Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Theft-løsepengevirus

Theft-løsepengevirus

Med Mezo i løsepengeprogramvare
Oversett til:

Det moderne trusselmiljøet er nådeløst. Nettkriminelle forbedrer stadig verktøyene sine for å utnytte uforberedte brukere. Blant de mest skadelige av disse truslene er ransomware, ondsinnet programvare som krypterer data og presser ofrene for penger. En slik fremvoksende variant er kjent som Theft Ransomware, som allerede har blitt observert mens den herjer i intetanende systemer.

Hva gjør tyveri av løsepengevirus farlig

Theft Ransomware er en ny stamme knyttet til den beryktede Dharma ransomware-familien, en gruppe som er kjent for å målrette både enkeltpersoner og organisasjoner. Ved infiltrasjon av en enhet krypterer skadevaren filer og gir dem nytt navn ved å legge til:

  • En unik offer-ID
  • Angripernes e-postadresse
  • Utvidelsen «.theft»

For eksempel blir '1.png' til '1.png.id-9ECFA84E.[datatheft@tuta.io].theft'.

Ofrene blir deretter konfrontert med løsepengebrev i form av tekstfiler («info.txt») og et popup-vindu. Selv om tekstbrevet er konsist og kun inneholder kontaktinformasjon, tilbyr popup-vinduet flere detaljer, inkludert forsikring om at datagjenoppretting er mulig hvis løsepengene betales. Angripere tilbyr til og med «bevis på dekryptering» ved å tillate at tre små, ikke-kritiske filer gjenopprettes gratis.

Kriminelle hevder å ha stjålet sensitive forretningsdata og truer med å lekke dem hvis betalingen nektes, noe som øker presset.

Tekniske egenskaper ved trusselen

I likhet med andre Dharma-baserte varianter låser ikke Theft Ransomware hele systemer, men krypterer i stedet lokale og nettverksdelte filer. Skadevaren gjør følgende aktivt:

  • Avslutter prosesser knyttet til filer i bruk (databaser, lesere osv.)
  • Kopierer seg selv til %LOCALAPPDATA%-banen og registrerer persistens via Run-taster
  • Stiller seg inn til å starte automatisk ved omstart av systemet
  • Sletter volumskyggekopier for å forhindre enkel gjenoppretting

Skadevaren samler også inn geolokasjonsdata for å avgjøre om krypteringen skal fortsette, muligens ekskludere visse regioner.

Hvordan infeksjonen sprer seg

Tyveri-ransomware bruker flere infiltrasjonstaktikker, der den vanligste er svakt sikrede RDP-tjenester (Remote Desktop Protocol). Brute-force- og ordbokangrep mot dårlig beskyttede kontoer er et hyppig inngangspunkt. Når den er inne, kan skadevaren til og med deaktivere brannmurer for å forenkle driften.

Andre kjente distribusjonskanaler inkluderer:

Phishing og sosial manipulering – Ondsinnede vedlegg eller lenker i e-poster, direktemeldinger og innlegg.

Trojanere og bakdører – brukes til å slippe løsepengeviruset stille.

Skadelig reklame og drive-by-nedlastinger – Utløses ganske enkelt ved å besøke et kompromittert nettsted.

Mistenkelige programvarekilder – Piratkopierte verktøy, gratispakker og falske oppdateringer.

Flyttbare medier og lokale nettverk – Tillater at skadelig programvare sprer seg internt når den lander på et system.

Hvorfor det er risikabelt å betale løsepengene

Det er nesten umulig å dekryptere filer kryptert av Theft uten angripernes nøkkel. Selv om noen varianter av ransomware er feilaktige, er Dharma-baserte trusler vanligvis solid bygget. Det er viktig å merke seg at det å betale løsepenger ikke gir noen garanti for gjenoppretting, og mange ofre blir stående tomhendte selv etter overføring av penger. Verre er det at betalingen bare finansierer ytterligere kriminelle operasjoner.

Styrking av forsvaret ditt mot løsepengevirus

Den beste måten å bekjempe ransomware som er tyveri på er forebygging. Siden fjerning av skadelig programvare ikke automatisk gjenoppretter krypterte filer, må brukerne fokusere på robusthet og proaktivt forsvar. Viktige fremgangsmåter alle brukere bør ta i bruk er:

  • Regelmessige sikkerhetskopier – Oppbevar kopier av viktige filer på tvers av flere sikre steder, for eksempel frakoblede stasjoner og skytjenester som ikke er tilordnet det infiserte systemet.
  • Oppdater programvare og systemer – Installer oppdateringer for å lukke sårbarheter som ransomware utnytter.
  • Bruk sterk autentisering – Sikre RDP-tjenester med unike, komplekse passord og aktiver flerfaktorautentisering.
  • Vær forsiktig med e-poster og lenker – Ikke åpne uventede vedlegg eller klikk på ukjente lenker, selv om de ser legitime ut.
  • Begrens administratorrettigheter – Begrens rettigheter for å redusere virkningen av potensiell kjøring av skadelig programvare.
  • Installer pålitelige sikkerhetsverktøy – Bruk anti-malware-løsninger med beskyttelsesfunksjoner mot ransomware.
  • Deaktiver makroer og skripting – Mange ransomware-angrep utløses via Office-dokumenter eller -skript.
  • Segmentnettverk – Forhindre at skadelig programvare sprer seg lateralt på tvers av forretningsmiljøer.

Avsluttende tanker

Theft Ransomware fremhever den fortsatte utviklingen av Dharma-familien og dens vedvarende rolle i globale ransomware-kampanjer. Kombinasjonen av kryptering, datatyveri og utpressing gjør den spesielt skadelig. Siden filgjenoppretting ofte er umulig uten rene sikkerhetskopier, er det eneste sanne forsvaret lagdelt forebygging, sterk cyberhygiene og pålitelige gjenopprettingsstrategier.

System Messages

The following system messages may be associated with Theft-løsepengevirus:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Trender

Mest sett

Laster inn...