Keversen-ransomware

Keversen-ransomware Beschrijving

Na analyse is de Keversen-dreiging geclassificeerd als ransomware die geen deel uitmaakt van een van de momenteel gevestigde malwarefamilies. Het gedrag is echter consistent met dat van typische ransomware. Keversen streeft ernaar de beoogde computersystemen te infecteren en de daar opgeslagen gegevens te vergrendelen via een sterk versleutelingsproces. De slachtoffers zullen dan worden afgeperst voor geld als ze de decoderingssleutel van de aanvallers willen ontvangen. De naam van elk bestand dat door de dreiging is versleuteld, wordt gewijzigd door de toevoeging van '.keversen' als nieuwe extensie. Er wordt een losgeldbrief aan de gecompromitteerde systemen geleverd in de vorm van een bestand met de naam '!=READMY=!.txt.'

Overzicht van losgeldbrief

De details in de notitie vermelden dat de hackers, voordat ze de bestanden van het slachtoffer versleutelden, verschillende gegevens konden bemachtigen die nu op een externe server worden opgeslagen. Ze dreigen de gevoelige informatie openbaar te maken of te koop aan geïnteresseerden aan te bieden als het slachtoffer besluit het losgeld niet te betalen. Als communicatiekanaal blijven de slachtoffers achter met twee e-mailadressen in de notitie - 'ithelpnetwork@decorous.cyou' en 'ithelpnetwork@wholeness.business'. Bij het verzenden van een bericht kunnen gebruikers maximaal drie vergrendelde bestanden bijvoegen die vervolgens gratis worden gedecodeerd en geretourneerd.

De volledige tekst in het !=READMY=!.txt-bestand is:

' ! UW NETWERK IS GECOMPROMISEERD !
Al uw belangrijke bestanden zijn versleuteld!
Uw bestanden zijn veilig! Alleen gewijzigd.
ELKE POGING OM EEN BESTAND MET SOFTWARE VAN DERDEN TE HERSTELLEN, ZAL HET PERMANENT BORSTELEN.

Er is geen software beschikbaar op internet die u kan helpen. Wij zijn de enigen die uw probleem kunnen oplossen.
We hebben gegevens verzameld uit verschillende segmenten van uw netwerk. Deze gegevens worden momenteel opgeslagen op een eigen server en worden na uw betaling direct vernietigd.
Als u besluit niet te betalen, bewaren wij uw gegevens en nemen contact op met de pers of wederverkoper of publiceren deze op de website van onze partner.
We zijn alleen op zoek naar geld en willen uw reputatie niet schaden of voorkomen dat uw bedrijf draait.
Als u een verstandige keuze maakt om te betalen, wordt dit allemaal zeer snel en soepel opgelost.
U kunt ons 2-3 niet-belangrijke bestanden sturen en we zullen deze gratis decoderen om te bewijzen dat we in staat zijn om uw bestanden terug te geven.
Neem contact met ons op.
ithelpnetwork@decorous.cyou
ithelpnetwork@wholeness.business
Schrijf in het onderwerp - id
.'