Deal Ransomware
Cybersecurity-onderzoekers zien steeds meer ransomware-bedreigingen op de loer op het web. Een van de meest recente trojans voor het vergrendelen van gegevens is de Deal Ransomware. Toen experts deze dreiging bestudeerden, werd al snel duidelijk dat dit een andere variant van de beruchte Phobos Ransomware is . Ransomware-bedreigingen worden gezien als een relatief veilige methode om snel geld te verdienen op de rug van onschuldige gebruikers, en het is waarschijnlijk dat deze trend niet snel zal uitsterven.
Voortplanting en versleuteling
Het is nog niet bekendgemaakt welke infectievectoren worden gebruikt bij de verspreiding van de Deal Ransomware. Sommigen veronderstellen dat de aanvallers mogelijk spam-e-mails gebruiken om deze Trojan te verspreiden. Dergelijke e-mails bevatten vaak een beschadigde bijlage, die, eenmaal geopend, het beoogde systeem zou kapen. Om de gebruiker ertoe te bewegen de bijgevoegde bestanden te starten, gebruiken de auteurs van ransomware-bedreigingen verschillende trucs voor sociale engineering. Er zijn andere methoden om ransomware-bedreigingen te verspreiden, zoals nep-software-updates, torrents-trackers en valse illegale varianten van legitieme toepassingen. Wanneer de Deal Ransomware een systeem corrumpeert, scant het zijn gegevens om de gewenste bestanden te vinden. De Deal Ransomware mikt waarschijnlijk op een zeer lange lijst met bestandstypen om maximale schade te garanderen. Wanneer de bedreiging de beoogde gegevens met succes heeft gevonden, begint het coderingsproces. Wanneer de Deal Ransomware een bestand codeert, voegt het een nieuwe extensie toe aan het einde van de bestandsnaam - '.id [VICTIM ID]. [Butters.felicio@aol.com] .deal.'
The Ransom Note
In de volgende fase van de aanval laat de Deal Ransomware een losgeldbriefje vallen. De notitie is opgeslagen in twee bestanden - 'info.hta' en 'info.txt' en er staat:
'Uw computer is besmet met een virus.
Bestanden zijn vergrendeld * maar niet beschadigd.
Stuur een e-mail butters.felicio@aol.com en je zal zeker worden geholpen om te herstellen.
* je kunt ons een paar bestanden sturen en we zullen de herstelde terugsturen om te bewijzen dat alleen wij het kunnen doen
BELANGRIJK:
1. de infectie was te wijten aan kwetsbaarheden in uw software
2. Als u zeker wilt weten dat het onmogelijk is om bestanden te herstellen met software van derden, doe dit dan niet voor alle bestanden, anders kunt u alle gegevens verliezen.
3. Alleen communicatie via onze e-mail kan bestandsherstel voor u garanderen. Wij zijn niet verantwoordelijk voor de acties van derden die beloven u te helpen - meestal zijn ze oplichters.
4. Als we niet binnen 24 uur op u reageren, stuur dan een bericht naar e-mail ezequielanthon@aol.com
5. als u een alternatief communicatiekanaal nodig hebt - schrijf een verzoek per e-mail
6. ons doel is om uw gegevens te retourneren, maar als u geen contact met ons opneemt, zullen we niet slagen '
De auteurs van de Deal Ransomware vermelden niet wat het losgeld is. Ze staan er echter op dat het slachtoffer via e-mail contact met hen opneemt. Ze hebben een hoofd-e-mailadres opgegeven, 'butters.felicio@aol.com', en een back-up-e-mailadres als de gebruiker binnen 24 uur geen antwoord ontvangt, namelijk 'ezequielanthon@aol.com'. Er zijn verschillende andere e-mailadressen gekoppeld aan deze variant, die zijn: 'harlin_marten@aol.com,' 'lewisswaffield.a@aol.com' en 'relvirosa1981@aol.com.'
We raden ten zeerste aan om weg te blijven van de makers van de Deal Ransomware en elk contact met hen te vermijden. Je weet nooit of ze je de beloofde decoderingssleutel zullen bezorgen, zelfs als je betaalt. Dit is de reden waarom u zou moeten overwegen om een legitieme anti-malware tool te verkrijgen en deze te gebruiken om de Deal Ransomware veilig van uw systeem te verwijderen.
