich potenciál pro cílené akce. Programy spojené s touto rodinou mohou shromažďovat geolokační data, což umožňuje výjimky v jejich útocích. Tato přizpůsobivost znamená, že infekce mohou mít politické nebo geopolitické motivy nebo se mohou cíleně vyhýbat obětem, které pravděpodobně nesplní požadavky na výkupné, zejména v regionech se slabými ekonomickými podmínkami.
K dalšímu ztížení úsilí o obnovu může Intel Ransomware odstranit stínové kopie svazku, což brání obnovení předchozích verzí souborů. Na základě rozsáhlého výzkumu ransomwarových infekcí je zřejmé, že dešifrování bez zásahu útočníků je obvykle nepřekonatelnou výzvou.
Intel Ransomware používá taktiku dvojitého vydírání
Obsah textového souboru slouží jako stručné oznámení oběti, které sděluje, že jejich data byla zašifrována a shromážděna. Vyzve oběť, aby navázala komunikaci zasláním e-mailu útočníkům.
Naproti tomu vyskakovací zpráva poskytuje podrobnější informace o infekci ransomware. Znovu zdůrazňuje aspekty šifrování a krádeže dat a zdůrazňuje naléhavost situace. Výkupné vydává přísné varování, že nekontaktování kyberzločinců do 24 hodin nebo odmítnutí vyhovět požadavku na výkupné povede k odhalení ukradeného obsahu na temném webu nebo jeho prodeji konkurentům společnosti oběti.
K prokázání možnosti obnovy zpráva nabízí bezplatný test dešifrování, který se má provést na jediném souboru. Oběť je také výslovně informována o tom, že vyhledání pomoci od vymáhacích společností by mohlo vést k dalším finančním ztrátám, protože tito zprostředkovatelé obvykle ukládají poplatky, které se přičítají k výkupné.
Často se však pozoruje, že oběti, i když splní požadavky na výkupné, nedostanou slíbené dešifrovací klíče nebo software. Navzdory splnění požadavků na výkupné neexistuje žádná záruka obnovení souboru. V důsledku toho výzkumníci důrazně odrazují od placení výkupného, protože nejenže nezaručuje získání souborů, ale také udržuje a podporuje kriminální aktivity. Kromě toho je nezbytné pochopit, že zatímco odstranění ransomwaru může zastavit další šifrování dat, proces odstranění automaticky neobnoví dříve kompromitované soubory.
Intel Ransomware zobrazí následující výkupné jako vyskakovací okno:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
Pokud nám do 24 hodin nenapíšete, začneme vaše data zveřejňovat a prodávat na darknetu na hackerských stránkách a nabídneme informace vaší konkurenci
napište nám: intellent.ai@onionmail.org VAŠE ID -
Pokud se vám do 24 hodin neozvete, napište na tento email: intellent.ai@onionmail.orgDŮLEŽITÁ INFORMACE!
Mějte na paměti, že jakmile se vaše data objeví na našem webu o úniku dat, mohou je vaši konkurenti kdykoli koupit, takže dlouho neváhejte. Čím dříve zaplatíte výkupné, tím dříve bude vaše společnost v bezpečí.
zkontrolovali jsme všechny vaše přehledy a příjmy vaší společnosti.
Záruka: Pokud vám po zaplacení neposkytneme dešifrovací nástroj nebo nesmažeme vaše data, v budoucnu nám nikdo nezaplatí. Vážíme si naší pověsti.
Záruční klíč: Abychom prokázali, že dešifrovací klíč existuje, můžeme soubor (nikoli databázi a zálohu) zdarma otestovat.
Nepokoušejte se dešifrovat data pomocí softwaru třetích stran, může to způsobit trvalou ztrátu dat.
Nechoďte za obnovovacími společnostmi - jsou to v podstatě jen prostředníci. Dešifrování vašich souborů pomocí třetích stran může způsobit zvýšení ceny (přidávají svůj poplatek k našemu) jsme jediní, kdo má dešifrovací klíče.Textové soubory vytvořené Intel Ransomware obsahují následující zprávu:
Vaše data byla ukradena a zašifrována!
Napište nám email
intellent.ai@onionmail.org'
