Khonsari Ransomware

Khonsari Ransomware to zupełnie nowe oprogramowanie ransomware przeznaczone do atakowania komputerów z systemem Windows. W tym celu oszuści stojący za oprogramowaniem ransomware wykorzystują niedawno znalezioną lukę CVE-2021-44228, znaną również jako Log4Shell , Logjam i Log4j. Ta ostatnia jest krytyczną luką, która umożliwia hakerom zdalne wykonanie kodu w celu przejęcia niezałatanych serwerów i umieszczenia ich w botnecie.

W przeciwieństwie do innych popularnych programów ransomware, które są obecnie w obiegu, Khonsari nie rozprzestrzenia się za pośrednictwem spamu ani złośliwych reklam. Aby zainfekować komputer PC za pomocą Khonsari, oszuści muszą najpierw wykorzystać wspomnianą wyżej lukę, aby zmusić docelowy system do pobrania dowolnego kodu. Po wykonaniu kod ten daje cyberprzestępcom całkowitą kontrolę nad zaatakowanym systemem i nieskończone możliwości umieszczania wszelkiego rodzaju złośliwego oprogramowania, w tym Khonsari.

Jeśli przeciwnik zdecyduje się na uruchomienie infekcji Khonsari na tym etapie, ransomware zaszyfruje wiele typów plików i wygeneruje następującą notę dotyczącą okupu:

Twoje pliki zostały zaszyfrowane i skradzione przez rodzinę Khonsari. Jeśli chcesz odszyfrować, zadzwoń (225) 287-1309 lub wyślij e-mail na adres karenkhonsari@gmail.com . Jeśli nie wiesz, jak kupić btc, skorzystaj z wyszukiwarki, aby znaleźć giełdy. NIE MODYFIKUJ ANI NIE USUWAJ TEGO PLIKU ANI ŻADNYCH ZASZYFROWANYCH PLIKÓW. JEŚLI ZROBISZ, TWOJE PLIKI MOGĄ BYĆ NIEODZYWALNE.'

Notatka jest dość podstawowa pod względem instrukcji, podobnie jak samo Khonsari Ransomware. Ładunek Khonsari ma tylko 12 KB, co wyjaśnia, dlaczego nie jest tak wyrafinowany, jak inne godne uwagi zagrożenia. Badacze spekulują, że kontakt podany w żądaniu okupu może być fałszywą flagą, a Karen Khonsari może być osobą fizyczną w prawdziwym życiu. Jednak muszą jeszcze potwierdzić tę teorię, dlatego Chonsari Ransomware stwarza na razie poważne ryzyko.