Intel Ransomware

Istraživači su otkrili novu vrstu ransomwarea poznatu kao Intel Ransomware. Ovaj prijeteći softver infiltrira se u uređaje, kriptira pohranjene podatke i zahtijeva otkupninu u zamjenu za navodno dešifriranje ugroženih informacija.

Naime, datoteke zahvaćene Intelovim ransomwareom prolaze kroz proces preimenovanja. Izvorni nazivi datoteka prošireni su jedinstvenim identifikatorom koji je dodijeljen žrtvi, nakon čega slijedi '[intellent@ai_download_file]', a završava se ekstenzijom '.intel'. Kao ilustracija, datoteka s početnom oznakom '1.jpg' transformirala bi se u '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' nakon šifriranja.

Nakon što je proces enkripcije dovršen, žrtve nailaze na bilješke o otkupnini prikazane u skočnom prozoru i kao tekstualne datoteke pod nazivom 'README!.txt'. Ove tekstualne datoteke pohranjene su unutar svake šifrirane mape i na radnoj površini sustava. Analiza sadržaja poruke o otkupnini otkriva da Intel Ransomware cilja posebno na tvrtke i koristi dvostruku taktiku iznude. Nadalje, ovaj prijeteći program povezan je s obitelji Dharma Ransomware .

Intel Ransomware sprječava žrtve u pristupu vlastitim podacima

Intelov Ransomware demonstrira sveobuhvatan pristup šifriranjem lokalnih datoteka i datoteka koje se dijele na mreži dok ključne sistemske datoteke ostaju nepromijenjene kako bi se izbjeglo da sustav ne radi. Naime, koristi strategiju za izbjegavanje dvostruke enkripcije isključujući datoteke zaključane drugim ransomwareom. Međutim, ova metoda nije sigurna jer se oslanja na unaprijed definirani popis koji možda neće obuhvatiti sve poznate varijante ransomwarea.

Nadalje, zlonamjerni softver Intel pokazuje sofisticiranost u svom radu zatvaranjem procesa povezanih s datotekama koje bi mogle biti otvorene, kao što su čitači tekstualnih datoteka i programi baza podataka. Ova proaktivna mjera ima za cilj spriječiti sukobe za datoteke koje se smatraju "u upotrebi", osiguravajući da nisu izuzete od enkripcije.

Dharma obitelj ransomwarea, kojoj pripada zlonamjerni softver Intel, koristi strateške taktike za infiltraciju i postojanost. To uključuje isključivanje vatrozida kako bi se olakšala infiltracija i izbjeglo otkrivanje. Osim toga, tehnike za osiguravanje postojanosti uključuju:

• Kopiranje zlonamjernog softvera na stazu %LOCALAPPDATA%.
• Registriranje s posebnim ključevima Run.
• Konfiguriranje automatskog pokretanja ransomwarea nakon svakog ponovnog pokretanja sustava.

Značajan aspekt Dharma napada je njihov potencijal za ciljane akcije. Programi povezani s ovom obitelji mogu prikupljati geolokacijske podatke, dopuštajući iznimke u njihovim napadima. Ova prilagodljivost implicira da infekcije mogu imati političke ili geopolitičke motive ili mogu namjerno izbjegavati žrtve za koje je malo vjerojatno da će ispuniti zahtjeve za otkupninom, posebno u regijama sa slabim ekonomskim uvjetima.

Kako bi dodatno spriječio napore oporavka, Intel Ransomware može obrisati Shadow Volume Copies, ometajući vraćanje prethodnih verzija datoteka. Na temelju opsežnog istraživanja ransomware infekcija, očito je da je dešifriranje bez intervencije napadača obično nepremostiv izazov.

Intel Ransomware koristi taktiku dvostrukog iznuđivanja

Sadržaj u tekstualnoj datoteci služi kao kratka obavijest žrtvi da su njezini podaci šifrirani i prikupljeni. Potiče žrtvu da uspostavi komunikaciju slanjem e-pošte napadačima.

Nasuprot tome, skočna poruka pruža detaljnije informacije o infekciji ransomwareom. Ponavlja aspekte šifriranja i krađe podataka, naglašavajući hitnost situacije. Obavijest o otkupnini izdaje strogo upozorenje da će izostanak kontakta s kibernetičkim kriminalcima u roku od 24 sata ili odbijanje ispunjavanja zahtjeva za otkupninom dovesti do izlaganja ukradenog sadržaja na mračnom webu ili njegove prodaje konkurentima žrtvine tvrtke.

Kako bi se demonstrirala mogućnost oporavka, poruka nudi besplatni test dešifriranja koji se provodi na jednoj datoteci. Žrtva je također izričito obaviještena da traženje pomoći od tvrtki za oporavak može rezultirati dodatnim financijskim gubicima, budući da ti posrednici obično nameću naknade koje se dodaju iznosu otkupnine.

Međutim, često se primjećuje da žrtve, čak i nakon što ispune zahtjeve za otkupninom, ne dobiju obećane ključeve za dešifriranje ili softver. Unatoč ispunjavanju uvjeta za otkupninu, nema jamstva za oporavak datoteke. Shodno tome, istraživači snažno obeshrabruju plaćanje otkupnine, jer ne samo da ne jamči pronalaženje datoteka, već također održava i podržava kriminalne aktivnosti. Osim toga, bitno je razumjeti da, iako uklanjanje ransomwarea može zaustaviti daljnju enkripciju podataka, postupak uklanjanja ne vraća automatski prethodno ugrožene datoteke.

Intel Ransomware prikazuje sljedeću poruku o otkupnini kao skočni prozor:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Ako nam ne pišete u roku od 24 sata, počet ćemo objavljivati i prodavati vaše podatke na darknetu na hakerskim stranicama te ih nuditi vašoj konkurenciji
pošaljite nam e-poštu: intellent.ai@onionmail.org VAŠ ID -
Ako vam se ne javi u roku od 24 sata, pišite na ovu e-poštu: intellent.ai@onionmail.org

VAŽNA INFORMACIJA!
Imajte na umu da kada se vaši podaci pojave na našem mjestu curenja informacija, vaši konkurenti bi ih mogli kupiti u bilo kojem trenutku, stoga nemojte dugo oklijevati. Što prije platite otkupninu, to će prije vaša tvrtka biti sigurna.
pregledali smo sva vaša izvješća i prihode vaše tvrtke.
Jamstvo: Ako vam ne damo dekriptor ili ne izbrišemo vaše podatke nakon što platite, nitko nam neće platiti u budućnosti. Cijenimo svoj ugled.
Jamstveni ključ: Kako bismo dokazali da ključ za dešifriranje postoji, možemo besplatno testirati datoteku (ne bazu podataka i sigurnosnu kopiju).
Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka.
Ne obraćajte se tvrtkama za oporavak - one su u biti samo posrednici. Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni dodaju svoju naknadu našoj) mi smo jedini koji imaju ključeve za dešifriranje.

Tekstualne datoteke koje je stvorio Intel Ransomware sadrže sljedeću poruku:

Vaši podaci su ukradeni i šifrirani!

pošaljite nam e-poštu

intellent.ai@onionmail.org'