2700 Ransomware

Varijanta ransomwarea identificirana kao 2700 otkrivena je tijekom analize potencijalnih prijetnji zlonamjernog softvera. Ovaj štetni softver koristi mehanizam šifriranja datoteka, gdje šifrira datoteke i dodaje određene informacije nazivima datoteka. Priloženi podaci uključuju ID žrtve, adresu e-pošte sqlback@memeware.net i ekstenziju '.2700'.

Uz svoje operacije šifriranja, 2700 za sobom ostavlja dvije bilješke o otkupnini, nazvane 'info.txt' i 'info.hta', kao dio svog modusa operandi. Ove bilješke obično sadrže upute i zahtjeve napadača u vezi s plaćanjem otkupnine za ključ za dešifriranje.

Za ilustraciju kako 2700 mijenja nazive datoteka, razmotrite sljedeće primjere: '1.png' može se transformirati u '1.jpg.id[9ECFA74E-3524].[sqlback@memeware.net].2700,' i '2.doc' može postati '2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700.' Ovaj obrazac preimenovanja datoteka prikazuje dosljednu metodu koju koristi 2700 u dodavanju informacija specifičnih za žrtve u šifrirane datoteke. Korisnici koji se susreću s ovom varijantom ransomwarea trebali bi biti oprezni i primijeniti odgovarajuće sigurnosne mjere kako bi zaštitili svoje podatke i sustave. Ransomware 2700 povezan je s obitelji malwarea Phobos .

Ransomware 2700 iznuđuje svoje žrtve za novac uzimajući podatke za taoce

Obavijest o otkupnini povezana s 2700 Ransomwareom pruža detaljne upute žrtvama za uspostavljanje kontakta s počiniteljima putem navedene adrese e-pošte, sqlback@memeware.net, koristeći jedinstveni ID naveden u predmetu poruke. Zahtjev za otkupninom, koji se obično plaća u Bitcoinima, varira ovisno o brzini odgovora žrtve na poruku o otkupnini.

Kako bi se potaknula usklađenost, bilješka nudi ograničenu priliku žrtvama da pošalju do 2 datoteke za besplatno dešifriranje, pod uvjetom da ukupna veličina ne prelazi 2 megabajta i da se datoteke smatraju nekritičnim. Upute također vode žrtve o procesu dobivanja Bitcoina, upozoravaju na preimenovanje šifriranih datoteka i savjetuju da se ne pokušava dešifrirati softverom treće strane, što može dovesti do trajnog gubitka podataka.

Značajno je da 2700 poduzima strateške akcije kako bi ugrozio obranu ciljanog sustava. Onemogućuje vatrozid, temeljnu sigurnosnu mjeru, slabeći ukupnu zaštitu sustava. Osim toga, ransomware eliminira Shadow Volume Copies, zatvarajući potencijalne puteve za oporavak podataka. Iskorištavanjem ranjivosti u uslugama protokola udaljene radne površine (RDP), 2700 dobiva neovlašteni pristup brutalnom silom i napadima rječnikom, posebno na sustavima s loše upravljanim vjerodajnicama računa.

Osim funkcionalnosti enkripcije i kompromisa, 2700 pokazuje napredne mogućnosti. Prikuplja podatke o lokaciji i posjeduje mogućnost isključivanja određenih unaprijed definiranih lokacija, čime se povećava njegova dugovječnost i učinak. Ove višestrane taktike čine 2700 strašnom prijetnjom, naglašavajući važnost opsežnih praksi kibernetičke sigurnosti i povećane svijesti za suzbijanje njegovih štetnih učinaka.

Najvažnije je uspostaviti snažne sigurnosne mjere na svim uređajima

Zaštita uređaja od ransomware prijetnji zahtijeva sveobuhvatan pristup koji uključuje kombinaciju preventivnih mjera i proaktivnih praksi. Evo ključnih mjera koje bi korisnici uvijek trebali provoditi kako bi zaštitili svoje uređaje od ransomwarea:

• Redovite sigurnosne kopije : Izrada redovitih sigurnosnih kopija vaših važnih podataka na vanjskoj i izvanmrežnoj pohrani ključna je. To osigurava da čak i ako je uređaj ugrožen, korisnici mogu vratiti pogođene datoteke bez podlijeganja zahtjevima za otkupninom.
• Sigurnosni softver : Instalirajte renomirani anti-malware softver na sve uređaje. Zatim pazite da ažurirate softver i provodite redovita skeniranja kako biste otkrili i uklonili potencijalne prijetnje, uključujući ransomware.
• Ažuriranja softvera : Uvijek instalirajte nova ažuriranja za svoj softver i operativni sustav uvijek ažuriran najnovijim sigurnosnim zakrpama. Redovita ažuriranja pomažu zatvoriti ranjivosti koje ransomware i drugi zlonamjerni softver mogu iskoristiti.
• Svijest o sigurnosti e-pošte : Budite oprezni kada otvarate privitke e-pošte ili reagirate na poveznice, posebno u e-porukama iz nepoznatih ili sumnjivih izvora. Budite oprezni protiv pokušaja krađe identiteta, uobičajene metode za pokretanje napada ransomwarea.
• Obrazovanje korisnika : educirajte sebe i svoje korisnike o opasnostima ransomwarea. Obučite ih da prepoznaju pokušaje krađe identiteta, sumnjive poveznice i važnost ne preuzimanja datoteka iz nepouzdanih izvora.
• Načelo najmanje privilegije: Prihvatite načelo najmanje privilegije. Ograničite korisnička prava pristupa samo na ono što je neophodno za njihovu ulogu, smanjujući potencijalni utjecaj ako račun bude ugrožen.
• Segmentacija mreže : Izvršite segmentaciju mreže kako biste izolirali kritične sustave od ostatka mreže. To sprječava bočno kretanje ransomwarea unutar mreže.

Dosljednom implementacijom ovih mjera korisnici mogu značajno povećati sigurnosno stanje svojih uređaja i smanjiti vjerojatnost da postanu žrtve napada ransomwarea.

Žrtvama 2700 Ransomwarea ostaje sljedeća poruka o otkupnini:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'