Prestige Ransomware
Prestige Ransomware er et truende verktøy som brukes av nettkriminelle for å låse dataene til ofrene deres. Denne spesielle angrepskampanjen har først og fremst vært fokusert på mål i Ukraina og Polen. Videre leverer trusselaktørene skadelig programvare som stjeler informasjon før de dropper Prestige Ransomware via PowerShell, Windows Scheduled Task-verktøyet eller Standard Domain Group Policy Object. For å utføre sin krypteringsrutine, må trusselen ha administrative rettigheter. Den prøver også å stoppe MSSQL Windows-tjenesten, som en måte å sikre vellykket kryptering.
Når den er aktivert, vil Prestige skanne det infiserte systemet og låse dokumenter, PDF-er, bilder, bilder, arkiver, databaser og mer. Hver kryptert fil vil ha '.enc' knyttet til navnet som en ny utvidelse. Ofrene vil sitte igjen med en løsepenge i en fil som heter 'README'.
Instruksjonene gir svært lite nyttig informasjon. Angriperne sier ganske enkelt at ofrene må kontakte dem ved å sende en melding til e-postadressen 'Prestige.ranusomeware@Proton.me' for å få ytterligere detaljer om hvordan de får tak i et dekrypteringsverktøy. Løsepengene avsluttes med to advarsler om å ikke prøve å dekryptere dataene med tredjepartsprogramvare eller gi dem nytt navn, da det kan forårsake permanent skade på filene.
Den fullstendige teksten til Prestige Ransomwares notat er:
'DINE PERSONLIGE FILER ER KRYPTERT.
For å dekryptere alle dataene, må du kjøpe vår dekrypteringsprogramvare.
Kontakt oss Prestige.ranusomeware@Proton.me. I brevet skriver du inn ID-en din = .MERK FØLGENDE *
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Ikke modifiser eller gi nytt navn til krypterte filer. Du vil miste dem.'