Arai Ransomware
Az Arai Ransomware egy káros fenyegetés, amelyet az általa megfertőzött eszközökön tárolt adatok titkosítására terveztek. Az Arai Ransomware számos olyan fájltípust képes megcélozni, amelyek az adattitkosítást követően használhatatlan állapotban maradnak. A használt kriptográfiai algoritmus biztosítja, hogy az érintett fájlokat szinte lehetetlen visszaállítani a megfelelő visszafejtési kulcsok nélkül. Meg kell jegyezni, hogy úgy tűnik, hogy az Arai Ransomware kifejezetten a vállalati entitások megfertőzésére irányul.
Az Arai Ransomware úgy módosítja az általa zárolt fájlok eredeti nevét, hogy új fájlkiterjesztésként hozzáfűzi az „.araicrypt” fájlt. Az Arai Ransomware által okozott, feltört eszközökön végrehajtott változtatások között szerepel egy új szöveges fájl létrehozása is, melynek neve "READ_TO_RESTORE_YOUR_FILES.txt". A fájl az eszköz asztalára kerül, és az a szerepe, hogy a kiberbûnözõk utasításait tartalmazó váltságdíj-levelet hordozzon.
A Ransom Note részletei
A váltságdíjat követelő üzenetben az Arai Ransomware bűnözői üzemeltetői elárulják, hogy kettős zsarolási műveletet hajtanak végre. Amellett, hogy megakadályozzák, hogy az áldozatok hozzáférjenek saját fájljaikhoz, a támadók érzékeny vagy bizalmas információkat is gyűjtenek a fertőzött rendszerekről. A megjegyzés szerint a rosszindulatú program törölte a titkosított fájlok összes biztonsági másolatát és árnyékkötet-másolatát.
A kiszűrt adatokat további befolyásként használják fel, hogy az áldozatokat a követelt váltságdíj megfizetésére ösztönözzék. Ellenkező esetben a hackerek azzal fenyegetőznek, hogy nyilvánosságra hozzák a személyes adatokat, vagy eladják azokat bármely érdekelt félnek. Ezenkívül az áldozatoknak láthatóan csak 48 órájuk van, hogy megfeleljenek a kiberbűnözők követeléseinek. Ezen időszak lejárta után a hackerek nem hajlandók segíteni a titkosított fájlok visszaállításában, és az összegyűjtött információkat közzétenni.
A váltságdíj-jegyzet két e-mail címet hagy az áldozatoknak, amelyek kommunikációs csatornaként szolgálhatnak. A fő cím az „AraiHelp@secmail.pro”, míg az „AraiHelp2@secmail.pro” tartalékként szolgál.
Az Arai Ransomware üzenetének teljes szövege:
'===========================================
All Your Files Have Been Encrypted !!
===========================================
All of your backups and shadow copies have also been deleted so forget restoring
them.
===========================================
We also have been able to steal your confidential files (databases, customers data's,
HR etc...) all over your network workstations and servers.
===========================================
If you want to hear your mind instead of our instructions, you will loose stupidly your
files but you will also see your files being published online or sell to tiers (and we'll do it)
In this case, beleive us that you're going to suffer a big financial loss and a big loss
of reputation.
===========================================
We are aware that you don't want this case too happens.
If you want to restore files and want us to delete your confidentials files, contact us right
with a message to the contact address below. Include the KeyID in your message pls.
===========================================
AraiHelp@secmail.pro
If there's no answers from us in the next 15 hours, contact us to :
AraiHelp2@secmail.pro
Note that you have only 48 hours to contact us. After this delay, there will be no data
recovered and your files will be published.
Key Identifier:'
