Khonsari Ransomware

Khonsari Ransomware je zbrusu nový ransomware určený k útoku na počítače se systémem Windows. K tomu podvodníci za ransomwarem využívají nedávno zjištěnou zranitelnost CVE-2021-44228, známou také jako Log4Shell , Logjam a Log4j. To je kritická chyba, která hackerům umožňuje použít vzdálené spuštění kódu k únosu neopravených serverů a jejich umístění do botnetu.

Na rozdíl od jiných populárních kusů ransomwaru, které jsou v současné době v oběhu, se Khonsari nešíří prostřednictvím spamové pošty nebo malvertisingu. K infikování počítače Khonsari musí pověření podvodníci nejprve využít zranitelnosti uvedenou výše, aby donutili cílový systém stáhnout libovolný kód. Jakmile je tento kód spuštěn, dává kyberzločincům úplnou kontrolu nad cíleným systémem a nekonečné možnosti zasadit všechny druhy malwaru, včetně Khonsari.

Pokud se protivník v této fázi rozhodne spustit infekci Khonsari, ransomware zašifruje mnoho typů souborů a vygeneruje následující výkupné:

Vaše soubory byly zašifrovány a ukradeny rodinou Khonsari. Pokud chcete dešifrovat, zavolejte (225) 287-1309 nebo napište e-mail na karenkhonsari@gmail.com . Pokud nevíte, jak nakupovat btc, použijte vyhledávač k nalezení burz. NEUPRAVUJTE ANI NEODSTRAŇUJTE TENTO SOUBOR ANI ŽÁDNÉ ŠIFROVANÉ SOUBORY. POKUD TO UDĚLÁTE, VAŠE SOUBORY MOHOU BÝT NEOBNOVITELNÉ."

Poznámka je z hlediska pokynů docela základní, stejně jako samotný Khonsari Ransomware. Užitná zátěž Khonsari má velikost pouhých 12 kB, což vysvětluje, proč není zdaleka tak sofistikovaná jako jiné významné hrozby. Výzkumníci spekulují, že kontakt uvedený ve výkupném může být falešná vlajka a že Karen Khonsari může být ve skutečném životě fyzická osoba. Tuto teorii však ještě nepotvrdili, a proto Khonsari Ransomware v současné době představuje vážné riziko.