Divsouth Ransomware
De Divsouth Ransomware is een trojan die bestanden vergrendelt en deel uitmaakt van de relatief kleine familie van de MedusaLocker Ransomware. De Divsouth Ransomware kan back-ups verwijderen, de bestanden van de gebruiker met encryptie blokkeren en een webpagina met losgeldnotities toevoegen die reclame maakt voor zijn TOR-website. Gebruikers moeten op losgeld gebaseerde diensten van criminelen negeren en andere opties voor gegevensherstel gebruiken nadat ze de Divsouth Ransomware hebben verwijderd met een betrouwbare anti-malwareservice.
De volgende reeks hoektanden van de MedusaLocker Ransomware
Slechts een korte tijd na de eerste bevestiging van een jaarlijkse update voor de door slangenkoppen geleide MedusaLocker Ransomware- familie (zie: de Deathfiles Ransomware), wijzen malware-onderzoekers op nog meer voorbeelden van deze familie in het wild. De tweede Trojan van de groep voor 2021, de Divsouth Ransomware, bevat verschillen in typische losgeldgerelateerde inloggegevens zoals e-mails. Het losgeldbriefje en de gegevensvernietigende aanvallen zijn echter allemaal kenmerkend voor zijn afkomst.
Voorbeelden van de familie- en versleutelingsaanvallen van Divsouth Ransomware gaan terug tot 2019, via zaken als de Decrypme Ransomware, de Deadfiles Ransomware en de Support Ransomware. Het richt zich op mediaformaten in plaats van op systeemkritische bestanden en blokkeert de meeste documenten, afbeeldingen, audio, films en soortgelijke gegevens van de gebruiker door deze te versleutelen. Deze veilige coderingsroutine voorkomt dat het bestand wordt geopend, terwijl de Trojan het bovendien markeert met een campagne-extensie zoals 'divsouth'.
Zoals de meeste Trojaanse paarden die bestanden vergrendelen van deze tijd, bevat de Divsouth Ransomware een uitgebreide functie voor het verwijderen van Shadow Volume Copy. Deze aanval zorgt ervoor dat slachtoffers niet kunnen herstellen via hun herstelpunten. De praktische gijzeling van de bestanden wordt een hefboom voor de losgeldeisen van de bedreigingsacteur, die ze verstrekken via een HTML-notitie - en een bijbehorende, anonieme TOR-browserwebsite.
Terug naar het noorden na een reis naar digitale afpersing
De Divsouth Ransomware biedt dezelfde gevaren voor gebruikers zonder veilige back-ups als de meeste Trojaanse paarden die bestanden vergrendelen, ongeacht hun familie. Gebruikers kunnen zichzelf beschermen door hun bestanden op andere apparaten op te slaan, of de locaties nu volledig verwijderbaar zijn of gewoon genieten van de voordelen van wachtwoordbeveiliging. Malware-experts moedigen deze stap vooral aan voor Windows-gebruikers, die het vaakst het doelwit zijn (en zeker niet uitsluitend) van trojans voor het vergrendelen van bestanden.
Huidige voorbeelden van de Divsouth Ransomware-nep zijn Windows-componenten 'svhost', een typfout van 'svchost'). Deze vermomming heeft weinig betekenis voor distributie- of installatie-exploits die de campagne zou kunnen misbruiken. Gebruikers moeten tactieken zoeken via torrents, e-mailbijlagen en valse updates van mediaspelers als mogelijke infectiebronnen.
Zonder een direct beschikbare omkeermethode voor de versleuteling van de Divsouth Ransomware, zijn gebruikers ook afhankelijk van het voorkomen van aanvallen, meer dan van het genezen ervan. De meeste anti-malwaretoepassingen zullen deze bedreiging markeren en de Divsouth Ransomware-installaties automatisch verwijderen.
Zelfs gebruikers met intacte back-ups zijn niet volledig immuun voor de Divsouth Ransomware. Nu het verkopen en publiceren van gegevens onderdeel wordt van de activiteiten van deze Trojaanse paarden, is de beste manier om financiële verliezen te voorkomen, door de computers en servers van tevoren te beschermen in plaats van de gevolgen terug te draaien.
