Intel Ransomware

Forskere har afsløret en ny stamme af ransomware kendt som Intel Ransomware. Denne truende software infiltrerer enheder, krypterer de lagrede data og kræver en løsesum i bytte for den påståede dekryptering af den kompromitterede information.

Navnlig gennemgår filer påvirket af Intel ransomware en omdøbningsproces. De originale filnavne er udvidet med en unik identifikator, der er tildelt offeret, efterfulgt af '.[intellent@ai_download_file],' og afsluttes med '.intel'-udvidelsen. Som en illustration vil en fil, der oprindeligt er mærket '1.jpg', blive transformeret til '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' efter kryptering.

Når krypteringsprocessen er afsluttet, støder ofrene på løsesumsedler præsenteret i både et pop op-vindue og som tekstfiler med navnet 'README!.txt'. Disse tekstfiler deponeres i hver krypteret mappe og på systemets skrivebord. Analyse af løsesumsedlens indhold afslører, at Intel Ransomware specifikt er rettet mod virksomheder og anvender dobbelt afpresningstaktik. Desuden er dette truende program tilknyttet Dharma Ransomware- familien.

Intel Ransomware forhindrer ofre i at få adgang til deres egne data

Intel Ransomware demonstrerer en omfattende tilgang ved at kryptere både lokale og netværksdelte filer, mens vigtige systemfiler forbliver upåvirkede for at undgå at gøre systemet ubrugeligt. Det anvender især en strategi til at undgå dobbeltkryptering ved at udelukke filer, der er låst af anden ransomware. Denne metode er dog ikke idiotsikker, da den er afhængig af en foruddefineret liste, der muligvis ikke omfatter alle kendte ransomware-varianter.

Desuden udviser Intel-malwaren sofistikeret i sin drift ved at lukke processer forbundet med filer, der kunne være åbne, såsom tekstfillæsere og databaseprogrammer. Denne proaktive foranstaltning har til formål at forhindre konflikter for filer, der anses for "i brug", og sikre, at de ikke er fritaget for kryptering.

Dharma-familien af ransomware, som Intels malware tilhører, anvender strategiske taktikker til infiltration og vedholdenhed. Dette inkluderer at slukke for firewallen for at lette infiltration og undgå registrering. Derudover involverer persistenssikre teknikker:

• Kopierer malwaren til %LOCALAPPDATA%-stien.
• Registrerer det med specifikke Run-nøgler.
• Konfiguration af automatisk initiering af ransomware efter hver systemgenstart.

Et bemærkelsesværdigt aspekt af Dharma-angrebene er deres potentiale for målrettede handlinger. De programmer, der er knyttet til denne familie, kan indsamle geolokationsdata, hvilket giver mulighed for undtagelser i deres angreb. Denne tilpasningsevne indebærer, at infektioner kan have politiske eller geopolitiske motiver, eller de kan målrettet undgå ofre, der er usandsynligt at opfylde krav om løsesum, især i regioner med svage økonomiske forhold.

For yderligere at hindre genoprettelsesindsatsen kan Intel Ransomware slette Shadow Volume Copies, hvilket hindrer gendannelsen af tidligere versioner af filer. Baseret på omfattende forskning i ransomware-infektioner, er det tydeligt, at dekryptering uden indgriben fra angriberne typisk er en uoverkommelig udfordring.

Intel Ransomware bruger dobbeltafpresningstaktik

Indholdet i tekstfilen tjener som en kort meddelelse til offeret, der formidler, at deres data er blevet krypteret og indsamlet. Det beder offeret om at etablere kommunikation ved at sende en e-mail til angriberne.

I modsætning hertil giver pop op-meddelelsen mere detaljerede oplysninger om ransomware-infektionen. Det gentager krypterings- og datatyveri-aspekterne og understreger situationens hastende karakter. Løseseddelen udsender en streng advarsel om, at undladelse af at kontakte cyberkriminelle inden for 24 timer eller afvisning af at efterkomme kravet om løsesum vil føre til eksponering af det stjålne indhold på det mørke web eller dets salg til konkurrenter fra ofrets virksomhed.

For at demonstrere muligheden for gendannelse tilbyder meddelelsen en gratis dekrypteringstest, der skal udføres på en enkelt fil. Offeret er også udtrykkeligt informeret om, at det kan medføre yderligere økonomiske tab at søge bistand fra inddrivelsesfirmaer, da disse mellemmænd typisk pålægger gebyrer, der lægges oven i løsesummen.

Det observeres dog ofte, at ofre, selv efter at have overholdt krav om løsesum, ikke modtager de lovede dekrypteringsnøgler eller software. På trods af opfyldelse af løsepengekravene er der ingen garanti for filgendannelse. Derfor fraråder forskere på det kraftigste at betale løsesummen, da den ikke blot ikke garanterer hentning af filer, men også fastholder og understøtter kriminelle aktiviteter. Derudover er det vigtigt at forstå, at selvom fjernelse af ransomware kan standse yderligere kryptering af data, gendanner fjernelsesprocessen ikke automatisk tidligere kompromitterede filer.

Intel Ransomware viser følgende løsesumseddel som et pop op-vindue:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Hvis du ikke skriver til os inden for 24 timer, vil vi begynde at offentliggøre og sælge dine data på darknet på hackersider og tilbyde oplysningerne til dine konkurrenter
send os en e-mail: intellent.ai@onionmail.org DIT ID -
Hvis du ikke har hørt tilbage inden for 24 timer, så skriv til denne e-mail:intellent.ai@onionmail.org

VIGTIG INFORMATION!
Husk på, at når dine data dukker op på vores lækageside, kan de købes af dine konkurrenter når som helst, så tøv ikke i lang tid. Jo før du betaler løsesummen, jo hurtigere vil din virksomhed være sikker.
vi har set på alle dine rapporter og din virksomheds omsætning.
Garanti: Hvis vi ikke giver dig en dekryptering eller sletter dine data, efter du har betalt, vil ingen betale os i fremtiden. Vi værdsætter vores omdømme.
Garantinøgle: For at bevise, at dekrypteringsnøglen eksisterer, kan vi teste filen (ikke databasen og backup) gratis.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Gå ikke til gendannelsesfirmaer - de er i bund og grund kun mellemhandlere. Dekryptering af dine filer med hjælp fra tredjeparter kan forårsage forhøjede priser (de tilføjer deres gebyr til vores), vi er de eneste, der har dekrypteringsnøglerne.

Tekstfilerne oprettet af Intel Ransomware indeholder følgende besked:

Dine data er blevet stjålet og krypteret!

e-mail os

intelligent.ai@onionmail.org'