AvosLocker Ransomware
Infosec-forskere afdækkede en ny ransomware-operation, som de kaldte AvosLocker. Hackergruppen ser ud til at være aktiv omkring juni 2021 og har på bare et par måneder formået at samle flere ofre. Cyberkriminelle frigiver navnene på deres ofre på et dedikeret lækageside, der er hostet på Tor-netværket. Webstedet indeholder to sektioner - 'Public Service Announcements' og 'Leaks.' Alle overtrådte enheder sammen med bevis for de data, der er indsamlet fra dem, vises under siden 'Offentlig service meddelelse'. AvosLocker-gruppen bruger spam-e-mail-kampagner, der spreder lokkemad-e-mails, samt korrupte reklamer som indledende infektionsvektorer til levering af ransomware-truslen.
AvosLocker Ransomware detaljer
Den indsatte ransomware-trussel er skrevet i C ++ og bruger en tilpasset version af AES-256 kryptografiske algoritme til at låse de filer, der er gemt på de brudte systemer. Malwaren er designet til at inficere Windows-maskiner og udføres ikke på andre platforme. Som en del af dets truende kapacitet kan AvosLocker Ransomware slette Shadow Volume-kopier af de berørte filer samt afslutte specifikke applikationer, der kan forstyrre krypteringsprocessen. Efter kryptering af en fil tilføjer AvosLocker '.avos' til filens originale navn som en ny udvidelse. Som de fleste trusler af denne type leverer AvosLocker Ransomware også en løsesumnote med instruktioner til sine ofre. Meddelelsen slettes som en tekstfil med navnet 'GET_YOUR_FILES_BACK.txt.'
AvosLockers krav
Som det viser sig, indeholder selve løsesummen ikke meget nyttige oplysninger. Det opfordrer for det meste bare ofrene for truslen til at besøge et TOR-websted for at få alle de yderligere instruktioner. Ved at følge det medfølgende link og indtaste det specifikke offer-ID fører til en 'betalingsside'. Her er ofrene i stand til at se en nedtællingstimer, der måler den resterende tid, før summen, der kræves af hackerne, fordobles. Løsepenge skal overføres ved hjælp af Monero-kryptokurrency.
Inden betalingen kan ofrene imidlertid uploade en prøvefil til webstedet for at teste hackers evne til at dekryptere de låste data. Websiden indeholder også en supportchat, hvorigennem berørte brugere angiveligt kan kontakte AvosLocker-hackerne.
At betale ethvert beløb til ransomware-operatører frarådes kraftigt. Brugere kan udsætte sig for yderligere sikkerhedsrisici, mens de finansierer den næste truende operation af cyberkriminelle i processen.
