Intel Ransomware

Cercetătorii au descoperit o nouă tulpină de ransomware cunoscută sub numele de Intel Ransomware. Acest software amenințător se infiltrează în dispozitive, criptând datele stocate și cerând o răscumpărare în schimbul presupusei decriptări a informațiilor compromise.

În special, fișierele afectate de ransomware Intel sunt supuse unui proces de redenumire. Numele de fișiere originale sunt mărite cu un identificator unic atribuit victimei, urmat de „.[intellent@ai_download_file]” și se încheie cu extensia „.intel”. De exemplu, un fișier etichetat inițial „1.jpg” va fi transformat în „1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel” după criptare.

Odată ce procesul de criptare este finalizat, victimele întâlnesc note de răscumpărare prezentate atât într-o fereastră pop-up, cât și ca fișiere text numite „README!.txt”. Aceste fișiere text sunt depuse în fiecare folder criptat și pe desktop-ul sistemului. Analiza conținutului notei de răscumpărare dezvăluie că Intel Ransomware vizează în mod specific companiile și folosește tactici duble de extorcare. În plus, acest program amenințător este afiliat familiei Dharma Ransomware .

Ransomware-ul Intel împiedică victimele să-și acceseze propriile date

Intel Ransomware demonstrează o abordare cuprinzătoare prin criptarea atât a fișierelor locale, cât și a fișierelor partajate în rețea, în timp ce fișierele de sistem esențiale rămân neafectate pentru a evita ca sistemul să nu fie operațional. În special, folosește o strategie pentru a evita dubla criptare prin excluderea fișierelor blocate de alt ransomware. Cu toate acestea, această metodă nu este sigură, deoarece se bazează pe o listă predefinită care poate să nu cuprindă toate variantele cunoscute de ransomware.

Mai mult, malware-ul Intel prezintă o sofisticare în funcționarea sa prin închiderea proceselor asociate fișierelor care ar putea fi deschise, cum ar fi cititoarele de fișiere text și programele de baze de date. Această măsură proactivă are ca scop prevenirea conflictelor pentru fișierele considerate „în uz”, asigurându-se că acestea nu sunt scutite de criptare.

Familia de ransomware Dharma, din care face parte malware-ul Intel, folosește tactici strategice pentru infiltrare și persistență. Aceasta include dezactivarea paravanului de protecție pentru a facilita infiltrarea și a evita detectarea. În plus, tehnicile de asigurare a persistenței implică:

• Copierea malware-ului în calea %LOCALAPPDATA%.
• Înregistrarea acestuia cu anumite chei Run.
• Configurarea inițierii automate a ransomware-ului după fiecare repornire a sistemului.

Un aspect notabil al atacurilor Dharma este potențialul lor pentru acțiuni țintite. Programele asociate acestei familii pot aduna date de geolocalizare, permițând excepții în atacurile lor. Această adaptabilitate implică faptul că infecțiile pot avea motivații politice sau geopolitice sau pot evita în mod intenționat victimele puțin probabil să îndeplinească cererile de răscumpărare, în special în regiunile cu condiții economice slabe.

Pentru a împiedica și mai mult eforturile de recuperare, Intel Ransomware poate șterge Copiile Shadow Volume, împiedicând restaurarea versiunilor anterioare ale fișierelor. Pe baza cercetărilor ample asupra infecțiilor cu ransomware, este evident că decriptarea fără intervenția atacatorilor este de obicei o provocare de netrecut.

Intel Ransomware folosește tactici de dublă extorcare

Conținutul din fișierul text servește ca o scurtă notificare către victimă, care transmite că datele acesteia au fost criptate și colectate. Acesta solicită victimei să stabilească comunicarea prin trimiterea unui e-mail către atacatori.

În schimb, mesajul pop-up oferă informații mai detaliate despre infecția cu ransomware. Reiterează aspectele de criptare și furt de date, subliniind urgența situației. Nota de răscumpărare emite un avertisment strict că necontactarea infractorilor cibernetici în termen de 24 de ore sau refuzul de a respecta cererea de răscumpărare va duce la expunerea conținutului furat pe dark web sau la vânzarea acestuia către concurenții companiei victimei.

Pentru a demonstra posibilitatea de recuperare, mesajul oferă un test de decriptare gratuit care trebuie efectuat pe un singur fișier. Victima este, de asemenea, informată în mod explicit că solicitarea de asistență de la companiile de recuperare ar putea duce la pierderi financiare suplimentare, deoarece acești intermediari impun de obicei taxe care se adaugă la suma răscumpărării.

Cu toate acestea, se observă frecvent că victimele, chiar și după ce au respectat cererile de răscumpărare, nu primesc cheile de decriptare sau software-ul promis. În ciuda îndeplinirii cerințelor de răscumpărare, nu există nicio asigurare a recuperării fișierelor. În consecință, cercetătorii descurajează cu tărie plata răscumpărării, deoarece nu numai că nu garantează recuperarea fișierelor, ci și perpetuează și sprijină activități criminale. În plus, este esențial să înțelegeți că, deși eliminarea ransomware-ului poate opri criptarea ulterioară a datelor, procesul de eliminare nu restabilește automat fișierele compromise anterior.

Intel Ransomware afișează următoarea notă de răscumpărare ca o fereastră pop-up:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Dacă nu ne scrieți în 24 de ore, vom începe să publicăm și să vindem datele dvs. pe darknet pe site-urile hackerilor și vom oferi informațiile concurenților dvs.
trimiteți-ne un e-mail: intellent.ai@onionmail.org ID-UL DVS. -
Dacă nu ați primit răspuns în 24 de ore, scrieți la acest e-mail: intellent.ai@onionmail.org

INFORMAȚII IMPORTANTE!
Rețineți că, odată ce datele dvs. apar pe site-ul nostru de scurgeri, acestea ar putea fi cumpărate de concurenții dvs. în orice secundă, așa că nu ezitați mult timp. Cu cât plătiți mai devreme răscumpărarea, cu atât compania dvs. va fi mai devreme în siguranță.
am analizat toate rapoartele dvs. și veniturile companiei dvs.
Garanție: Dacă nu vă oferim un decriptor sau nu vă ștergem datele după ce plătiți, nimeni nu ne va plăti în viitor. Ne prețuim reputația.
Cheie de garanție: Pentru a demonstra că există cheia de decriptare, putem testa fișierul (nu baza de date și backup) gratuit.
Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor.
Nu mergeți la companii de recuperare - ele sunt în esență doar intermediari. Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate duce la creșterea prețului (aceștia își adaugă taxa la noi) suntem singurii care avem cheile de decriptare.

Fișierele text create de Intel Ransomware conțin următorul mesaj:

Datele dvs. au fost furate și criptate!

Trimite-ti-ne un e-mail

intellent.ai@onionmail.org'