EnCiPhErEd Ransomware
Wielu twórców zagrożeń ransomware decyduje się na łatwą drogę, a swoje groźne produkty opierają na już istniejących i często ugruntowanych trojanach blokujących dane. Wydaje się, że tak właśnie zrobili twórcy nowo odkrytego EnCiPhErEd Ransomware. Autorzy tego paskudnego trojana oparli swoje dzieło na Xorist Ransomware . Takie podejście pozwala zaoszczędzić cyberprzestępcom dużo czasu i wysiłku, dlatego jest tak popularny w świecie cyberprzestępczości.
Rozmnażanie i szyfrowanie
Najczęściej wykorzystywanym wektorem infekcji w odniesieniu do zagrożeń ransomware są kampanie spamowe. Atakujący byliby kierowani do dużej liczby niczego niepodejrzewających użytkowników, którzy otrzymaliby wiadomość e-mail z twierdzeniem, że została wysłana przez organ rządowy lub uznaną firmę. Zazwyczaj wiadomość e-mail zawiera fałszywy załącznik i fałszywą wiadomość, która próbuje przekonać użytkownika do wykonania załączonego pliku, który posłuży do naruszenia bezpieczeństwa systemu docelowego. Kampanie reklamujące, fałszywe pirackie warianty popularnych aplikacji, fałszywe aktualizacje oprogramowania i pliki do pobrania należą do powszechnie stosowanych metod propagacji
Po zainfekowaniu systemu EnCiPhErEd Ransomware zaczął blokować wszystkie obecne na nim dane. Obrazy, dokumenty, pliki audio, wideo, arkusze kalkulacyjne, bazy danych i archiwa staną się bezużyteczne po tym, jak EnCiPhErEd Ransomware zastosuje algorytm szyfrowania i zablokuje je. Wszystkie zaszyfrowane pliki otrzymają dodatkowe rozszerzenie - „.EnCiPhErEd". Oznacza to, że plik, który pierwotnie miał nazwę „frosty-window.jpeg", zostanie zmieniony na „frosty-window.jpeg.EnCiPhErEd" po tym, jak trojan go zablokuje.
Uwaga okupu
Uwaga okupu, że EnCiPhErEd Ransomware upuszcza się na pulpicie użytkownika, nazywa się „JAK ODRYRYWAĆ PLIKI.txt". EnCiPhErEd Ransomware wyświetla również komunikat o okupie w osobnym oknie podręcznym. W nocie okupu osoby atakujące proszą użytkownika o wysłanie wiadomości tekstowej na chiński numer telefonu - „+86 17192175113". Osoby atakujące instruują także ofiarę, jaka powinna być treść wiadomości tekstowej - „19283". Badacze cyberbezpieczeństwa zdecydowanie odradzają użytkownikom nieprzestrzeganie instrukcji cyberprzestępców.
Według ekspertów prawdopodobne jest, że oprogramowanie EnCiPhErEd Ransomware może zostać odszyfrowane za darmo. Użytkownicy, na których dane EnCiPhErEd Ransomware wpłynęło, muszą wyszukać „Xorist Decryptor" online. Jest to bezpłatne narzędzie deszyfrujące, które może pomóc w odzyskaniu danych. Nawet jeśli nie było dostępnego narzędzia, nadal nie jest dobrym pomysłem współpraca z atakującymi, ponieważ często oszukują użytkowników, którzy płacą i nigdy nie dostarczają potrzebnego klucza deszyfrującego.
