Intel Ransomware

Badacze odkryli nową odmianę ransomware znaną jako Intel Ransomware. To groźne oprogramowanie infiltruje urządzenia, szyfruje przechowywane dane i żąda okupu w zamian za rzekome odszyfrowanie zainfekowanych informacji.

Warto zauważyć, że pliki dotknięte oprogramowaniem ransomware Intel przechodzą proces zmiany nazwy. Oryginalne nazwy plików są uzupełniane unikalnym identyfikatorem przypisanym ofierze, po którym następuje ciąg „.[intellent@ai_download_file]” i zakończone rozszerzeniem „.intel”. Przykładowo, plik o początkowej nazwie „1.jpg” zostanie po zaszyfrowaniu przekształcony w „1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel”.

Po zakończeniu procesu szyfrowania ofiary napotykają notatki z żądaniem okupu prezentowane zarówno w wyskakującym oknie, jak i w postaci plików tekstowych o nazwie „README!.txt”. Te pliki tekstowe są przechowywane w każdym zaszyfrowanym folderze i na pulpicie systemu. Analiza treści żądania okupu pokazuje, że oprogramowanie Intel Ransomware atakuje w szczególności firmy i stosuje taktykę podwójnego wymuszenia. Co więcej, ten groźny program jest powiązany z rodziną Dharma Ransomware .

Oprogramowanie ransomware firmy Intel uniemożliwia ofiarom dostęp do ich własnych danych

Intel Ransomware demonstruje kompleksowe podejście, szyfrując zarówno pliki lokalne, jak i udostępniane w sieci, przy czym kluczowe pliki systemowe pozostają nienaruszone, aby uniknąć sytuacji, w których system przestanie działać. Warto zauważyć, że wykorzystuje strategię mającą na celu uniknięcie podwójnego szyfrowania poprzez wykluczenie plików zablokowanych przez inne oprogramowanie ransomware. Jednak ta metoda nie jest niezawodna, ponieważ opiera się na predefiniowanej liście, która może nie obejmować wszystkich znanych wariantów oprogramowania ransomware.

Co więcej, złośliwe oprogramowanie firmy Intel wykazuje wyrafinowanie w swoim działaniu, zamykając procesy powiązane z plikami, które mogą być otwarte, takimi jak czytniki plików tekstowych i programy bazodanowe. Ten proaktywny środek ma na celu zapobieganie konfliktom dotyczącym plików uznawanych za „w użyciu”, zapewniając, że nie zostaną one zwolnione z szyfrowania.

Rodzina ransomware Dharma, do której należy złośliwe oprogramowanie firmy Intel, wykorzystuje strategiczne taktyki infiltracji i utrzymywania się. Obejmuje to wyłączenie zapory sieciowej w celu ułatwienia infiltracji i uniknięcia wykrycia. Dodatkowo techniki zapewniające trwałość obejmują:

• • Kopiowanie złośliwego oprogramowania do ścieżki %LOCALAPPDATA%.

• • Rejestrowanie go za pomocą określonych klawiszy Run.

• • Konfigurowanie automatycznej inicjalizacji oprogramowania ransomware po każdym ponownym uruchomieniu systemu.

Godnym uwagi aspektem ataków Dharmy jest ich potencjał ukierunkowanych działań. Programy powiązane z tą rodziną mogą gromadzić dane geolokalizacyjne, dopuszczając wyjątki w swoich atakach. Ta zdolność adaptacji oznacza, że infekcje mogą mieć motywację polityczną lub geopolityczną lub mogą celowo unikać ofiar, które prawdopodobnie nie spełnią żądań okupu, szczególnie w regionach o słabych warunkach gospodarczych.

Aby jeszcze bardziej utrudnić odzyskanie danych, oprogramowanie Intel Ransomware może usunąć kopie woluminów w tle, utrudniając przywrócenie poprzednich wersji plików. Z szeroko zakrojonych badań nad infekcjami oprogramowaniem ransomware wynika, że odszyfrowanie bez interwencji osób atakujących jest zazwyczaj wyzwaniem nie do pokonania.

