Intel Ransomware
Teadlased on avastanud uue lunavara tüve, mida tuntakse Inteli lunavarana. See ähvardav tarkvara tungib seadmetesse, krüpteerib salvestatud andmed ja nõuab vastutasuks rikutud teabe väidetava dekrüpteerimise eest lunaraha.
Inteli lunavara poolt mõjutatud failid läbivad ümbernimetamise. Algseid failinimesid täiendatakse ohvrile määratud kordumatu identifikaatoriga, millele järgneb '[intellent@ai_download_file]' ja need on lõppenud laiendiga '.intel'. Näitena muudetaks algselt tähisega '1.jpg' olev fail '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel'i järelkrüpteerimiseks.
Kui krüpteerimisprotsess on lõppenud, näevad ohvrid lunaraha märkmeid nii hüpikaknas kui ka tekstifailidena nimega "README!.txt". Need tekstifailid hoiustatakse igas krüptitud kaustas ja süsteemi töölaual. Lunaraha sisu analüüs näitab, et Intel Ransomware on suunatud konkreetselt ettevõtetele ja kasutab topeltväljapressimise taktikat. Lisaks on see ähvardav programm seotud Dharma Ransomware perekonnaga.
Inteli lunavara takistab ohvritel juurdepääsu oma andmetele
Intel Ransomware demonstreerib kõikehõlmavat lähenemist, krüpteerides nii kohalikud kui ka võrgus jagatud failid, samas kui olulised süsteemifailid jäävad muutumatuks, et vältida süsteemi mittetoimivaks muutmist. Eelkõige kasutab see strateegiat topeltkrüptimise vältimiseks, välistades muu lunavara poolt lukustatud failid. See meetod ei ole aga lollikindel, kuna tugineb eelmääratletud loendile, mis ei pruugi hõlmata kõiki teadaolevaid lunavaravariante.
Lisaks näitab Inteli pahavara töö keerukust, sulgedes protsessid, mis on seotud failidega, mis võivad olla avatud, nagu tekstifaililugejad ja andmebaasiprogrammid. Selle ennetava meetme eesmärk on vältida konflikte „kasutatud” failide puhul, tagades, et need ei ole krüptimisest vabastatud.
Dharma lunavara perekond, kuhu Inteli pahavara kuulub, kasutab sissetungimiseks ja püsimiseks strateegilist taktikat. See hõlmab tulemüüri väljalülitamist, et hõlbustada sissetungimist ja vältida tuvastamist. Lisaks hõlmavad püsivust tagavad tehnikad:
-
- Pahavara kopeerimine %LOCALAPPDATA% teele.
-
- Selle registreerimine konkreetsete Run-klahvidega.
-
- Lunavara automaatse käivitamise konfigureerimine pärast iga süsteemi taaskäivitamist.
Dharma rünnakute märkimisväärne aspekt on nende potentsiaal sihipärasteks tegevusteks. Selle perekonnaga seotud programmid saavad koguda geograafilise asukoha andmeid, võimaldades nende rünnakutes erandeid. See kohanemisvõime tähendab, et nakkustel võivad olla poliitilised või geopoliitilised motiivid või nad võivad sihikindlalt vältida ohvreid, kes tõenäoliselt ei täida lunaraha nõudeid, eriti nõrkade majandustingimustega piirkondades.
Taastepüüdluste edasiseks takistamiseks võib Inteli lunavara kustutada Shadow Volume Copies'i koopiad, takistades failide eelmiste versioonide taastamist. Lunavaranakkuste ulatuslike uuringute põhjal on ilmne, et dekrüpteerimine ilma ründajate sekkumiseta on tavaliselt ületamatu väljakutse.
Inteli lunavara kasutab topeltväljapressimise taktikat
Tekstifaili sisu on ohvrile lühiteatis, mis annab teada, et tema andmed on krüptitud ja kogutud. See ajendab ohvrit suhtlema, saates ründajatele e-kirja.
Seevastu hüpikteade annab täpsemat teavet lunavaranakkuse kohta. See kordab krüptimise ja andmete varguse aspekte, rõhutades olukorra kiireloomulisust. Lunarahalehel antakse range hoiatus, et küberkurjategijatega 24 tunni jooksul ühendust võtmata jätmine või lunarahanõuet täitmata jätmine toob kaasa varastatud sisu paljastamise pimedas veebis või selle müümise ohvri ettevõtte konkurentidele.
Taastamise võimaluse demonstreerimiseks pakub sõnum tasuta dekrüpteerimistesti, mis viiakse läbi ühe failiga. Ohvrit teavitatakse ka selgesõnaliselt sellest, et abi otsimine sissenõudmisettevõtetelt võib kaasa tuua täiendavaid rahalisi kaotusi, kuna need vahendajad nõuavad tavaliselt tasusid, mis lisatakse lunarahasummale.
Siiski on sageli täheldatud, et ohvrid ei saa isegi pärast lunarahanõuete täitmist lubatud dekrüpteerimisvõtmeid ega tarkvara. Vaatamata lunarahanõuete täitmisele pole failide taastamise tagatist. Seetõttu ei soovita teadlased lunaraha maksmist tungivalt, kuna see mitte ainult ei taga failide kättesaamist, vaid ka põlistab ja toetab kuritegelikku tegevust. Lisaks on oluline mõista, et kuigi lunavara eemaldamine võib peatada andmete edasise krüptimise, ei taasta eemaldamisprotsess automaatselt varem ohustatud faile.
Intel Ransomware kuvab hüpikaknana järgmise lunaraha:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
Kui te meile 24 tunni jooksul ei kirjuta, hakkame teie andmeid häkkerisaitidel pimedas võrgus avaldama ja müüma ning pakume teavet teie konkurentidele.
saatke meile e-kiri: intellent.ai@onionmail.org TEIE ID -
Kui te ei ole 24 tunni jooksul vastu võtnud, kirjutage sellele e-posti aadressile: intellent.ai@onionmail.orgTÄHTIS TEAVE!
Pidage meeles, et kui teie andmed ilmuvad meie lekkesaidile, võivad teie konkurendid need iga hetk osta, seega ärge kõhelge kaua. Mida varem lunaraha maksate, seda varem on teie ettevõte kaitstud.
vaatasime läbi kõik teie aruanded ja teie ettevõtte tulud.
Garantii: kui me ei paku teile dekrüpteerijat ega kustuta teie andmeid pärast maksmist, ei maksa meile tulevikus keegi. Hindame oma mainet.
Garantiivõti: dekrüpteerimisvõtme olemasolu tõestamiseks saame faili (mitte andmebaasi ja varukoopiat) tasuta testida.
Ärge proovige oma andmeid kolmanda osapoole tarkvara abil dekrüpteerida, see võib põhjustada püsivat andmekadu.
Ärge pöörduge taastamisettevõtete poole – nad on sisuliselt vaid vahendajad. Teie failide dekrüpteerimine kolmandate osapoolte abiga võib põhjustada hinnatõusu (nad lisavad oma tasu meie tasudele) oleme ainsad, kellel on dekrüpteerimisvõtmed.Intel Ransomware loodud tekstifailid sisaldavad järgmist teadet:
Teie andmed on varastatud ja krüpteeritud!
saatke meile e-kiri
intellent.ai@onionmail.org'
