INT Ransomware
Az INT Ransomware fenyegetést kifejezetten az áldozatok adatainak zárolására tervezték. A rosszindulatú program egy feltörhetetlen algoritmussal rendelkező titkosítási rutint futtat, amely hatással lesz a feltört eszközökön tárolt dokumentumokra, fényképekre, képekre, archívumokra, adatbázisokra és egyéb fájltípusokra. Az Infosec kutatói meg tudták erősíteni, hogy az INT Ransomware a korábban azonosított Makop néven ismert ransomware család egy változata.
A titkosított fájlok eredeti neve is jelentősen módosul. Az INT Ransomware hozzáfűzi hozzájuk egy egyedi azonosító karakterláncot, az „integra2022@tutanota.com” e-mail címet és az „.INT” új fájlkiterjesztést. A fenyegető eszköz egy "+README-WARNING+.txt" nevű szövegfájlt is létrehoz. Ebben a fájlban van egy váltságdíj-jegyzet az áldozatnak szóló utasításokkal.
A váltságdíjat követelő üzenetből kiderül, hogy az INT Ransomware üzemeltetői hajlandóak 2 fájlt ingyenesen visszafejteni, ezzel demonstrálva, hogy képesek visszaállítani áldozataik adatait. A kiválasztott 2 fájl azonban nem tartalmazhat fontos információkat, és nem haladhatja meg az 1 MB-ot. A támadókkal való kapcsolatfelvétel érdekében az áldozatoknak két e-mail címük van – „integra2022@tutanota.com” és „insomnia1986@tutanota.com”.
A váltságdíj teljes szövege:
'::: Üdv :::
Kis GYIK:
.1.
K: Mi történik?
V: A fájlok titkosítva vannak. A fájlszerkezet nem sérült, mindent megtettünk, hogy ez ne fordulhasson elő..2.
K: Hogyan lehet visszaállítani a fájlokat?
V: Ha vissza szeretné fejteni a fájljait, fizetnie kell nekünk..3.
K: Mi a helyzet a garanciákkal?
V: Ez csak egy üzlet. Egyáltalán nem törődünk Önnel és ajánlataival, kivéve az előnyök megszerzését. Ha nem végezzük el a munkánkat és a kötelezettségeinket - senki sem fog velünk együttműködni. Nem a mi érdekeink.
A fájlok visszaküldésének ellenőrzésére küldhet nekünk 2 db SIMPLE kiterjesztésű (jpg,xls,doc stb… nem adatbázis!) és kis méretű (maximum 1 mb) fájlt, ezeket visszafejtjük és visszaküldjük Önnek. . Ez a mi garanciánk..4.
K: Hogyan lehet kapcsolatba lépni Önnel?
V: Írhat nekünk postafiókunkba: integra2022@tutanota.com vagy insomnia1986@tutanota.com.5.
K: Hogyan folytatódik a visszafejtési folyamat a fizetés után?
V: Fizetés után elküldjük Önnek szkenner-dekódoló programunkat és részletes használati utasítást. Ezzel a programmal képes lesz az összes titkosított fájl visszafejtésére..6.
K: Ha nem akarok fizetni olyan rossz embereknek, mint te?
V: Ha nem kíván együttműködni szolgáltatásunkkal – számunkra ez nem számít. De elveszíti az idejét és az adatait, mert csak nekünk van a privát kulcsunk. A gyakorlatban - az idő sokkal értékesebb, mint a pénz.:::ÓVAKODIK:::
NE próbálja meg egyedül megváltoztatni a titkosított fájlokat!
Ha bármilyen harmadik féltől származó szoftvert próbál használni adatai visszaállításához vagy vírusirtó megoldásokhoz – kérjük, készítsen biztonsági másolatot minden titkosított fájlról!
A titkosított fájlok bármilyen változtatása a privát kulcs károsodását vonhatja maga után, és ennek eredményeként az összes adat elvesztését.
