Carver Ransomware

Az Infosec kutatói egy Carver néven ismert rosszindulatú programot fedeztek fel. A Carver Ransomware a ransomware kategóriába tartozik, ami azt jelenti, hogy elsődleges célja az áldozat adatainak titkosítása, majd váltságdíj követelése a fájlok feltételezett visszaállításáért.

Ha a fertőzött eszközökön végrehajtják, a kártevő sikeresen titkosítja a fájlokat, és módosítja a fájlneveiket. Pontosabban, az eredeti fájlnevekhez egyedi azonosítót, a kiberbűnözők e-mail címét és egy „.Carver” kiterjesztést adtak hozzá. Például egy korábban „1.doc” nevű fájl „1.doc.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver” alakban jelenik meg.

A titkosítási folyamat befejezése után a Carver Ransomware két váltságdíjat fog kiküldeni, nevezetesen az „info.hta”-t egy felugró ablak formájában és az „info.txt”-t szövegfájlként. Ezek a megjegyzések a váltságdíj kifizetésére és a visszafejtési kulcs megszerzésére vonatkozó utasításokat tartalmaznak. Fontos megjegyezni, hogy a Carver Ransomware a hírhedt Phobos malware család része.

A Carver Ransomware áldozatait pénzért zsarolják ki

A Carver ransomware által generált szöveges fájl egyszerűen tájékoztatja az áldozatokat, hogy adataikat titkosították, és utasításokat ad a támadókkal való kapcsolatfelvételhez. Eközben a felugró ablak további részleteket tartalmaz a visszafejtési folyamatról. Konkrétan arról tájékoztatja az áldozatokat, hogy váltságdíjat kell fizetniük Bitcoin kriptovalutában a visszafejtési kulcs megszerzéséhez. Az üzenet azonban nem határozza meg a váltságdíj pontos összegét, de azt jelzi, hogy ez attól függhet, hogy az áldozat milyen gyorsan veszi fel a kapcsolatot a kiberbûnözõkkel. Fizetés előtt az áldozatok ingyenesen tesztelhetik a visszafejtési folyamatot bizonyos specifikációk szerint.

A felugró ablakban megjelenő üzenet arra is figyelmeztet, hogy ne nevezze át a titkosított fájlokat, illetve ne használjon harmadik féltől származó visszafejtő eszközöket, mivel ezzel az adatok visszafejthetetlenné válnak. Kiterjedt elemzésünk és több ezer ransomware-fertőzés kutatása alapján arra következtethetünk, hogy a visszafejtés jellemzően lehetetlen a támadók bevonása nélkül. Az egyetlen kivétel az lehet, ha a ransomware mélyen hibás vagy még fejlesztés alatt áll.

Továbbá, még ha a váltságdíjat ki is fizetik, előfordulhat, hogy az áldozatok nem kapják meg az ígért visszafejtő kulcsokat vagy szoftvereket. Ezért nyomatékosan javasoljuk, hogy ne fizessen váltságdíjat és támogassa ezt az illegális tevékenységet.

Eszközeinek védelme olyan fenyegetésekkel szemben, mint a Carver Ransomware, kulcsfontosságú

A ransomware fertőzések pusztító hatással lehetnek a felhasználókra, mivel fontos adatok elvesztését és pénzügyi veszteségeket okozhatnak. Annak érdekében, hogy megvédjék eszközeiket a zsarolóvírusoktól, a felhasználók számos biztonsági intézkedést tehetnek. Az egyik legfontosabb intézkedés, hogy eszközeiket naprakészen tartsák a legújabb biztonsági javításokkal és frissítésekkel. Ez biztosítja, hogy az eszköz operációs rendszerében vagy szoftverében található sérülékenységeket kijavítsák, ami megnehezíti a zsarolóprogramok kihasználását.

Egy másik lényeges intézkedés, hogy ne kattintsunk a kétes hivatkozásokra, vagy ne töltsünk le fájlokat nem megbízható forrásokból. A zsarolóvírusok gyakran rosszindulatú e-mail mellékleteken vagy hivatkozásokon keresztül terjednek, ezért a felhasználóknak óvatosnak kell lenniük, amikor ismeretlen feladótól származó e-maileket nyitnak meg, vagy az e-mailekben található hivatkozásokra kattintanak. Ezenkívül víruskereső szoftvert kell használniuk az eszközeik rosszindulatú programjainak ellenőrzésére, és naprakészen kell tartaniuk azokat a legújabb vírusleírásokkal.

Az is kulcsfontosságú, hogy rendszeresen biztonsági másolatot készítsen az alapvető adatokról és fájlokról egy külső meghajtóra vagy felhőalapú tárhelyszolgáltatásra. Ez segíthet a felhasználóknak abban, hogy visszaállítsák adataikat abban az esetben, ha zsarolóvírus titkosítja azokat. Ezenkívül a felhasználóknak erős jelszavakat kell létrehozniuk, és lehetővé kell tenniük a kéttényezős hitelesítést fiókjaik biztonsága érdekében.

Összességében a zsarolóprogramok elleni védelem megelőző intézkedések kombinációját igényli, például szoftverfrissítést, gyanús hivatkozások és mellékletek elkerülését, vírusirtó szoftver használatát, valamint reaktív intézkedéseket, például az alapvető adatok és fájlok biztonsági mentését. Ezekkel a lépésekkel a felhasználók jelentősen csökkenthetik annak kockázatát, hogy ransomware támadás áldozatává váljanak.

Az előugró ablakban megjelenő váltságdíjat követelő üzenet a következő:

'Minden fájlja titkosítva van!

A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk az ineedatool@rape.lol e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.

Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)

Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

A szöveges fájl a következő üzenetet tartalmazza:

!!!Az összes fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: ineedatool@rape.lol.'