NEFILIM Ransomware
De NEFILIM Ransomware is een bedreiging die in het wild wordt gedetecteerd door cyberbeveiligingsexperts. Ransomware-bedreigingen zijn een van de meest gemene bedreigingen om mee om te gaan als gewone gebruiker, omdat deze Trojaanse paarden uw systeem binnensluipen, al uw gegevens vergrendelen en een betaling eisen in ruil voor software waarmee u uw bestanden kunt herstellen. Om het nog erger te maken, ontvangen de meeste gebruikers die de makers van ransomware-bedreigingen betalen, nooit de decoderingssleutel die hen is beloofd.
Nefilim verscheen voor het eerst rond eind februari. Experts weten nog steeds niet hoe het wordt gedistribueerd, maar dit is hoogstwaarschijnlijk door het gebruik van Remote Desktop Services. Experts zijn het er ook over eens dat Nefilim een deel van dezelfde code lijkt te delen als de Nemty 2.5-dreiging.
Het belangrijkste verschil tussen de twee virussen is dat Nefilim e-mailcommunicatie gebruikt in plaats van betalingen via Tor te eisen. Nefilim verwijdert ook het ransomware-as-a-service (RaaS)-model en lijkt een eigen virus te zijn.
Inhoudsopgave
Voortplanting en versleuteling
Spam-e-mails zijn een van de meest gebruikte infectievectoren als het gaat om de verspreiding van ransomware-bedreigingen. Deze campagnes bevatten meestal e-mails die een nepbericht en een macro-geregen bijlage bevatten, die de computer van het doelwit zouden infecteren zodra deze wordt geopend. Cybercriminelen die ransomware-bedreigingen verspreiden, hebben ook de neiging om te vertrouwen op malvertising, valse softwaredownloads/-updates, torrent-trackers, nep-piraterijkopieën van verschillende applicaties, enz. De NEFILIM Ransomware zal grote schade aanrichten zodra het uw systeem zeker in gevaar brengt. Deze ransomware-dreiging is waarschijnlijk geprogrammeerd om zijn coderingsalgoritme toe te passen op alle bestanden die op uw computer aanwezig zijn. Dit betekent dat niets zal worden gespaard - afbeeldingen, audiobestanden, documenten, archieven, spreadsheets, databases, presentaties, video's, enz. Wanneer de NEFILIM Ransomware klaar is met het vergrendelen van uw bestanden, merkt u misschien dat deze dreiging hun namen heeft veranderd door een extra extensie. De NEFILIM Ransomware voegt een '. NEFILIM'-extensie toe aan de namen van alle nieuw vergrendelde bestanden. Een bestand met de naam 'blue-blood.mp3' zal bijvoorbeeld oorspronkelijk worden hernoemd naar 'blue-blood.mp3. NEFILIM.'
Het losgeldbriefje
Het losgeldbericht van de NEFILIM Ransomware staat in een bestand met de naam 'NEFILIM-DECRYPT.txt'. In de losgeldbrief beweren de aanvallers de gegevens van de gebruiker te hebben versleuteld met een versleutelingsalgoritme van militaire kwaliteit. De makers van de NEFILIM Ransomware bieden gebruikers een deadline van zeven dagen om contact met hen op te nemen. Als het slachtoffer de gestelde deadline niet haalt, verklaren de aanvallers dat ze de gegevens van de gebruiker online gaan lekken. De auteurs van de NEFILIM Ransomware vragen de gebruiker om hen twee bestanden te sturen, die ze zullen decoderen om te bewijzen dat ze een werkende decoderingssleutel hebben. De aanvallers bieden drie e-mailadressen aan als communicatiemiddel: 'jamesgonzaleswork1972@protonmail.com,' pretty_hardjob2881@mail.com' en dprworkjessiaeye1955@tutanota.com.'
Het losgeld nota luidt:
Al uw bestanden zijn versleuteld met algoritmen van militaire kwaliteit.
Wij zorgen ervoor dat de enige manier om uw gegevens op te halen is met onze software.
Wij zorgen ervoor dat u uw gegevens snel en veilig ophaalt wanneer aan onze eisen wordt voldaan.
Het herstellen van uw gegevens vereist een privésleutel die alleen wij bezitten.
Een groot deel van uw privébestanden is uitgepakt en wordt op een veilige locatie bewaard.
Als u binnen zeven werkdagen na de inbreuk geen contact met ons opneemt, beginnen we de gegevens te lekken.
Nadat u contact met ons heeft opgenomen, zullen wij u het bewijs leveren dat uw bestanden zijn uitgepakt.
Om te bevestigen dat onze decoderingssoftware werkt, e-mailt u ons 2 bestanden van willekeurige computers.
Na het opsturen van de testbestanden ontvang je verdere instructies.
jamesgonzaleswork1972@protonmail.com
pretty_hardjob2881@mail.com
dprworkjessiaeye1955@tutanota.com
Deze dreiging was in het verleden niet de moeite waard om veel aandacht aan te besteden, maar de tijden zijn veranderd. Met alle virale bedreigingen die er tegenwoordig zijn, is er voldoende bewijs dat hackers meer dan bereid zijn om door te gaan met hun traktaties.
We raden u aan om alle essentiële informatie op uw computer versleuteld te houden en deze alleen via versleutelde kanalen over te dragen. Dit helpt voorkomen dat gegevens worden gestolen of onderschept. U moet regelmatig back-ups van gegevens maken en onderhouden, zodat u bestanden veilig kunt herstellen in geval van gegevensverlies of een ransomware-aanval. Hoe meer back-ups je hebt, hoe beter.
Nefilim-codering
Nefilim versleutelt bestanden met behulp van het AES-128-coderingsalgoritme. De coderingssleutel voor de bestanden wordt vervolgens opnieuw gecodeerd met behulp van een openbare RSA-2048-sleutel die is ingebouwd in het uitvoerbare bestand voor de ransomware.
De versleutelde sleutel wordt toegevoegd aan bestanden en kan alleen worden ontsleuteld met een RSA-privésleutel. De dreigingsactoren achter de aanval houden de enige kopie van de sleutel. Nefilim verandert ook de bestandsextensie van elk bestand in .NEFILIM. Een bestand met de naam ABC.doc zou bijvoorbeeld ABC.doc.NEFILIM worden.
Het is raadzaam om elk contact met cybercriminelen zoals degenen die verantwoordelijk zijn voor de NEFILIM Ransomware te vermijden. Cybercriminelen komen hun beloften zelden na, en zelfs als u het gevraagde losgeld betaalt, krijgt u mogelijk nooit de decoderingssleutel die u nodig hebt om uw bestanden te herstellen. Overweeg om een echte antispywaretoepassing te downloaden en te installeren die niet alleen de NEFILIM Ransomware veilig van uw computer verwijdert, maar ook uw systeem en uw bestanden in de toekomst veilig houdt.