Oprogramowanie ransomware firmy Intel wykorzystuje taktykę podwójnego wymuszenia

Treść pliku tekstowego służy jako krótkie powiadomienie ofiary, informujące, że jej dane zostały zaszyfrowane i zebrane. Zachęca ofiarę do nawiązania komunikacji poprzez wysłanie wiadomości e-mail do atakujących.

Natomiast wyskakujący komunikat zawiera bardziej szczegółowe informacje na temat infekcji ransomware. Przypomina aspekty szyfrowania i kradzieży danych, podkreślając pilność sytuacji. Żądanie okupu zawiera surowe ostrzeżenie, że brak kontaktu z cyberprzestępcami w ciągu 24 godzin lub odmowa spełnienia żądania okupu doprowadzi do ujawnienia skradzionych treści w ciemnej sieci lub ich sprzedaży konkurentom firmy ofiary.

Aby zademonstrować możliwość odzyskania wiadomości, wiadomość oferuje bezpłatny test deszyfrowania, który można przeprowadzić na jednym pliku. Ofiara jest również wyraźnie informowana, że zwrócenie się o pomoc do firm windykacyjnych może skutkować dodatkowymi stratami finansowymi, ponieważ pośrednicy ci zazwyczaj pobierają opłaty doliczane do kwoty okupu.

Jednakże często obserwuje się, że ofiary, nawet po spełnieniu żądań okupu, nie otrzymują obiecanych kluczy deszyfrujących ani oprogramowania. Pomimo spełnienia wymagań okupu nie ma gwarancji odzyskania plików. W związku z tym badacze zdecydowanie odradzają płacenie okupu, ponieważ nie tylko nie gwarantuje to odzyskania plików, ale także utrwala i wspiera działalność przestępczą. Ponadto należy pamiętać, że chociaż usunięcie oprogramowania ransomware może zatrzymać dalsze szyfrowanie danych, proces usuwania nie przywraca automatycznie wcześniej zainfekowanych plików.

Oprogramowanie Intel Ransomware wyświetla następującą notatkę z żądaniem okupu w wyskakującym oknie:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Jeśli nie napiszesz do nas w ciągu 24 godzin, zaczniemy publikować i sprzedawać Twoje dane w darknecie na stronach hakerskich oraz zaoferujemy te informacje Twojej konkurencji
napisz do nas: intellent.ai@onionmail.org TWÓJ IDENTYFIKATOR -
Jeśli nie otrzymasz odpowiedzi w ciągu 24 godzin, napisz na ten e-mail: intellent.ai@onionmail.org

WAŻNA INFORMACJA!
Pamiętaj, że gdy Twoje dane pojawią się na naszej stronie z wyciekami, w każdej chwili mogą zostać przekupione przez konkurencję, więc nie wahaj się długo. Im szybciej zapłacisz okup, tym szybciej Twoja firma będzie bezpieczna.
sprawdziliśmy wszystkie Twoje raporty i przychody Twojej firmy.
Gwarancja: Jeśli nie udostępnimy Ci narzędzia deszyfrującego lub nie usuniemy Twoich danych po dokonaniu płatności, nikt nie zapłaci nam w przyszłości. Cenimy naszą reputację.
Klucz gwarancyjny: Aby udowodnić, że klucz odszyfrowujący istnieje, możemy bezpłatnie przetestować plik (nie bazę danych i kopię zapasową).
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Nie zwracaj się do firm zajmujących się odzyskiwaniem danych — to w zasadzie tylko pośrednicy. Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej). Tylko my posiadamy klucze odszyfrowujące.

Pliki tekstowe utworzone przez Intel Ransomware zawierają następujący komunikat:

Twoje dane zostały skradzione i zaszyfrowane!

Wyślij do nas e-mail

intellent.ai@onionmail.org”