Khonsari Ransomware

Khonsari Ransomware er et helt nyt stykke ransomware, designet til at angribe Windows-baserede pc'er. For at gøre det udnytter skurkene bag ransomwaren den nyligt fundne CVE-2021-44228 sårbarhed, også kendt som Log4Shell , Logjam og Log4j. Sidstnævnte er en kritisk fejl, der gør det muligt for hackere at anvende fjernudførelse af kode for at kapre ikke-patchede servere og lægge dem i et botnet.

I modsætning til andre populære dele af ransomware, der i øjeblikket er i omløb, spredes Khonsari ikke via spammail eller malvertising. For at inficere en pc med Khonsari, skal de ansvarlige skurke først bruge den ovenfor nævnte sårbarhed til at tvinge det målrettede system til at downloade en vilkårlig kode. Når først den er udført, giver denne kode cyberkriminelle total kontrol over det målrettede system og uendelige muligheder for at plante alle typer malware, inklusive Khonsari.

Skulle modstanderen beslutte sig for at starte en Khonsari-infektion på dette stadium, vil ransomwaren kryptere mange filtyper og generere følgende løsesumseddel:

Dine filer er blevet krypteret og stjålet af Khonsari-familien. Hvis du ønsker at dekryptere, skal du ringe til (225) 287-1309 eller sende en e-mail til karenkhonsari@gmail.com . Hvis du ikke ved, hvordan du køber btc, så brug en søgemaskine til at finde børser. MODIFICER ELLER SLET IKKE DENNE FIL ELLER NOGEN KRYPTEREDE FILER. HVIS DU GØR, KAN DINE FILER VÆRE UGENDANNELIGE.'

Noten er ret grundlæggende med hensyn til instruktioner, og det samme er Khonsari Ransomware selv. Khonsari-nyttelasten er kun 12KB i størrelse, hvilket forklarer, hvorfor den langtfra ikke er så sofistikeret som andre bemærkelsesværdige trusler derude. Forskere spekulerer i, at kontakten i løsesumsedlen kan være et falsk flag, og at Karen Khonsari kan være en fysisk person i det virkelige liv. De har dog endnu ikke bekræftet den teori, hvorfor Khonsari Ransomware udgør alvorlige risici for tiden.