Hele ransomware

Onderzoekers hebben een nieuwe ransomware-dreiging ontdekt genaamd 'Whole'. Deze schadelijke software is ontworpen om gegevens op geïnfecteerde systemen te versleutelen en vervolgens losgeld te eisen van de pc-eigenaar in ruil voor de decoderingssleutel. Om zijn destructieve werking uit te voeren, vergrendelt de Whole Ransomware verschillende soorten bestanden en voegt aan de namen van elk bestand de extensie '.whole' toe. Als een bestand bijvoorbeeld oorspronkelijk '1.jpg' heette, zou het na de codering worden hernoemd naar '1.jpg.whole'. Dit hernoemingsproces is van invloed op alle soorten bestanden, zoals afbeeldingen, documenten en meer.

Naast het versleutelen van bestanden, verandert de Whole Ransomware ook de bureaubladachtergrond van het geïnfecteerde systeem, waardoor duidelijk wordt dat het systeem is gecompromitteerd. Bovendien creëert de ransomware een losgeldbrief met de titel 'README-ID-[slachtoffer_ID].txt' op het geschonden apparaat. De inhoud van dit bericht dient als bericht aan het slachtoffer en geeft instructies over hoe het gevraagde losgeld moet worden betaald en hoe de decoderingssleutel kan worden verkregen.

Het losgeldbriefje en andere aanwijzingen suggereren dat deze specifieke ransomware vooral gericht is op bedrijven en organisaties en niet op individuele thuisgebruikers. Dit duidt op een hoger niveau van verfijning en mogelijk substantiëlere losgeldeisen. Het is de moeite waard om op te merken dat de Whole Ransomware overeenkomsten lijkt te vertonen met de Keylock Ransomware , wat duidt op een mogelijk verband of afstamming tussen de twee bedreigingen.

De hele ransomware verhindert dat slachtoffers toegang krijgen tot hun eigen gegevens

Het bericht dat door Whole Ransomware op de bureaubladachtergrond wordt weergegeven, geeft instructies aan het slachtoffer en geeft hem opdracht het begeleidende tekstbestand met de naam 'README-ID-[slachtoffer_ID].txt' te lezen. Deze losgeldbrief dient als cruciale mededeling van de aanvallers, waaruit blijkt dat de bestanden van het slachtoffer zijn gecodeerd en nu ontoegankelijk zijn. Het stelt ook dat de unieke decoderingssleutel die nodig is om de gecodeerde gegevens te herstellen, veilig wordt opgeslagen op de servers van de aanvallers.

Slachtoffers krijgen de mogelijkheid om het decoderingsproces gratis te testen. Dit kan gedaan worden door enkele versleutelde bestanden naar de cybercriminelen te sturen, met inachtneming van bepaalde specificaties. Een belangrijk voorbehoud is dat als het slachtoffer er niet in slaagt om binnen een periode van 72 uur communicatie met de aanvallers tot stand te brengen, hun gevoelige bedrijfsgerelateerde gegevens worden bedreigd door lekken of verkopen.

Het bericht waarin losgeld wordt gevraagd, wordt afgesloten met verschillende waarschuwingen. Het slachtoffer wordt gewaarschuwd dat pogingen om de betrokken bestanden te hernoemen of anderszins te wijzigen, evenals het gebruik van gegevenshersteltools of beveiligingssoftware van derden, ervoor kunnen zorgen dat de gegevens niet meer kunnen worden gedecodeerd. Het benadrukt dat voor decodering doorgaans de directe betrokkenheid van cybercriminelen vereist is, met slechts zeldzame uitzonderingen in gevallen van ernstig gebrekkige ransomware.

Opgemerkt moet worden dat slachtoffers vaak niet de beloofde decoderingssleutels of -hulpmiddelen ontvangen, zelfs niet nadat ze aan de losgeldeisen hebben voldaan en betalingen hebben gedaan. Als gevolg hiervan wordt het sterk afgeraden om aan de eisen van de criminelen toe te geven, omdat gegevensherstel onzeker blijft en het betalen van het losgeld dient om deze illegale activiteit in stand te houden.

