REvil Ransomware

REvil Ransomware Beskrivelse

REvil Ransomware-skærmbillede Cybersikkerhedseksperter har for nylig set en ny ransomware-trussel, der cirkulerer på nettet. Denne datakrypterende trojan kaldes REvil Ransomware og er også kendt som Sodinokibi Ransomware .

Infiltration og kryptering

Malwareeksperter har ikke været i stand til at nå til enighed om, hvilken metode der anvendes til formering af REvil Ransomware. Det menes i vid udstrækning, at forfatterne til REvil Ransomware muligvis bruger nogle af de mest almindelige teknikker til at sprede denne fil-låsning Trojan - falske programopdateringer, inficeret piratkopieret software downloadet fra uofficielle kilder og spam-e-mails, som indeholder beskadigede vedhæftede filer. Hvis REvil Ransomware formår at trænge igennem et system, begynder det angrebet med en hurtig scanning af de filer, der findes på computeren. Målet er at finde og finde de filer, som REvil Ransomware var programmeret til at gå efter. Derefter udløses krypteringsprocessen, og alle de målrettede filer låses ved hjælp af en krypteringsalgoritme. Efter låsning af en fil tilføjer REvil Ransomware en udvidelse til filnavnet, som består af entydigt genereret tilfældig streng for hvert offer, for eksempel '.294l0jaf59.' Dette betyder, at når en fil, der oprindeligt blev navngivet 'kitty-litter.jpg', gennemgår krypteringsprocessen for REvil Ransomware, vil dens navn blive ændret til 'kitty-litter.jpg.294l0jaf59.'


Denne uge i Malware Ep7: Revil Ransomware angriber højprofil-klient advokatfirma

Løsepenge noten

Den næste fase er nedlæggelsen af løsesumnoten. REvil Ransomwares note vil blive navngivet '294l0jaf59-HVORDAN-DECRYPT.txt', hvis vi fortsætter med eksemplet med den unikt genererede udvidelse til tidligere. Løsepenge beskeden lyder:

'- === Velkommen. Igen. === ---

[+] Hvad sker der? [+]

Dine filer er krypteret og er i øjeblikket ikke tilgængelige. Du kan kontrollere det: alle filer på din computer har udvidelse 686l0tek69.
Forresten er alt muligt at gendanne (gendanne), men du skal følge vores instruktioner. Ellers kan du ikke returnere dine data (ALDRIG).

[+] Hvilke garantier? [+]

Det er bare en forretning. Vi er ligeglad med dig og dine tilbud undtagen at få fordele. Hvis vi ikke udfører vores arbejde og forpligtelser - vil ingen ikke samarbejde med os. Det er ikke i vores interesse.
For at kontrollere evnen til at returnere filer, skal du gå til vores websted. Der kan du dekryptere en fil gratis. Det er vores garanti.
Hvis du ikke vil samarbejde med vores service - for os betyder det ikke noget. Men du mister din tid og data, fordi vi bare har den private nøgle. I praksis - tid er meget mere værdifuldt end penge.

[+] Hvordan får man adgang på webstedet? [+]

Du har to måder:

1) [Anbefalet] Brug af en TOR-browser!
a) Download og installer TOR-browseren fra dette websted: hxxps: //torproject.org/
b) Åbn vores websted: hxxp: //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) Hvis TOR er blokeret i dit land, så prøv at bruge VPN! Men du kan bruge vores sekundære hjemmeside. For det:
a) Åbn din vilkårlige browser (Chrome, Firefox, Opera, IE, Edge)
b) Åbn vores sekundære websted: http://decryptor.top/913AED0B5FE1497D

Advarsel: sekundær webside kan blokeres, derfor er den første variant meget bedre og mere tilgængelig.

