Righ Ransomware

Specjaliści od cyberbezpieczeństwa starają się nadążyć za wszystkimi zagrożeniami ransomware, które wypuszczają cyberprzestępcy. Tworzenie i dystrybucja trojana blokującego dane nie jest tak trudne, jak mogłoby się początkowo wydawać. Większość oszustów internetowych decyduje się pożyczyć kod istniejących zagrożeń ransomware i nieznacznie go zmodyfikować, aby dopasować do swoich potrzeb. Jest to znacznie łatwiejsze podejście niż budowanie od zera trojana szyfrującego pliki. To właśnie zrobili twórcy Righ Ransomware. To nowo odkryte zagrożenie ransomware jest kopią niesławnego STOP Ransomware - najbardziej aktywnej rodziny ransomware w 2019 roku, z ponad 200 egzemplarzami zbudowanymi i dystrybuowanymi.

Rozmnażanie i szyfrowanie

Twórcy Righ Ransomware mogą używać spamu w celu propagowania ich tworzenia, ponieważ wydaje się, że jest to najczęściej stosowana metoda dystrybucji, jeśli chodzi o tego rodzaju zagrożenia. Wiadomości e-mail zawierające spam często zawierają załącznik, który ma wyglądać jak nieszkodliwy dokument, który nie jest wcale nieszkodliwy. Jeśli użytkownicy zostaną oszukani w uruchomieniu załączonego pliku, ich systemy zostaną zainfekowane Righ Ransomware. Inne popularne metody propagacji to fałszywe pobieranie i aktualizacje oprogramowania, fałszywe pirackie treści, takie jak aplikacje i pliki multimedialne, narzędzia do śledzenia torrentów itp. Trojany blokujące pliki, takie jak Righ Ransomware, są często programowane tak, aby atakować bardzo długą listę typów plików, które mają duża szansa na obecność w systemie zwykłych użytkowników. Zapewniamy, że każdy plik .mp3, .mp4, .jpeg, .jpg, .png, .mov, .pdf, .doc, .docx, .xls, .xlsx zostanie zaszyfrowany i stanie się bezużyteczny. Righ Ransomware dołącza rozszerzenie „.righ" na końcu nazw wszystkich zablokowanych plików. Oznacza to, że obraz o nazwie „hell-fire.jpeg" pierwotnie zostanie przemianowany na „hell-fire.jpeg.righ", gdy Righ Ransomware go zablokuje.

Nota o okupie

Po zakończeniu procesu szyfrowania Righ Ransomware upuści notatkę o okupie na pulpicie użytkownika. Wiadomość o okupie programu Righ Ransomware znajduje się w pliku o nazwie „_readme.txt", który jest znakiem towarowym zagrożeń ransomware należących do rodziny STOP Ransomware. Wiadomość o okupie stwierdza:

• Opłata za okup wynosi 490 USD dla wszystkich użytkowników, którzy kontaktują się z autorami zagrożenia w ciągu 72 godzin od ataku.
• Użytkownicy, którzy nie dotrzymają terminu określonego przez atakujących, będą musieli uiścić podwójną opłatę okupową, która wyniesie 980 USD.
Osoby atakujące są gotowe odszyfrować 2-3 pliki bezpłatnie, aby przekonać ofiarę, że mają działający klucz deszyfrujący.
• Dane kontaktowe atakujących - „datarestorehelp@firemail.cc" i „datahelp@iran.ir".

Nie ma ważnego powodu, aby zapłacić opłatę okupową. Większość ofiar oprogramowania ransomware, które decydują się na zapłatę, kończy się z pustymi rękami, gdy atakujący decydują się na ich upiór po otrzymaniu gotówki. Jeśli padłeś ofiarą Righ Ransomware, powinieneś rozważyć zainwestowanie w oryginalną aplikację anty-malware, która pomoże Ci pozbyć się systemu Righ Ransomware i zapewni ochronę twojego komputera.