Intel Ransomware

Tutkijat ovat löytäneet uuden ransomware-ohjelman, joka tunnetaan nimellä Intel Ransomware. Tämä uhkaava ohjelmisto tunkeutuu laitteisiin, salaa tallennetut tiedot ja vaatii lunnaita vastineeksi väitetystä vaarantuneiden tietojen salauksen purkamisesta.

Erityisesti Intel ransomwaren vaikuttamat tiedostot nimetään uudelleen. Alkuperäisiä tiedostonimiä on täydennetty uhrille annetulla yksilöllisellä tunnisteella, jota seuraa '[intellent@ai_download_file]' ja päätetään .intel-tunnisteella. Esimerkkinä tiedosto, jonka nimi on alun perin '1.jpg', muutetaan '1.jpg.id-9ECFA93E[intellent@ai_download_file].intel' -salaukseksi.

Kun salausprosessi on valmis, uhrit kohtaavat lunnaita, jotka esitetään sekä ponnahdusikkunassa että tekstitiedostoina nimeltä "README!.txt". Nämä tekstitiedostot tallennetaan kuhunkin salattuun kansioon ja järjestelmän työpöydälle. Lunnassetelien sisällön analyysi paljastaa, että Intel Ransomware on kohdistettu erityisesti yrityksiin ja käyttää kaksinkertaista kiristystaktiikkaa. Lisäksi tämä uhkaava ohjelma on sidoksissa Dharma Ransomware -perheeseen.

Intel Ransomware estää uhreja pääsemästä omiin tietoihinsa

Intel Ransomware esittelee kattavan lähestymistavan salaamalla sekä paikalliset että verkon jaetut tiedostot, kun taas tärkeimmät järjestelmätiedostot pysyvät ennallaan, jotta järjestelmä ei toimi. Erityisesti se käyttää strategiaa, jolla vältetään kaksinkertainen salaus sulkemalla pois muiden kiristysohjelmien lukitsemat tiedostot. Tämä menetelmä ei kuitenkaan ole idioottivarma, koska se perustuu ennalta määritettyyn luetteloon, joka ei välttämättä kata kaikkia tunnettuja kiristysohjelmien muunnelmia.

Lisäksi Intel-haittaohjelmien toiminta on kehittynyttä sulkemalla mahdollisesti avoimiin tiedostoihin liittyvät prosessit, kuten tekstitiedostojen lukijat ja tietokantaohjelmat. Tämän ennakoivan toimenpiteen tarkoituksena on estää "käytössä olevien" tiedostojen ristiriidat ja varmistaa, että niitä ei vapauteta salauksesta.

Dharman kiristysohjelmien perhe, johon Intel-haittaohjelma kuuluu, käyttää strategista taktiikkaa soluttautumisen ja pysyvyyden vuoksi. Tähän sisältyy palomuurin sammuttaminen tunkeutumisen helpottamiseksi ja havaitsemisen välttämiseksi. Lisäksi pysyvyyttä varmistaviin tekniikoihin kuuluu:

• Haittaohjelman kopioiminen %LOCALAPPDATA% polkuun.
• Rekisteröi se tietyillä Run-näppäimillä.
• Kiristysohjelman automaattisen käynnistyksen määrittäminen jokaisen järjestelmän uudelleenkäynnistyksen jälkeen.

Merkittävä piirre dharma-iskuissa on niiden mahdollisuudet kohdennettuihin toimiin. Tähän perheeseen liittyvät ohjelmat voivat kerätä paikannustietoja sallien poikkeuksia hyökkäyksissään. Tämä sopeutumiskyky tarkoittaa, että tartunnalla voi olla poliittisia tai geopoliittisia motiiveja tai ne voivat tarkoituksellisesti välttää uhreja, jotka eivät todennäköisesti täytä lunnaita, erityisesti alueilla, joilla on heikko taloustilanne.

Palautuspyrkimysten estämiseksi entisestään Intel Ransomware voi poistaa Shadow Volume Copies -kopiot, mikä estää tiedostojen aiempien versioiden palauttamisen. Laajan ransomware-infektioiden tutkimuksen perusteella on selvää, että salauksen purkaminen ilman hyökkääjien väliintuloa on tyypillisesti ylitsepääsemätön haaste.

