Prestige Ransomware

De Prestige Ransomware is een bedreigende tool die door cybercriminelen wordt gebruikt om de gegevens van hun slachtoffers te vergrendelen. Deze specifieke aanvalscampagne was voornamelijk gericht op doelen in Oekraïne en Polen. Bovendien leveren de bedreigingsactoren informatie-stelende malware voordat ze de Prestige Ransomware laten vallen via PowerShell, het Windows Scheduled Task-hulpprogramma of het Default Domain Group Policy Object. Om zijn coderingsroutine uit te voeren, moet de dreiging beheerdersrechten hebben. Het probeert ook de MSSQL Windows-service te stoppen, als een manier om een succesvolle codering te garanderen.

Zodra het is geactiveerd, zal Prestige het geïnfecteerde systeem scannen en documenten, PDF's, afbeeldingen, foto's, archieven, databases en meer vergrendelen. Elk versleuteld bestand zal als nieuwe extensie '.enc' aan zijn naam hebben gekoppeld. Slachtoffers zullen worden achtergelaten met een losgeldbrief in een bestand met de naam 'README.'

De instructies geven weinig bruikbare informatie. De aanvallers stellen eenvoudig dat slachtoffers contact met hen moeten opnemen door een bericht te sturen naar het e-mailadres 'Prestige.ranusomeware@Proton.me' om aanvullende informatie te krijgen over hoe ze een decoderingstool van hen kunnen verkrijgen. De losgeldbrief eindigt met twee waarschuwingen over het niet proberen om de gegevens te ontsleutelen met software van derden of ze te hernoemen, aangezien dit permanente schade aan de bestanden kan veroorzaken.

De volledige tekst van de notitie van Prestige Ransomware is:

'UW PERSOONLIJKE BESTANDEN ZIJN VERSLEUTELD.

Om alle gegevens te decoderen, moet u onze decoderingssoftware aanschaffen.
Neem contact met ons op Prestige.ranusomeware@Proton.me. Typ in de brief uw ID = .

AANDACHT *

Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.

Wijzig of hernoem geen versleutelde bestanden. Je raakt ze kwijt.'