Når du åbner vores hjemmeside, skal du sætte følgende data i inputformularen:
Nøgle:

-

Udvidelsesnavn:

294l0jaf59
-------------------------------------------------- ---------------------------------------

!!! FARE !!!
Forsøg IKKE at ændre filer selv, IKKE brug nogen tredjepartssoftware til at gendanne dine data eller antivirusløsninger - det kan medføre beskadigelse af den private nøgle og som resultat The Loss all data.
!!! !!! !!!
EN MERE TID: Det er i dine interesser at få dine filer tilbage. Fra vores side laver vi (de bedste specialister) alt til gendannelse, men du skal ikke blande dig.
!!! !!! !!! '

Angriberne kræver $ 2500 i Bitcoin som en løsesum. Men hvis summen ikke betales inden for 72 timer, fordobles den til $ 5000.

Summen, der kræves af forfatterne af REvil Ransomware, er temmelig stor, og vi vil kraftigt fraråde dig at betale op og give efter for eventuelle krav fra cyberkriminelle som dem, der er ansvarlige for denne datalåsning Trojan. En klogere mulighed ville være at sørge for at downloade og installere en velrenommeret antivirus-softwarepakke, som ville beskytte dit system mod trusler som REvil Ransomware.

Grubman Shire Meiselas & Sacks Hack Og $ 42 millioner løsesum efterspørgsel

I begyndelsen af maj 2020 overtrådte REvil hacking-gruppen systemerne i det New York-baserede advokatfirma Grubman Shire Meiselas & Sacks (GSMS) og krypterede og stjal hele 756 GB følsomme data.

De stjålne filer omfattede personlig korrespondance, musikrettigheder, ikke-afsløringsaftaler, telefonnumre og e-mail-adresser til adskillige A-liste berømtheder, herunder Elton John, Madonna, Bruce Springsteen, Nicky Minaj, Mariah Carey, Lady Gaga og U2.

Ikke kun det, men hackerne hævdede, at de havde fået fat i følsomme data om den amerikanske præsident Donald Trump. Denne påstand var årsagen til den imponerende løsesumskrav fra REvil-gruppen. Oprindeligt krævede angriberne 21 millioner dollars, men GSMS modsatte sig et tilbud på kun 365.000 dollars.

Dette resulterede i en fordobling af cyber-skurkernes løsesumskrav samt udgivelsen af et 2,4 GB arkiv, der indeholdt juridiske dokumenter fra Lady Gaga, herunder koncerter, tv-optrædener og merchandising-kontrakter.

Indholdet af Lady Gaga lækker. Kilde: zdnet.com [/ caption]

Lækagen indeholdt også en trussel om frigivelsen af præsident Trumps '' beskidte tøjvask '' :

'' Den næste person, vi offentliggør, er Donald Trump. Der foregår et valgløb, og vi fandt et ton snavset tøj til tiden. Hr. Trump, hvis du vil forblive præsident, skal du stikke en skarp pind på fyrene, ellers glemmer du måske denne ambition for evigt. Og til jer vælgere kan vi fortælle jer, at man efter en sådan offentliggørelse bestemt ikke vil se ham som præsident. Lad os udelade detaljerne. Fristen er en uge. Grubman, vi vil ødelægge din virksomhed til jorden, hvis vi ikke ser pengene. Læs historien om Travelex, det er meget lærerigt. Du gentager deres scenarie en mod en. "

GSMS reagerede på truslen ved at sige, at Trump aldrig har været kunde hos virksomheden. Hackerne offentliggjorde et arkiv med 160 e-mails, der angiveligt indeholdt '' de mest harmløse oplysninger '' om Trump. Alligevel nævnte de kun den amerikanske præsident i forbifarten og indeholdt ikke noget snavs på ham. Tilsyneladende havde trusselsaktørerne lige søgt efter enhver omtale af '' trumf '', og mange af de lækkede e-mails indeholdt det kun som et verbum.

I mellemtiden svarede GSMS med at antyde, at FBI har klassificeret overtrædelsen som en terrorhandling, idet han sagde:

'' Vi er blevet informeret af eksperterne og FBI om, at forhandling med eller betaling af løsepenge til terrorister er en overtrædelse af føderal straffelov. ''

Dette ser ikke ud til at have påvirket holdningen hos REvil-banden, der siger, at de vil auktionere værdifuld information, de har til den, der er villig til at betale deres pris.

Relaterede indlæg