Prestige Ransomware

Prestige Ransomware er et truende værktøj, der bruges af cyberkriminelle til at låse deres ofres data. Denne særlige angrebskampagne har primært været fokuseret på mål i Ukraine og Polen. Desuden leverer trusselsaktørerne informationstjælende malware, før de dropper Prestige Ransomware via PowerShell, Windows Scheduled Task-værktøjet eller Standard Domain Group Policy Object. For at udføre sin krypteringsrutine skal truslen have administrative rettigheder. Det forsøger også at stoppe MSSQL Windows-tjenesten som en måde at sikre vellykket kryptering.

Når det er blevet aktiveret, vil Prestige scanne det inficerede system og låse dokumenter, PDF'er, billeder, fotos, arkiver, databaser og mere. Hver krypteret fil vil have '.enc' knyttet til sit navn som en ny udvidelse. Ofrene vil stå tilbage med en løsesumseddel indeholdt i en fil med navnet 'README'.

Instruktionerne giver meget lidt brugbar information. Angriberne angiver blot, at ofrene skal kontakte dem ved at sende en besked til 'Prestige.ranusomeware@Proton.me' e-mailadressen for at få yderligere detaljer om, hvordan man får et dekrypteringsværktøj fra dem. Løsesedlen slutter med to advarsler om ikke at forsøge at dekryptere dataene med tredjepartssoftware eller omdøbe dem, da det kan forårsage permanent skade på filerne.

Den fulde tekst af Prestige Ransomwares note er:

'DU PERSONLIGE FILER ER BLIVER KRYPTET.

For at dekryptere alle data skal du købe vores dekrypteringssoftware.
Kontakt os Prestige.ranusomeware@Proton.me. Indtast dit ID = i brevet.

OPMÆRKSOMHED *

Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.

Undlad at ændre eller omdøbe krypterede filer. Du vil miste dem.'