Intel Ransomware käyttää kaksoiskiristystaktiikkaa

Tekstitiedoston sisältö toimii lyhyenä ilmoituksena uhrille, joka kertoo, että hänen tiedot on salattu ja kerätty. Se kehottaa uhria ottamaan yhteyttä lähettämällä sähköpostia hyökkääjille.

Sitä vastoin ponnahdusikkuna tarjoaa tarkempaa tietoa kiristysohjelmatartunnasta. Se toistaa salaukseen ja tietovarkauksiin liittyvät näkökohdat ja korostaa tilanteen kiireellisyyttä. Lunnasseteissä varoitetaan tiukasti, että jos 24 tunnin kuluessa ei saada yhteyttä kyberrikollisiin tai kieltäydytään noudattamasta lunnaita, seurauksena on varastetun sisällön paljastaminen pimeässä verkossa tai sen myynti uhrin yrityksen kilpailijoille.

Palautusmahdollisuuden osoittamiseksi viesti tarjoaa ilmaisen salauksen purkutestin, joka suoritetaan yhdelle tiedostolle. Uhrille kerrotaan myös nimenomaisesti, että avun hakeminen perintäyrityksiltä voi johtaa ylimääräisiin taloudellisiin menetyksiin, koska nämä välittäjät tyypillisesti perivät maksuja, jotka lisätään lunnaiden määrään.

Usein kuitenkin havaitaan, että uhrit eivät saa lunattuja avaimia tai ohjelmistoja edes lunnaita koskevien vaatimusten täyttämisen jälkeen. Vaikka lunnaita koskevat vaatimukset täyttyvät, tiedostojen palautuksesta ei ole takeita. Tästä syystä tutkijat eivät suosittele lunnaiden maksamista, koska se ei vain takaa tiedostojen palauttamista, vaan myös ylläpitää ja tukee rikollista toimintaa. Lisäksi on tärkeää ymmärtää, että vaikka kiristysohjelmien poistaminen voi pysäyttää tietojen salauksen, poistoprosessi ei palauta automaattisesti aiemmin vaarantuneita tiedostoja.

Intel Ransomware näyttää seuraavan lunnasilmoituksen ponnahdusikkunana:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Jos et kirjoita meille 24 tunnin kuluessa, alamme julkaista ja myydä tietojasi darknetissä hakkerisivustoilla ja tarjota tietojasi kilpailijoillesi
lähetä meille sähköpostia: intellent.ai@onionmail.org ID-tunnuksesi -
Jos et ole saanut vastausta 24 tunnin kuluessa, kirjoita tähän sähköpostiin: intellent.ai@onionmail.org

TÄRKEÄÄ TIETOA!
Muista, että kun tietosi ilmestyvät vuotosivustollemme, kilpailijasi voivat ostaa ne milloin tahansa, joten älä epäröi pitkään. Mitä nopeammin maksat lunnaat, sitä nopeammin yrityksesi on turvassa.
olemme tarkastelleet kaikki raportit ja yrityksesi tulot.
Takuu: Jos emme tarjoa sinulle salauksenpurkua tai poista tietojasi maksamisen jälkeen, kukaan ei maksa meille jatkossa. Arvostamme mainettamme.
Takuuavain: Voimme testata tiedostoa (ei tietokantaa ja varmuuskopiota) ilmaiseksi todistaaksemme salauksen purkuavaimen olemassaolon.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Älä mene palautusyrityksiin - ne ovat pohjimmiltaan vain välittäjiä. Tiedostojesi salauksen purku kolmansien osapuolien avulla voi aiheuttaa hinnannousua (he lisäävät maksunsa meidän hintaan) olemme ainoita, joilla on salauksen purkuavaimet.

Intel Ransomwaren luomat tekstitiedostot sisältävät seuraavan viestin:

Tietosi on varastettu ja salattu!

Lähetä meille sähköpostia

intellent.ai@onionmail.org'