Pandora (TeslaRVNG) Ransomware
Cybersecurity-onderzoekers hebben een andere ransomware-dreiging ontdekt onder de naam Pandora. In tegenstelling tot de vorige malware is de dreiging deze keer echter een variant die is gemaakt op basis van de TeslaRVNG- familie. Systemen die zijn geïnfecteerd met ransomware worden onderworpen aan gegevenscodering. Het cryptografische algoritme van militaire kwaliteit dat door de dreiging wordt gebruikt, zal de bestanden van het slachtoffer in een onbruikbare staat achterlaten met praktisch nul kans op herstel zonder de juiste decoderingssleutel te hebben.
Van elk bestand dat is vergrendeld door de Pandora (TeslaRVNG) Ransomware, wordt de oorspronkelijke naam aanzienlijk gewijzigd. Ten eerste voegt de dreiging een ID-tekenreeks toe die is gegenereerd voor het specifieke slachtoffer. Vervolgens wordt er een e-mailadres aan gekoppeld dat beheerd wordt door de hackers. Vervolgens wordt de gebruikelijke naam van het bestand gevolgd door '.Pandora' als nieuwe bestandsextensie. Een bestand met de naam 'Picture1.png' wordt dus hernoemd naar 'ID_String.[Harold.Winter1900@mailfence.com].Picture1.png.Pandora.' Na het versleutelen van alle beoogde bestandstypen op het systeem, zal de Pandora (TeslaRVNG) een tekstbestand met de naam 'Pandora.txt' op het bureaublad maken.
Details van losgeldbrief
Het tekstbestand zal een bericht bevatten waarin losgeld wordt gevraagd van de operators van de dreiging. Volgens het losgeldbriefje voeren de bedreigingsactoren achter de malware een dubbel afpersingsschema uit. Naast het vergrendelen van de bestanden van hun slachtoffers, beweren de cybercriminelen verschillende gevoelige en waardevolle bestanden te hebben verkregen.
De verzamelde gegevens kunnen bestaan uit persoonlijke gegevens over de werknemers van het geschonden bedrijf, financiële informatie, productiedocumenten en meer. De aanvallers dreigen de gegevens van het bedrijf openbaar te maken als hun eisen niet worden ingewilligd. Tegelijkertijd krijgen slachtoffers twee e-mailadressen die kunnen worden gebruikt om contact op te nemen met de hackers - 'Harold.Winter1900@mailfence.com' en 'Harold.Winter1900@cyberfear.com'.
De volledige tekst van de instructies die de Pandora (TeslaRVNG) Ransomware heeft achtergelaten, is:
' door zwakke plekken in de beveiliging bent u gehackt.
Al uw bestanden worden momenteel versleuteld door PANDORA.om uw gegevens te decoderen, neem contact met ons op via:
E-mail 1: Harold.Winter1900@mailfence.com
E-mail 2: Harold.Winter1900@cyberfear.comvermelden - als uw id in e-mail of titel
Aandacht!
VERWIJDER GEEN bestanden in de map c:\pandora, anders kunnen we uw bestanden niet decoderen
spelen met versleutelde bestanden kan permanent gegevensverlies veroorzaken.
Hoe sneller u schrijft, u zult minder tijd verspillen en sneller herstellen en mogelijk een lagere prijs krijgen
Ons bedrijf waardeert zijn reputatie. We geven alle garanties voor de decodering van uw bestanden, zoals testdecodering van sommige ervan (niet-kritieke, voor prijzen >30k decoderen we zelfs kritieke bestanden en sturen screenshots van het geopende bestand)
ook gevoelige gegevens op uw systeem zijn GEDOWNLOADE en we kunnen ze publiceren als we niets van u horen
Gegevens kunnen zijn:Persoonlijke gegevens van medewerkers, cv's, DL, SSN.
Privé financiële informatie waaronder: klantgegevens, rekeningen, budgetten, jaarverslagen, bankafschriften.
Productiedocumenten, waaronder: datagrammen, schema's, tekeningen in solidworks-formaat
En meer... '