Belangrijke beveiligingsmaatregelen die u op uw apparaten moet implementeren

Het beschermen van uw apparaten tegen malware-inbraken is een cruciaal aspect van het handhaven van cyberbeveiliging. Hier zijn vijf belangrijke beveiligingsmaatregelen, waarvan er één het regelmatig maken van back-ups van uw gegevens is:

Regelmatige back-ups van gegevens maken :

Regelmatige gegevensback-ups zijn essentieel. In het geval van een malware-aanval zorgt het hebben van bijgewerkte back-ups ervoor dat u uw gegevens kunt herstellen zonder losgeld te betalen of permanent gegevensverlies te lijden. Maak regelmatig een back-up van uw gegevens op externe apparaten, cloudopslag of op een netwerk aangesloten opslag (NAS). Automatiseer dit proces indien mogelijk en verifieer de integriteit van uw back-ups.

Beveiligingssoftware installeren en bijwerken :

Installeer betrouwbare anti-malwaresoftware en houd deze up-to-date. Beveiligingsprogramma's kunnen bekende malware detecteren en verwijderen, waardoor een cruciale verdedigingslaag tegen bedreigingen ontstaat. Zorg ervoor dat uw antivirussoftware de virusdefinities automatisch bijwerkt om bescherming te bieden tegen nieuwe malwarevarianten.

Regelmatige software-updates en patchbeheer :

Houd het besturingssysteem, de softwaretoepassingen en de firmware van uw apparaat up-to-date. Malware maakt vaak misbruik van kwetsbaarheden in verouderde software. Pas regelmatig beveiligingspatches en updates toe om deze kwetsbaarheden te dichten, waardoor het risico op malware-infiltratie wordt verkleind.

Firewallbescherming :

Schakel een firewall in en configureer deze op uw apparaat. Firewalls fungeren als een barrière tussen uw apparaat en internet en helpen ongeautoriseerde toegang en mogelijk schadelijke gegevens te blokkeren. Gebruik zowel netwerk- als hostgebaseerde firewalls om uw beveiliging te verbeteren, en overweeg het gebruik van inbraakdetectie- en -preventiesystemen voor geavanceerde bescherming.

Veilige internet- en e-mailpraktijken :

Wees voorzichtig bij het surfen op internet en het verwerken van e-mails. Vermijd interactie met verdachte links of het downloaden van e-mailbijlagen van onbekende of niet-geverifieerde bronnen. Houd rekening met phishing-pogingen en geef geen persoonlijke informatie door en klik niet op verdachte pop-upadvertenties. Gebruik e-mailfiltertools om potentieel schadelijke berichten te helpen identificeren en blokkeren.

Door deze beveiligingsmaatregelen in uw apparaatgebruik op te nemen, wordt het risico op malware-inbraken aanzienlijk verminderd. Regelmatige gegevensback-ups zijn vooral belangrijk omdat ze een vangnet bieden voor het geval malware uw verdediging doorbreekt. Door een proactieve en meerlaagse beveiligingsaanpak te hanteren, kunt u uw apparaten en gegevens beter beschermen tegen kwaadaardige bedreigingen.

De volledige tekst van de losgeldbrief gemaakt door Whole Ransomware is:

'YOUR FILES ARE ENCRYPTED

-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:

pmmx@techmail.info

wholekey@mailfence.com -
IMPORTANT!

We recommend you contact us directly to avoid overpaying agents.

We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.

Our message may be recognized as spam, so be sure to check the spam folder.

If we do not respond to you within 24 hours, write to us from another email address.

Verspil geen tijd, dit zal alleen maar extra schade voor uw bedrijf tot gevolg hebben.

Wijzig de naam niet en probeer de bestanden zelf te decoderen. Als bestanden worden aangepast, kunnen wij u niet helpen.

Als u software van derden probeert te gebruiken voor het herstellen van uw gegevens of antivirusoplossingen, maak dan een back-up van alle gecodeerde bestanden.

Als u gecodeerde bestanden van de huidige computer verwijdert, kunt u deze mogelijk niet meer decoderen.

De bureaubladachtergrondafbeelding van Whole Ransomware bevat het volgende bericht:

Al uw bestanden worden gestolen en gecodeerd!
Zoek README-ID-.txt en volg de instructies.'