Prestige Ransomware

Prestige Ransomware prijeteći je alat koji kibernetički kriminalci koriste za zaključavanje podataka svojih žrtava. Ova konkretna kampanja napada prvenstveno je usmjerena na ciljeve u Ukrajini i Poljskoj. Nadalje, akteri prijetnje isporučuju zlonamjerni softver za krađu informacija prije nego ispuste Prestige Ransomware putem PowerShell-a, uslužnog programa Windows Scheduled Task ili Default Domain Group Policy Object. Da bi izvršila svoju rutinu šifriranja, prijetnja mora imati administrativne ovlasti. Također pokušava zaustaviti MSSQL Windows uslugu, kao način da se osigura uspješno šifriranje.

Nakon što se aktivira, Prestige će skenirati zaraženi sustav i zaključati dokumente, PDF-ove, slike, fotografije, arhive, baze podataka i još mnogo toga. Svaka šifrirana datoteka imat će ".enc" pridružen svom nazivu kao novu ekstenziju. Žrtvama će biti ostavljena poruka o otkupnini koja se nalazi unutar datoteke pod nazivom 'README'.

Upute pružaju vrlo malo korisnih informacija. Napadači jednostavno navode da ih žrtve moraju kontaktirati slanjem poruke na adresu e-pošte 'Prestige.ranusomeware@Proton.me' kako bi dobile dodatne pojedinosti o tome kako od njih dobiti alat za dešifriranje. Obavijest o otkupnini završava dvama upozorenjima da ne pokušavate dešifrirati podatke softverom treće strane ili ih preimenovati jer to može prouzročiti trajno oštećenje datoteka.

Potpuni tekst bilješke Prestige Ransomwarea je:

'VAŠI OSOBNI DOSJEJI SU ŠIFRIRANI.

Za dešifriranje svih podataka morat ćete kupiti naš softver za dešifriranje.
Kontaktirajte nas Prestige.ranusomeware@Proton.me. U pismu upišite svoj ID = .

PAŽNJA *

Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka.

Nemojte modificirati ili preimenovati šifrirane datoteke. Izgubit ćeš ih.'