Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup Theft oprogramowania ransomware

Theft oprogramowania ransomware

Do Mezo w Oprogramowanie wymuszające okup
Przetłumacz na:

Współczesne środowisko zagrożeń jest bezlitosne. Cyberprzestępcy nieustannie udoskonalają swoje narzędzia, aby wykorzystywać nieświadomych użytkowników. Jednym z najbardziej dotkliwych zagrożeń jest ransomware, czyli złośliwe oprogramowanie szyfrujące dane i wymuszające od ofiar okup. Jednym z nowych wariantów jest tzw. Theft Ransomware, które już wcześniej zaobserwowano jako siejące spustoszenie w niczego niepodejrzewających systemach.

Co sprawia, że kradzież oprogramowania ransomware jest niebezpieczna

Theft Ransomware to nowy szczep powiązany z niesławną rodziną ransomware Dharma, grupą znaną z atakowania zarówno osób fizycznych, jak i organizacji. Po infiltracji urządzenia złośliwe oprogramowanie szyfruje pliki i zmienia ich nazwy, dodając:

  • Unikalny identyfikator ofiary
  • Adres e-mail atakujących
  • Rozszerzenie „.theft”

Na przykład „1.png” staje się „1.png.id-9ECFA84E.[datatheft@tuta.io].theft.”

Ofiary otrzymują następnie żądanie okupu w postaci plików tekstowych („info.txt”) oraz wyskakujące okienko. Chociaż treść jest zwięzła i zawiera jedynie dane kontaktowe, wyskakujące okienko oferuje więcej szczegółów, w tym zapewnienie, że odzyskanie danych jest możliwe po zapłaceniu okupu. Atakujący oferują nawet „dowód odszyfrowania”, umożliwiając bezpłatne odzyskanie trzech małych, niekrytycznych plików.

Aby wywierać jeszcze większą presję, przestępcy twierdzą, że ukradli poufne dane firmy i grożą ich ujawnieniem, jeśli płatność zostanie odrzucona.

Charakterystyka techniczna zagrożenia

Podobnie jak inne warianty oparte na Dharmie, Theft Ransomware nie blokuje całych systemów, lecz szyfruje pliki lokalne i współdzielone w sieci. Szkodliwe oprogramowanie aktywnie:

  • Kończy procesy powiązane z używanymi plikami (bazy danych, czytniki itp.)
  • Kopiuje się do ścieżki %LOCALAPPDATA% i rejestruje trwałość za pomocą klawiszy Run
  • Ustawia się na automatyczne uruchamianie po ponownym uruchomieniu systemu
  • Usuwa kopie woluminów w tle, aby uniemożliwić łatwe odzyskiwanie

Szkodliwe oprogramowanie zbiera również dane geolokalizacyjne, aby określić, czy kontynuować szyfrowanie, potencjalnie wykluczając określone regiony.

Jak rozprzestrzenia się infekcja

Kradzieżowe oprogramowanie ransomware wykorzystuje wiele taktyk infiltracji, z których najczęstszą są słabo zabezpieczone usługi RDP (Remote Desktop Protocol). Ataki siłowe i słownikowe na słabo zabezpieczone konta stanowią częsty punkt wejścia. Po wniknięciu do systemu złośliwe oprogramowanie może nawet wyłączyć zapory sieciowe, aby ułatwić sobie działanie.

Inne znane kanały dystrybucji obejmują:

Phishing i inżynieria społeczna – złośliwe załączniki lub linki w wiadomościach e-mail, wiadomościach prywatnych i postach.

Trojany i tylne drzwi – służą do dyskretnego rozprzestrzeniania oprogramowania ransomware.

Reklamy złośliwe i pliki typu drive-by download – uruchamiane po prostu przez odwiedzenie zainfekowanej witryny.

Podejrzane źródła oprogramowania – pirackie narzędzia, pakiety darmowego oprogramowania i fałszywe aktualizacje.

Nośniki wymienne i sieci lokalne – umożliwiają złośliwemu oprogramowaniu rozprzestrzenianie się wewnątrz systemu po jego wykryciu.

Dlaczego płacenie okupu jest ryzykownym zakładem

Odszyfrowanie plików zaszyfrowanych metodą Theft bez klucza atakującego jest praktycznie niemożliwe. Chociaż niektóre warianty ransomware są wadliwe, zagrożenia oparte na Dharmie są zazwyczaj solidnie skonstruowane. Co ważne, zapłacenie okupu nie daje gwarancji odzyskania pieniędzy, a wiele ofiar zostaje bez środków nawet po przelaniu pieniędzy. Co gorsza, zapłata jedynie finansuje dalsze działania przestępcze.

Wzmocnienie obrony przed oprogramowaniem ransomware

Najlepszym sposobem walki z ransomware typu Theft jest zapobieganie. Ponieważ usunięcie złośliwego oprogramowania nie przywróci automatycznie zaszyfrowanych plików, użytkownicy muszą skupić się na odporności i proaktywnej obronie. Kluczowe praktyki, które powinien stosować każdy użytkownik, to:

  • Regularne kopie zapasowe – przechowuj kopie ważnych plików w wielu bezpiecznych lokalizacjach, takich jak dyski offline i usługi w chmurze, które nie są mapowane na zainfekowany system.
  • Aktualizuj oprogramowanie i systemy – stosuj poprawki, aby usuwać luki w zabezpieczeniach wykorzystywane przez oprogramowanie ransomware.
  • Użyj silnego uwierzytelniania – zabezpiecz usługi RDP za pomocą unikalnych, złożonych haseł i włącz uwierzytelnianie wieloskładnikowe.
  • Zachowaj ostrożność, korzystając z wiadomości e-mail i linków – nie otwieraj podejrzanych załączników ani nie klikaj nieznanych linków, nawet jeśli wydają się wiarygodne.
  • Ogranicz uprawnienia administracyjne – ogranicz uprawnienia, aby zmniejszyć ryzyko uruchomienia złośliwego oprogramowania.
  • Zainstaluj sprawdzone narzędzia zabezpieczające – korzystaj z rozwiązań antywirusowych z funkcjami ochrony przed oprogramowaniem wymuszającym okup.
  • Wyłącz makra i skrypty – wiele ataków ransomware jest wywoływanych za pośrednictwem dokumentów lub skryptów pakietu Office.
  • Segmentuj sieci – zapobiegaj bocznemu rozprzestrzenianiu się złośliwego oprogramowania w środowiskach biznesowych.

Ostatnie myśli

Kradzież oprogramowania ransomware uwypukla ciągłą ewolucję rodziny Dharma i jej trwałą rolę w globalnych kampaniach ransomware. Połączenie szyfrowania, kradzieży danych i wymuszeń czyni go szczególnie szkodliwym. Ponieważ odzyskanie plików jest często niemożliwe bez czystych kopii zapasowych, jedyną prawdziwą obroną jest wielowarstwowa prewencja, silna cyberhigiena i niezawodne strategie odzyskiwania danych.

System Messages

The following system messages may be associated with Theft oprogramowania ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Popularne

Najczęściej oglądane

Ładowanie...