Rabattilbud med flere licenser
Trusseldatabase Ransomware Theft Ransomware

Theft Ransomware

Med Mezo i Ransomware
Oversæt til:

Det moderne trusselsmiljø er nådesløst. Cyberkriminelle forfiner konstant deres værktøjer for at udnytte uforberedte brugere. Blandt de mest skadelige af disse trusler er ransomware, skadelig software, der krypterer data og afpresser ofrene for penge. En sådan ny variant er kendt som Theft Ransomware, som allerede er blevet observeret i at forårsage kaos på intetanende systemer.

Hvad gør tyveri-ransomware farlig

Theft Ransomware er en ny stamme knyttet til den berygtede Dharma ransomware-familie, en gruppe, der er kendt for at målrette både enkeltpersoner og organisationer. Når malwaren infiltrerer en enhed, krypterer den filer og omdøber dem ved at tilføje:

  • Et unikt offer-ID
  • Angribernes e-mailadresse
  • Udvidelsen '.theft'

For eksempel bliver '1.png' til '1.png.id-9ECFA84E.[datatheft@tuta.io].theft'.

Ofrene konfronteres derefter med løsesumsbreve i form af tekstfiler ('info.txt') og et pop op-vindue. Selvom tekstnoten er kortfattet og kun indeholder kontaktoplysninger, tilbyder pop op-vinduet flere detaljer, herunder forsikring om, at datagendannelse er mulig, hvis løsesummen betales. Angribere tilbyder endda 'bevis for dekryptering' ved at tillade, at tre små, ikke-kritiske filer gendannes gratis.

For at øge presset hævder de kriminelle at have stjålet følsomme forretningsdata og truer med at lække dem, hvis betalingen nægtes.

Truslens tekniske egenskaber

Ligesom andre Dharma-baserede varianter låser Theft Ransomware ikke hele systemer, men krypterer i stedet lokale og netværksdelte filer. Malwaren gør aktivt følgende:

  • Afslutter processer knyttet til filer i brug (databaser, læsere osv.)
  • Kopierer sig selv til %LOCALAPPDATA%-stien og registrerer persistens via Run-taster
  • Indstiller sig selv til automatisk at starte ved systemgenstart
  • Sletter skyggekopier af volumen for at forhindre nem gendannelse

Malwaren indsamler også geoplaceringsdata for at afgøre, om krypteringen skal fortsætte, muligvis med udelukkelse af bestemte regioner.

Hvordan infektionen spredes

Tyveri-ransomware bruger flere infiltrationstaktikker, hvor den mest almindelige er svagt sikrede RDP-tjenester (Remote Desktop Protocol). Brute-force- og dictionary-angreb mod dårligt beskyttede konti er et hyppigt indgangspunkt. Når malwaren er inde, kan den endda deaktivere firewalls for at lette dens drift.

Andre kendte distributionskanaler inkluderer:

Phishing og social engineering – Ondsindede vedhæftede filer eller links i e-mails, direkte beskeder og opslag.

Trojanere og bagdøre – Bruges til at slippe ransomware lydløst.

Malvertising og Drive-by Downloads – Udløses blot ved at besøge et kompromitteret websted.

Mistænkelige softwarekilder – Piratkopierede værktøjer, freeware-pakker og falske opdateringer.

Flytbare medier og lokale netværk – Tillader malware at sprede sig internt, når den lander på et system.

Hvorfor det er risikabelt at betale løsesummen

Det er næsten umuligt at dekryptere filer, der er krypteret med Theft uden angribernes nøgle. Mens nogle ransomware-varianter er mangelfulde, er Dharma-baserede trusler normalt solidt bygget. Vigtigt er det, at betaling af løsesummen ikke giver nogen garanti for gendannelse, og mange ofre står tomhændet tilbage, selv efter at have overført penge. Værre er det, at betalingen kun finansierer yderligere kriminelle handlinger.

Styrkelse af dit forsvar mod ransomware

Den bedste måde at bekæmpe ransomware mod tyveri på er forebyggelse. Da fjernelse af malware ikke automatisk gendanner krypterede filer, skal brugerne fokusere på modstandsdygtighed og proaktivt forsvar. Nøglepraksisser, som alle brugere bør anvende, er:

  • Regelmæssige sikkerhedskopier – Opbevar kopier af vigtige filer på tværs af flere sikre placeringer, f.eks. offlinedrev og cloudtjenester, der ikke er knyttet til det inficerede system.
  • Opdater software og systemer – Installer programrettelser for at lukke sårbarheder, som ransomware udnytter.
  • Brug stærk godkendelse – Sikr RDP-tjenester med unikke, komplekse adgangskoder og aktiver multifaktorgodkendelse.
  • Vær forsigtig med e-mails og links – Åbn ikke uventede vedhæftede filer eller klik på ukendte links, selvom de ser legitime ud.
  • Begræns administratorrettigheder – Begræns rettigheder for at reducere virkningen af potentiel malwarekørsel.
  • Installer velrenommerede sikkerhedsværktøjer – Anvend anti-malware-løsninger med ransomware-beskyttelsesfunktioner.
  • Deaktiver makroer og scripting – Mange ransomware-angreb udløses via Office-dokumenter eller scripts.
  • Segmentér netværk – Forhindr malware i at sprede sig lateralt på tværs af forretningsmiljøer.

Afsluttende tanker

Theft Ransomware fremhæver den fortsatte udvikling af Dharma-familien og dens vedvarende rolle i globale ransomware-kampagner. Kombinationen af kryptering, datatyveri og afpresning gør den særligt skadelig. Da filgendannelse ofte er umulig uden rene sikkerhedskopier, er det eneste sande forsvar lagdelt forebyggelse, stærk cyberhygiejne og pålidelige gendannelsesstrategier.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Relaterede indlæg

Trending

Mest sete

Indlæser...