Carver Ransomware

Infosecin tutkijat ovat löytäneet haittaohjelman, joka tunnetaan nimellä Carver. Carver Ransomware kuuluu kiristysohjelmien luokkaan, mikä tarkoittaa, että sen ensisijainen tarkoitus on salata uhrin tiedot ja sitten vaatia lunnaita tiedostojen oletetusta palauttamisesta.

Jos haittaohjelma suoritetaan tartunnan saaneilla laitteilla, se salaa tiedostot onnistuneesti ja muuttaa niiden tiedostonimiä. Tarkemmin sanottuna alkuperäisiin tiedostonimiin lisättiin yksilöllinen tunnus, verkkorikollisten sähköpostiosoite ja .Carver-tunniste. Esimerkiksi tiedosto, jonka nimi oli aiemmin 1.doc, näkyy muodossa 1.doc.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver.

Kun salausprosessi on valmis, Carver Ransomware toimittaa kaksi lunnaita, nimittäin "info.hta" ponnahdusikkunan muodossa ja "info.txt" tekstitiedostona. Nämä muistiinpanot sisältävät ohjeet lunnaiden maksamiseen ja salauksen purkuavaimen hankkimiseen. On tärkeää huomata, että Carver Ransomware on osa pahamaineista Phobos-haittaohjelmaperhettä.

Carver Ransomwaren uhreja kiristetään rahasta

Carver ransomwaren luoma tekstitiedosto yksinkertaisesti ilmoittaa uhreille, että heidän tietonsa on salattu, ja antaa ohjeita yhteydenottoon hyökkääjiin. Samaan aikaan ponnahdusikkunan viesti tarjoaa lisätietoja salauksen purkuprosessista. Tarkemmin sanottuna se ilmoittaa uhreille, että heidän on maksettava lunnaita Bitcoin-kryptovaluuttana saadakseen salauksenpurkuavaimen. Viestissä ei kuitenkaan täsmennetä lunnaiden tarkkaa määrää, mutta se kertoo, että se voi riippua siitä, kuinka nopeasti uhri ottaa yhteyttä kyberrikollisiin. Ennen maksun suorittamista uhreille annetaan mahdollisuus testata salauksen purkuprosessi tiettyjen eritelmien mukaisesti maksutta.

Ponnahdusikkunassa oleva viesti varoittaa myös salattujen tiedostojen uudelleennimeämisestä tai kolmannen osapuolen salauksenpurkutyökalujen käyttämisestä, koska se tekee tiedoista salauksen purkamattomia. Laajan analyysimme ja tuhansien kiristysohjelmatartuntojen tutkimustemme perusteella voimme päätellä, että salauksen purkaminen on yleensä mahdotonta ilman hyökkääjien osallistumista. Ainoa poikkeus saattaa olla, jos kiristysohjelma on syvästi viallinen tai vielä kehitteillä.

Lisäksi vaikka lunnaat maksettaisiin, uhrit eivät välttämättä saa luvattuja salauksenpurkuavaimia tai ohjelmistoja. Siksi suosittelemme vahvasti olemaan maksamatta lunnaita ja tukemasta tahattomasti tätä laitonta toimintaa.

Laitteidesi suojaaminen Carver Ransomwaren kaltaisilta uhilta on ratkaisevan tärkeää

Ransomware-infektiot voivat olla tuhoisia käyttäjille, koska ne voivat johtaa tärkeiden tietojen menettämiseen ja taloudellisiin menetyksiin. Käyttäjät voivat suojata laitteitaan kiristysohjelmilta useilla turvatoimilla. Yksi tärkeimmistä toimenpiteistä on pitää laitteensa ajan tasalla uusimpien tietoturvakorjausten ja -päivitysten kanssa. Tämä varmistaa, että laitteen käyttöjärjestelmän tai ohjelmiston haavoittuvuudet korjataan, mikä vaikeuttaa kiristysohjelmien hyödyntämistä.

Toinen olennainen toimenpide on välttää kyseenalaisten linkkien napsauttaminen tai tiedostojen lataaminen epäluotettavista lähteistä. Ransomware leviää usein haitallisten sähköpostiliitteiden tai linkkien kautta, joten käyttäjien tulee olla varovaisia avaaessaan tuntemattomilta lähettäjiltä tulevia sähköposteja tai napsauttamalla sähköpostissa olevia linkkejä. Heidän tulee myös käyttää virustentorjuntaohjelmistoa laitteidensa tarkistamiseen haittaohjelmien varalta ja pitää ne ajan tasalla uusimpien virusmääritelmien kanssa.

On myös tärkeää varmuuskopioida säännöllisesti tärkeitä tietoja ja tiedostoja ulkoiselle asemalle tai pilvitallennuspalveluun. Tämä voi auttaa käyttäjiä palauttamaan tietonsa, jos kiristysohjelma salaa ne. Lisäksi käyttäjien tulee luoda vahvat salasanat ja ottaa käyttöön kaksivaiheinen todennus tiliensä suojaamiseksi.

Kaiken kaikkiaan lunnasohjelmilta suojaaminen edellyttää ennaltaehkäisevien toimenpiteiden yhdistelmää, kuten ohjelmistojen päivittämistä, epäilyttävien linkkien ja liitteiden välttämistä ja virustorjuntaohjelmiston käyttöä, sekä reagoivia toimenpiteitä, kuten olennaisten tietojen ja tiedostojen varmuuskopiointia. Näiden toimien avulla käyttäjät voivat vähentää merkittävästi riskiään joutua kiristysohjelmahyökkäyksen uhriksi.

Ponnahdusikkunassa näkyvä lunnaita vaativa viesti on:

'Kaikki tiedostosi on salattu!

Kaikki tiedostosi on salattu tietokoneesi tietoturvaongelman vuoksi. Jos haluat palauttaa ne, kirjoita meille sähköpostiin ineedatool@rape.lol
Kirjoita tämä tunnus viestisi otsikkoon -
Sinun on maksettava salauksen purkamisesta Bitcoineilla. Hinta riippuu siitä, kuinka nopeasti kirjoitat meille. Maksun jälkeen lähetämme sinulle työkalun, joka purkaa kaikki tiedostosi.

Ilmainen salauksen purku takuuna
Ennen maksamista voit lähettää meille enintään 3 tiedostoa ilmaisen salauksen purkamiseksi. Tiedostojen kokonaiskoon tulee olla alle 4 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa. (tietokannat, varmuuskopiot, suuret excel-arkit jne.)

Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita paikkoja ostaa Bitcoineja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.

Tekstitiedosto sisältää seuraavan viestin:

!!!Kaikki tiedostosi ovat salattuja!!!
Purkaa niiden salaus lähettämällä sähköpostia tähän osoitteeseen: ineedatool@rape.lol.'