REVRAC (Makop) Ransomware
Het gevaar van ransomware is groter dan ooit. Nu datalekken en malware-aanvallen regelmatig in het nieuws komen, is het cruciaal dat gebruikers waakzaam blijven en sterke cybersecuritymaatregelen nemen. Een van de nieuwste dreigingen die de ronde doet, is een nieuw geïdentificeerde variant van de REVRAC-ransomware, een geavanceerde en zeer schadelijke variant die tot de Makop-ransomwarefamilie behoort. Deze analyse duikt in de werking van deze dreiging, de infectiemethoden en de meest effectieve manieren om ertegen te verdedigen.
Inhoudsopgave
Een bekende naam met een gevaarlijke twist
Hoewel er in het verleden al een ransomware met de naam REVRAC is waargenomen, is de huidige variant een geheel nieuwe en gevaarlijke evolutie. Deze versie is onomstotelijk gelinkt aan de Makop-ransomwarefamilie, bekend om zijn agressieve encryptie en destructieve mogelijkheden. Zodra REVRAC op een doelsysteem is uitgevoerd, begint het onmiddellijk met het encrypteren van de bestanden van de gebruiker, inclusief documenten, afbeeldingen, databases en andere waardevolle gegevens.
De geïnfecteerde bestanden worden hernoemd volgens een bepaald patroon: de oorspronkelijke bestandsnaam wordt aangepast en bevat nu de unieke ID van het slachtoffer, het e-mailadres van de aanvallers en de extensie '.REVRAC'. Een bestand als '1.png' wordt bijvoorbeeld hernoemd naar '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC.'
Naast het vergrendelen van bestanden verandert de ransomware ook de bureaubladachtergrond van het systeem en creëert een losgeldbericht met de naam '+README-WARNING+.txt.' In dit bericht staan de eisen van de aanvallers en wordt gewaarschuwd tegen het gebruik van tools van derden of het hernoemen van bestanden. Ze dreigen met permanente schade of hogere losgeldeisen.
De losgeldbrief: opzettelijke afpersing
Het door REVRAC achtergelaten losgeldbericht is bedoeld om slachtoffers tot naleving te dwingen door middel van angst en urgentie. Het informeert gebruikers dat hun bestanden niet kunnen worden hersteld zonder een unieke decryptiesleutel die alleen de aanvallers bezitten. Slachtoffers wordt gevraagd contact op te nemen met 'onlybuy@cyberfear.com' en hun persoonlijke ID te verstrekken, zoals weergegeven in de bestandsnamen. De brief benadrukt dat ongeautoriseerde pogingen om de versleutelde gegevens te decoderen of te wijzigen, kunnen leiden tot onomkeerbaar gegevensverlies.
Ondanks deze beweringen raden cybersecurity-experts sterk af om losgeld te betalen. Er is geen garantie dat betalen leidt tot bestandsherstel, en dit wakkert alleen maar verdere criminele activiteiten aan.
Hoe REVRAC systemen infecteert
De REVRAC-ransomware verspreidt zich via een verscheidenheid aan misleidende en kwaadaardige tactieken. Veelvoorkomende infectievectoren zijn onder andere:
Nep-software-installatieprogramma's : malware vermomd als gekraakte programma's, sleutelgeneratoren of ongeautoriseerde activeringstools.
Phishing-e-mails : berichten waarmee gebruikers worden verleid schadelijke bijlagen te downloaden of op gevaarlijke links te klikken.
Gehackte websites en advertenties : websites of advertenties die er legitiem uitzien en die heimelijk malware installeren.
Verwisselbare media en netwerkverspreiding : infecties die zich verspreiden via USB-stations of lateraal via aangesloten systemen.
Misbruik maken van kwetsbaarheden in software : gebruik maken van ongepatchte bugs in legitieme software om toegang te krijgen tot de ransomware-payload en deze uit te voeren.
De malware is vaak ingebed in bestandsformaten zoals uitvoerbare bestanden (.exe), documenten (.docx, .xls), scripts (.js, .vbs) of archiefbestanden (.zip, .rar).
Best practices om ransomware-infecties te voorkomen
Om zich te verdedigen tegen bedreigingen zoals REVRAC, moeten gebruikers een gelaagde en proactieve cybersecurityaanpak hanteren. Enkele van de meest effectieve beveiligingsmaatregelen zijn:
- Zorg ervoor dat alle besturingssystemen, applicaties en beveiligingstools volledig up-to-date zijn.
- Gebruik een betrouwbare antivirus- of antimalwareoplossing met realtimebescherming.
- Schakel macro's uit in Microsoft Office-bestanden van onbekende bronnen.
Conclusie: blijf waakzaam en blijf beschermd
De REVRAC-ransomware is een krachtig voorbeeld van hoe ransomware zich blijft ontwikkelen en steeds gerichter en schadelijker wordt. De connectie met de Makop-familie onderstreept de potentiële schade. Met de juiste voorzorgsmaatregelen, van softwarehygiëne tot gebruikersvoorlichting en back-uproutines, kunnen zowel particulieren als organisaties hun gegevens en systemen beschermen tegen cybercriminelen. Preventie blijft het krachtigste instrument tegen ransomware.
Berichten
De volgende berichten met betrekking tot REVRAC (Makop) Ransomware zijn gevonden:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
