Ransomweb Ransomware

På trods af sit navn foregiver Ransomweb Ransomware kun at være ransomware. Oprindeligt ser det ud til at følge den typiske opførsel af denne malware-trusseltype - det blev observeret inficere et offers websted, kryptere filerne der, tilføje de originale filnavne med sin egen filtypenavn - '.xploiter' og genererede en løsesumnote . At se på teksten fra cyberkriminelle viser, at noget er galt. Der er ingen kommunikationskanaler, såsom e-mails, som de berørte brugere kan kontakte kriminelle for detaljer. Noten nævner ikke engang nogen betaling af løsesum - hovedmålet med enhver ransomware-operation. I stedet ser hackerne, der er ansvarlige for Ransomweb Ransomware, ud til at være lige efter at have forårsaget kaos, idet de siger, at alle de berørte filer ikke kan gendannes, medmindre offeret har en passende sikkerhedskopi.

Den atypiske besked fik infosec-forskerne ved Sucuri Labs til at grave lidt dybere ned i trusselens kode og funktionalitet. De fandt en PHP-fil ved navn 'openeds.php', der var tilsløret og dermed ulæselige i sin nuværende tilstand. Efter at have formået at deobfuscate filen med succes og oversætte den til engelsk fra den indledende indonesiske tekst, opdagede forskerne en oplåsningsfil. Inde i koden indeholdt den metoden til at gendanne alle de filer, der var låst af Ransomweb Ransomware, fordi de, som det viste sig, kun syntes at være krypterede, mens sandheden var, at filerne var blevet tilsløret. I sidste ende leverer begge processer resultatet af, at de berørte filer er utilgængelige og ubrugelige, men det er fuldstændig muligt at arbejde gennem tilsløringen, mens det er næsten umuligt at knække mulig kryptering med de krævede dekrypteringsnøgler. Den pågældende tiltrækning , der bruges til alle de låste .xploiter- filer kaldes gzdeflate , og til at vende den og gendanne de modsatte data skal bruges - gzinflate .

På trods af sit navn foregiver Ransomweb Ransomware kun at være ransomware. Oprindeligt ser det ud til at følge den typiske opførsel af denne malware-trusseltype - det blev observeret inficere et offers websted, kryptere filerne der, tilføje de originale filnavne med sin egen filtypenavn - '.xploiter' og genereret en løsesum . At se på teksten fra cyberkriminelle viser, at noget er galt. Der er ingen kommunikationskanaler, såsom e-mails, som de berørte brugere kan kontakte kriminelle for detaljer. Noten nævner ikke engang nogen betaling af løsesum - hovedmålet med enhver ransomware-operation. I stedet ser hackerne, der er ansvarlige for Ransomweb Ransomware, ud til at være lige efter at have forårsaget kaos, idet de siger, at alle de berørte filer ikke kan gendannes, medmindre offeret har en passende sikkerhedskopi.

Der er dog en sidste forhindring, men som før deobfuscation kan startes, skal der angives en adgangskode. At have adgang til selve oplåsningsfilen gør det dog muligt at tilpasse den på en sådan måde, at adgangskodekontrollen fjernes helt, eller selve adgangskoden ændres til noget, som brugeren allerede ved.