Arai Ransomware
De Arai Ransomware is een schadelijke bedreiging, ontworpen om de gegevens te versleutelen die zijn opgeslagen op de geïnfecteerde apparaten. De Arai Ransomware kan zich richten op talrijke bestandstypen die onbruikbaar blijven nadat ze zijn onderworpen aan gegevenscodering. Het gebruikte cryptografische algoritme zorgt ervoor dat de getroffen bestanden bijna onmogelijk te herstellen zijn zonder de juiste decoderingssleutels. Opgemerkt moet worden dat de Arai Ransomware specifiek gericht lijkt te zijn op het infecteren van bedrijfsentiteiten.
De Arai Ransomware wijzigt de originele namen van de bestanden die het vergrendelt door er '.araicrypt' aan toe te voegen als een nieuwe bestandsextensie. Een van de wijzigingen aan de gehackte apparaten die door de Arai Ransomware zijn veroorzaakt, is de creatie van een nieuw tekstbestand met de naam 'READ_TO_RESTORE_YOUR_FILES.txt'. Het bestand wordt op het bureaublad van het apparaat geplaatst en het is de rol van een losgeldbriefje met instructies van de cybercriminelen.
Details van losgeldbrief
In het bericht waarin om losgeld wordt gevraagd, onthullen de criminele operators van Arai Ransomware dat ze een dubbele afpersingsoperatie uitvoeren. Naast het voorkomen dat slachtoffers toegang krijgen tot hun eigen bestanden, verzamelen de aanvallers ook gevoelige of vertrouwelijke informatie van de geïnfecteerde systemen. In de notitie staat dat de malware alle back-ups en schaduwvolume-kopieën van de versleutelde bestanden heeft verwijderd.
De geëxfiltreerde gegevens worden gebruikt als extra hefboom om de slachtoffers ertoe aan te zetten het gevraagde losgeld te betalen. Anders dreigen de hackers de privégegevens openbaar te maken of te verkopen aan geïnteresseerde partijen. Bovendien hebben slachtoffers blijkbaar slechts 48 uur om te voldoen aan de eisen van de cybercriminelen. Na het verstrijken van die periode zullen de hackers weigeren te helpen bij het herstellen van de versleutelde bestanden en de verzamelde informatie publiceren.
De losgeldbrief laat slachtoffers twee e-mailadressen achter die kunnen dienen als communicatiekanalen. Het hoofdadres is 'AraiHelp@secmail.pro' terwijl 'AraiHelp2@secmail.pro' als back-up dient.
De volledige tekst van het bericht van Arai Ransomware is:
'===========================================
All Your Files Have Been Encrypted !!
===========================================
All of your backups and shadow copies have also been deleted so forget restoring
them.
===========================================
We also have been able to steal your confidential files (databases, customers data's,
HR etc...) all over your network workstations and servers.
===========================================
If you want to hear your mind instead of our instructions, you will loose stupidly your
files but you will also see your files being published online or sell to tiers (and we'll do it)
In this case, beleive us that you're going to suffer a big financial loss and a big loss
of reputation.
===========================================
We are aware that you don't want this case too happens.
If you want to restore files and want us to delete your confidentials files, contact us right
with a message to the contact address below. Include the KeyID in your message pls.
===========================================
AraiHelp@secmail.pro
If there's no answers from us in the next 15 hours, contact us to :
AraiHelp2@secmail.pro
Note that you have only 48 hours to contact us. After this delay, there will be no data
recovered and your files will be published.
Key Identifier:'
