Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware Theft Ransomware

Theft Ransomware

Mezo -ra Ransomware-ben
Fordítás ide:

A modern fenyegetési környezet könyörtelen. A kiberbűnözők folyamatosan finomítják eszközeiket, hogy kihasználhassák a felkészületlen felhasználókat. Ezen fenyegetések közül a legkárosabbak közé tartozik a zsarolóvírus, egy olyan rosszindulatú szoftver, amely titkosítja az adatokat és pénzt zsarol ki az áldozatokból. Az egyik ilyen feltörekvő változat a Theft Ransomware néven ismert, amelyet már megfigyeltek, amint pusztítást végez a gyanútlan rendszereken.

Mi teszi veszélyessé a lopás elleni zsarolóvírusokat?

A Theft Ransomware egy új törzs, amely a hírhedt Dharma zsarolóvírus-családhoz kapcsolódik, amely csoport közismerten magánszemélyeket és szervezeteket egyaránt céloz meg. Az eszközre való bejutás után a rosszindulatú program titkosítja a fájlokat, és átnevezi azokat a következők hozzáfűzésével:

  • Egyedi áldozatazonosító
  • A támadók e-mail címe
  • A „.theft” kiterjesztés

Például az „1.png” fájlból „1.png.id-9ECFA84E.[datatheft@tuta.io].theft” lesz.

Az áldozatok ezután váltságdíjat követelő üzeneteket kapnak szöveges fájlok („info.txt”) és egy felugró ablak formájában. Míg a szöveges üzenet tömör, és csak az elérhetőségeket tartalmazza, a felugró ablak további részleteket kínál, beleértve azt a biztosítékot, hogy az adatok helyreállítása lehetséges, ha a váltságdíjat kifizetik. A támadók még „dekódolási bizonyítékot” is kínálnak azzal, hogy három kis, nem kritikus fájl ingyenes visszaállítását teszik lehetővé.

A nyomás fokozása érdekében a bűnözők azt állítják, hogy érzékeny üzleti adatokat loptak el, és azzal fenyegetőznek, hogy kiszivárogtatják azokat, ha a fizetést megtagadják.

A fenyegetés technikai jellemzői

A többi Dharma-alapú változathoz hasonlóan a Theft Ransomware sem zárolja le a teljes rendszereket, hanem titkosítja a helyi és a hálózaton megosztott fájlokat. A rosszindulatú program aktívan:

  • Leállítja a használatban lévő fájlokhoz (adatbázisok, olvasók stb.) kapcsolódó folyamatokat.
  • Átmásolja magát a %LOCALAPPDATA% elérési útra, és regisztrálja a megmaradást a Run kulcsokon keresztül.
  • Automatikus indítást állít be a rendszer újraindításával
  • Törli a kötet árnyékmásolatait a könnyű helyreállítás megakadályozása érdekében

A rosszindulatú program geolokációs adatokat is gyűjt annak megállapítására, hogy folytatni kell-e a titkosítást, esetleg bizonyos régiók kizárásával.

Hogyan terjed a fertőzés

A Theft Ransomware többféle behatolási taktikát alkalmaz, amelyek közül a leggyakoribbak a gyengén védett RDP (Remote Desktop Protocol) szolgáltatások. A rosszul védett fiókok elleni nyers erő és szótáras támadások gyakori belépési pontok. A bejutás után a rosszindulatú program akár a tűzfalakat is letilthatja a működése megkönnyítése érdekében.

További ismert terjesztési csatornák a következők:

Adathalászat és pszichológiai manipuláció – Rosszindulatú mellékletek vagy linkek e-mailekben, közvetlen üzenetekben és bejegyzésekben.

Trójaiak és hátsó ajtók – A zsarolóvírusok csendes telepítésére szolgálnak.

Rosszindulatú hirdetések és spontán letöltések – Egyszerűen egy feltört webhely meglátogatása aktiválja őket.

Gyanús szoftverforrások – Kalózeszközök, ingyenes szoftvercsomagok és hamis frissítések.

Cserélhető adathordozók és helyi hálózatok – Lehetővé teszik a kártevő terjedését a rendszeren belül, miután megérkezik.

Miért kockázatos a váltságdíj kifizetése?

A lopás által titkosított fájlok visszafejtése a támadó kulcsa nélkül szinte lehetetlen. Míg egyes zsarolóvírus-variánsok hibásak, a Dharma-alapú fenyegetések általában szilárdan felépítettek. Fontos megjegyezni, hogy a váltságdíj kifizetése nem garantálja a felépülést, sok áldozat üres kézzel marad még a pénzátutalás után is. Ami még rosszabb, a fizetés csak további bűncselekményeket finanszíroz.

A zsarolóvírusok elleni védelem megerősítése

A zsarolóvírusok elleni küzdelem legjobb módja a megelőzés. Mivel a rosszindulatú program eltávolítása nem állítja vissza automatikusan a titkosított fájlokat, a felhasználóknak a rugalmasságra és a proaktív védelemre kell összpontosítaniuk. A legfontosabb gyakorlatok, amelyeket minden felhasználónak alkalmaznia kell, a következők:

  • Rendszeres biztonsági mentések – A fontos fájlokról több biztonságos helyen, például offline meghajtókon és a fertőzött rendszerhez nem rendelt felhőszolgáltatásokban készíthet másolatot.
  • Szoftverek és rendszerek frissítése – Javítások alkalmazása a zsarolóvírusok által kihasznált sebezhetőségek megszüntetésére.
  • Használjon erős hitelesítést – Biztosítsa az RDP-szolgáltatásokat egyedi, összetett jelszavakkal, és engedélyezze a többtényezős hitelesítést.
  • Legyen óvatos az e-mailekkel és linkekkel – Ne nyisson meg váratlan mellékleteket, és ne kattintson ismeretlen linkekre, még akkor sem, ha azok jogosnak tűnnek.
  • Korlátozza a rendszergazdai jogokat – Korlátozza a jogosultságokat a potenciális rosszindulatú programok végrehajtásának hatásának csökkentése érdekében.
  • Telepítsen megbízható biztonsági eszközöket – Használjon kártevőirtó megoldásokat zsarolóvírus-védelmi funkciókkal.
  • Makrók és szkriptek letiltása – Sok zsarolóvírus-támadást Office-dokumentumok vagy szkriptek indítanak el.
  • Szegmentált hálózatok – Megakadályozza a rosszindulatú programok terjedését az üzleti környezetekben.

Záró gondolatok

A Theft Ransomware rávilágít a Dharma család folyamatos fejlődésére és a globális zsarolóvírus-kampányokban betöltött tartós szerepére. A titkosítás, az adatlopás és a zsarolás kombinációja különösen károssá teszi. Mivel a fájlok helyreállítása gyakran lehetetlen tiszta biztonsági mentések nélkül, az egyetlen valódi védelem a többrétegű megelőzés, az erős kiberhigiénia és a megbízható helyreállítási stratégiák.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Kapcsolódó hozzászólások

„Grand Theft Auto (GTA) VI Giveaway” átverés

Adathalászat, Spam
Az úgynevezett „Grand Theft Auto (GTA) VI Giveaway” egy csalárd kriptográfiai rendszer, amelyet stratégiailag úgy alakítottak ki, hogy kihasználják azokat az egyéneket, akik szívesen fedezik fel a kriptovaluta szektorban rejlő lehetőségeket. Ennek az átverésnek az elkövetői megtévesztő megközelítést alkalmaznak, és ingyenes digitális eszközöket kínáló nagylelkű entitásoknak adják ki magukat....

Felkapott

Legnézettebb

Betöltés...