Pysa Ransomware

„Pysa Ransomware" yra viena iš naujausių aptiktų išpirkos programų grėsmių. Kibernetinio saugumo tyrinėtojai, pastebėję „Pysa Ransomware", įsigilinę į tai giliau, jie nustatė, kad ši grėsmė priklauso „ Mespinoza Ransomware" šeimai. Daugelis išpirkos programinės įrangos grėsmių veikia gana identiškai - jos būtų įsiskverbusios į tikslinę sistemą, užšifruojančios joje esančius duomenis, o tada paprašytų aukos sumokėti išpirkos mokestį, kad gautų iššifravimo raktą, kuris turėtų atrakinti paveiktus failus. . Dažniausiai išpirkos programų autoriai reikalautų gana didelių sumų, retai mažesnių nei keli šimtai dolerių.

Dauginimas ir šifravimas

Daugelis „ransomware" grėsmių kūrėjų pasirenka masinio šlamšto el. Pašto kampanijas, norėdami skleisti savo failus šifruojančius Trojos arklius. Paprastai tai daroma el. Laiške, kuriame yra suklastotas pranešimas, skirtas įtikinti tikslą pradėti neva nekenksmingą priedą. Deja, priedas paprastai būna pritvirtintas prie makrokomandų ir pakenkiant jų sistemai jį įgyvendinant. Yra keletas kitų infekcijų pernešėjų, kurie yra gana populiarūs šios klasės grėsmių paskirstymo įrankiai - apgaulingas programinės įrangos atsisiuntimas ir atnaujinimas, fiktyvios piratinės populiarių programų ar laikmenų kopijos, „torrent" stebėjimo priemonės ir kt. „Pysa Ransomware" pasirūpins, kad būtų užšifruota daugybė įvairių populiarūs failų tipai, kuriuos greičiausiai rasite bet kurio nuolatinio vartotojo kompiuteryje - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .dxx, .ppt, .rar, .xls, .xlsx ir kt. Kai „Pysa Ransomware" pritaikys savo šifravimo algoritmą ir užrakins tikslinius duomenis, visus susijusius failus bus nenaudojami. Plėtinys, kurį „Pysa Ransomware" prideda prie naujai užrakintų failų, yra „.pysa". Pvz., Garso failo, kuris prieš išpuolį buvo vadinamas „shining-lights.mp3", pavadinimas būtų pakeistas į „shining-lights.mp3.pysa", kai šis duomenis užrakinantis Trojos arklys jį užšifruos.

„The Ransom Note"

Užbaigus šifravimo procesą, „Pysa Ransomware" nusiųs išpirkos pranešimą į failą pavadinimu „Readme.README.txt". Užraše rašoma:

„Sveika kompanija,

Kiekvienas baitas bet kokio tipo jūsų įrenginiuose buvo užšifruotas.
Nemėginkite naudoti atsarginių kopijų, nes jos taip pat buvo užšifruotos.
Norėdami gauti visus savo duomenis, susisiekite su mumis:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
DUK:
1.
Kl .: Kaip aš galiu įsitikinti, kad manęs neapgaudinėjai?
Ats .: Galite atsiųsti mums 2 failus (daugiausia 2 MB).
2.
Kl .: Ką daryti, kad visi duomenys būtų grąžinti?
Ats .: Neperkraukite kompiuterio, neperkelkite failų ir nerašykite mums.
3.
Kl .: Ką pasakyti mano viršininkui?
A: Apsaugokite savo sistemą „Amigo".

Išpirkos pranešime užpuolikai aiškiai nurodo, kad vartotojo duomenims buvo pakenkta ir kad norėdami atkurti savo duomenis jie turės sumokėti išpirkos mokestį. „Pysa Ransomware" autoriai teigia, kad jie atrakintų du failus nemokamai, jei jie nėra didesni nei 2 MB. Tai turėtų būti įrodymas, kad užpuolikai turi veikiantį iššifravimo įrankį, galintį panaikinti aukos padarytą žalą. Aukos privalo susisiekti su užpuolikais naudodamiesi el. Laiškais. Pateikiami du el. Pašto adresai - „aireyeric@protonmail.com" ir „ellershaw.kiley@protonmail.com".
Tai gera priemonė išlaikyti savo atstumą nuo šešėlinių elektroninių sukčių, kaip „Pysa Ransomware" kūrėjai. Dažnai net vartotojai, kurie atiduoda ir sumoka reikalaujamą išpirkos mokestį, paliekami tuščiomis rankomis, kai užpuolikai niekada neišsiunčia jiems pažadėto iššifravimo rakto. Štai kodėl turėtumėte atsisiųsti ir įdiegti teisėtą apsaugos nuo šnipinėjimo programų paketą, kuris pašalins „Pysa Ransomware" iš jūsų sistemos ir užtikrins, kad ateityje nepateksite į tokią keblią situaciją.