ThunderCrypt Ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
Dreigingsniveau: | 80 % (Hoog) |
Geïnfecteerde computers: | 592 |
Eerst gezien: | May 11, 2017 |
Laatst gezien: | April 21, 2022 |
Beïnvloede besturingssystemen: | Windows |
De ThunderCrypt Ransomware is een ransomware-trojan die wordt gebruikt om computers te infecteren in een poging computergebruikers af te persen. De ThunderCrypt Ransomware werd voor het eerst waargenomen in mei 2017 en het lijkt eerder een op zichzelf staande infectie te zijn dan deel uit te maken van een grotere familie. PC-beveiligingsonderzoekers vermoeden dat de ThunderCrypt Ransomware wordt afgeleverd met behulp van beschadigde spam-e-mailbijlagen die misbruik maken van kwetsbaarheden in macro's om een beschadigde code op de computer van het slachtoffer uit te voeren. Er is ook waargenomen dat de ThunderCrypt Ransomware wordt afgeleverd als een nepupdate voor Adobe Flash Player, een veelgebruikte tactiek die in de loop der jaren in tal van bedreigingsvarianten is gezien.
Hoe de ThunderCrypt Ransomware zijn aanval uitvoert
Wanneer het slachtoffer wordt blootgesteld aan de downloader van de ThunderCrypt Ransomware, zal Gebruikersaccountbeheer het volgende bericht weergeven:
'Gebruikersaccount controle
Wil je deze app toestaan van een
onbekende uitgever om wijzigingen aan te brengen
Je toestel?
install_flash_player_ax.exe
Uitgever onbekend
Oorsprong bestand: harde schijf op deze computer '
Als u op OK klikt, verschijnt een venster met de naam 'Adobe Flash Player 25.0 Installer', voortgangsbalk en alles. Na enkele ogenblikken wordt de volgende foutmelding weergegeven:
'Adobe Flash Player 25.0 Installer
De installatie heeft fouten aangetroffen:
Uw Microsoft Internet Explorer-browser bevat de nieuwste versie van Adobe Flash Player
ingebouwde Windows Update zal u informeren wanneer er nieuw is van de Flash Player
zijn beschikbaar'
De ThunderCrypt Ransomware zal op de achtergrond blijven werken en de bestanden van het slachtoffer versleutelen. De ThunderCrypt Ransomware richt zich op de bestanden die door de gebruiker worden gegenereerd, waaronder afbeeldingen, tekstbestanden, video's en bestanden die zijn gegenereerd door programma's zoals AutoCAD, Microsoft Office, Libre Office, Adobe Photoshop, enz. Het kan enkele uren duren voordat de ThunderCrypt Ransomware codeer alle bestanden van het slachtoffer en werk op de achtergrond zonder het slachtoffer te waarschuwen voor de aanval. De ThunderCrypt Ransomware zal de bestanden die tijdens de aanval zijn aangetast, markeren met de bestandsextensie '.thundercrypt'.
Hoe de ThunderCrypt Ransomware kan worden gebruikt om winst te genereren ten koste van het slachtoffer
De ThunderCrypt Ransomware gebruikt een combinatie van de AES- en RSA-codering om het onmogelijk te maken om de gecodeerde bestanden te herstellen zonder de decoderingssleutel. De ThunderCrypt Ransomware zal de betaling van 0,345 BitCoin (ongeveer $ 650 USD tegen de huidige wisselkoers) eisen om de decoderingssleutel te krijgen. De ThunderCrypt Ransomware gijzelt de bestanden van het slachtoffer totdat het losgeld is betaald. De ThunderCrypt Ransomware geeft zijn losgeldvereisten weer in een losgeldbrief met de volgende tekst:
'Goedenmiddag!
We hebben al uw persoonlijke bestanden versleuteld! Om de lijst met versleutelde bestanden te zien!
We hebben dit gedaan met behulp van hybride RSA-2048-codering met openbare sleutels. Het betekent in feite dat er geen manier is om uw bestanden te decoderen zonder de privésleutel. De privésleutel wordt op onze server opgeslagen.
We kunnen uw bestanden inderdaad herstellen. U hoeft ons alleen voor de deadline te betalen (zie het aftellen). Als u dat niet doet, wordt de privésleutel veilig van onze server gewist en verliest u gecodeerde bestanden voor altijd.
Maak het vereiste bedrag over (zie links) naar het Bitcoin-adres hieronder, dat alleen voor uw betaling is gegenereerd. Als u niet weet hoe u Bitcoin moet gebruiken of waar u Bitcoins kunt kopen, klik dan hier. Zodra de transactie is bevestigd, wordt de decodering automatisch gestart. Het duurt gewoonlijk ongeveer 30 minuten voordat de transactie wordt bevestigd. U wordt op de hoogte gehouden van eventuele vorderingen.
[WILLEKEURIGE KARAKTERS]
WAARSCHUWING. Antivirussoftware kan dit programma verwijderen, maar het kan uw bestanden niet decoderen. Schakel dus uw antivirus tijdelijk uit, want we kunnen uw bestanden niet decoderen als dit programma beschadigd is. Wijzig ook geen van de gecodeerde bestanden, anders kunnen zelfs wij ze niet herstellen.
Heeft u vragen of ondervindt u problemen met de betaling, neem dan gerust contact met ons op.
We kunnen ook gratis een bestand tot 3 MiB ontsleutelen als bewijs dat ontsleuteling mogelijk is. '
PC-beveiligingsonderzoekers adviseren computergebruikers om af te zien van het betalen van het ThunderCrypt Ransomware-losgeld. Hierdoor kunnen fraudeurs deze bedreigingen blijven creëren. Bovendien is er weinig garantie dat deze mensen hun belofte zullen nakomen en het slachtoffer zullen helpen de getroffen bestanden te herstellen.