Intel Ransomware

Forskere har avdekket en ny ransomware-stamme kjent som Intel Ransomware. Denne truende programvaren infiltrerer enheter, krypterer de lagrede dataene og krever løsepenger i bytte mot den påståtte dekrypteringen av den kompromitterte informasjonen.

Spesielt vil filer som er berørt av Intel løsepengeprogramvare gjennomgå en omdøpsprosess. De originale filnavnene er utvidet med en unik identifikator tildelt offeret, etterfulgt av '.[intellent@ai_download_file],' og avsluttet med utvidelsen '.intel'. Som en illustrasjon vil en fil som opprinnelig er merket '1.jpg' bli transformert til '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' etterkryptering.

Når krypteringsprosessen er fullført, møter ofrene løsepenger som presenteres i både et popup-vindu og som tekstfiler kalt 'README!.txt'. Disse tekstfilene er deponert i hver kryptert mappe og på systemets skrivebord. Analyse av løsepengerinnholdet avslører at Intel Ransomware spesifikt retter seg mot selskaper og bruker dobbel utpressingstaktikk. Videre er dette truende programmet tilknyttet Dharma Ransomware- familien.

Intel Ransomware hindrer ofre fra å få tilgang til sine egne data

Intel Ransomware demonstrerer en omfattende tilnærming ved å kryptere både lokale og nettverksdelte filer mens viktige systemfiler forblir upåvirket for å unngå å gjøre systemet uoperativt. Spesielt bruker den en strategi for å unngå dobbel kryptering ved å ekskludere filer som er låst av andre løsepengeprogrammer. Denne metoden er imidlertid ikke idiotsikker, siden den er avhengig av en forhåndsdefinert liste som kanskje ikke omfatter alle kjente løsepengevarevarianter.

Videre viser Intel-malwaren sofistikert drift ved å lukke prosesser knyttet til filer som kan være åpne, for eksempel tekstfillesere og databaseprogrammer. Dette proaktive tiltaket tar sikte på å forhindre konflikter for filer som anses som "i bruk", for å sikre at de ikke er unntatt fra kryptering.

Dharma-familien av løsepengevare, som Intels skadevare tilhører, bruker strategiske taktikker for infiltrasjon og utholdenhet. Dette inkluderer å slå av brannmuren for å lette infiltrasjon og unngå deteksjon. I tillegg involverer utholdenhetssikre teknikker:

• Kopierer skadelig programvare til %LOCALAPPDATA%-banen.
• Registrerer den med spesifikke Run-nøkler.
• Konfigurerer automatisk oppstart av løsepengevaren etter hver omstart av systemet.

Et bemerkelsesverdig aspekt ved Dharma-angrepene er deres potensiale for målrettede handlinger. Programmene knyttet til denne familien kan samle geolokaliseringsdata, noe som gir mulighet for unntak i angrepene deres. Denne tilpasningsevnen innebærer at infeksjoner kan ha politiske eller geopolitiske motivasjoner, eller de kan målrettet unngå ofre som usannsynlig vil møte løsepengekrav, spesielt i regioner med svake økonomiske forhold.

For ytterligere å hindre gjenopprettingsarbeid, kan Intel Ransomware slette Shadow Volume Copies, og hindre gjenoppretting av tidligere versjoner av filer. Basert på omfattende forskning på ransomware-infeksjoner, er det tydelig at dekryptering uten innblanding fra angriperne vanligvis er en uoverkommelig utfordring.

Intel Ransomware bruker taktikk for dobbel utpressing

Innholdet i tekstfilen fungerer som en kort melding til offeret, som formidler at dataene deres er kryptert og samlet inn. Det ber offeret om å etablere kommunikasjon ved å sende en e-post til angriperne.

I motsetning til dette gir popup-meldingen mer detaljert informasjon om ransomware-infeksjonen. Den gjentar krypterings- og datatyveri-aspektene, og understreker det haster med situasjonen. Løsepengebrevet gir en streng advarsel om at manglende kontakt med nettkriminelle innen 24 timer eller nektelse av å etterkomme kravet om løsepenger vil føre til eksponering av det stjålne innholdet på det mørke nettet eller salg av det til konkurrenter til offerets selskap.

For å demonstrere muligheten for gjenoppretting tilbyr meldingen en gratis dekrypteringstest som skal utføres på en enkelt fil. Offeret er også eksplisitt informert om at det å søke bistand fra gjenvinningsselskaper kan føre til ytterligere økonomiske tap, da disse mellommennene typisk pålegger gebyrer som legges til løsesummen.

Imidlertid observeres det ofte at ofre, selv etter å ha overholdt løsepengekrav, ikke mottar de lovede dekrypteringsnøklene eller programvaren. Til tross for at løsepengekravene oppfylles, er det ingen garanti for filgjenoppretting. Følgelig fraråder forskere på det sterkeste å betale løsepenger, da det ikke bare unnlater å garantere gjenfinning av filer, men også opprettholder og støtter kriminelle aktiviteter. I tillegg er det viktig å forstå at selv om fjerning av løsepengevare kan stoppe ytterligere kryptering av data, gjenoppretter ikke fjerningsprosessen automatisk tidligere kompromitterte filer.

Intel Ransomware viser følgende løsepengenotat som et popup-vindu:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Hvis du ikke skriver til oss innen 24 timer, vil vi begynne å publisere og selge dataene dine på darknet på hackersider og tilby informasjonen til dine konkurrenter
send oss en e-post: intellent.ai@onionmail.org ID-EN DIN -
Hvis du ikke har hørt tilbake innen 24 timer, skriv til denne e-posten:intellent.ai@onionmail.org

VIKTIG INFORMASJON!
Husk at når dataene dine vises på lekkasjesiden vår, kan de kjøpes av konkurrentene dine når som helst, så ikke nøl med lenge. Jo før du betaler løsepenger, jo raskere vil bedriften din være trygg.
vi har sett på alle rapportene dine og bedriftens inntekter.
Garanti: Hvis vi ikke gir deg en dekryptering eller sletter dataene dine etter at du har betalt, vil ingen betale oss i fremtiden. Vi verdsetter vårt rykte.
Garantinøkkel: For å bevise at dekrypteringsnøkkelen eksisterer, kan vi teste filen (ikke databasen og sikkerhetskopien) gratis.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Ikke gå til gjenopprettingsselskaper - de er i hovedsak bare mellommenn. Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt). Vi er de eneste som har dekrypteringsnøklene.

Tekstfilene opprettet av Intel Ransomware inneholder følgende melding:

Dataene dine er stjålet og kryptert!

Send oss en e-post

intelligent.ai@onionmail.org'