Intel Ransomware

Исследователи обнаружили новый штамм программы-вымогателя, известный как Intel Ransomware. Это угрожающее программное обеспечение проникает в устройства, шифрует хранящиеся данные и требует выкуп в обмен на предполагаемую расшифровку скомпрометированной информации.

Примечательно, что файлы, затронутые программой-вымогателем Intel, подвергаются процессу переименования. Исходные имена файлов дополняются уникальным идентификатором, присвоенным жертве, за которым следует «.[intellent@ai_download_file]» и завершается расширением «.intel». Например, файл с первоначальной меткой «1.jpg» после шифрования будет преобразован в «1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel».

После завершения процесса шифрования жертвы сталкиваются с заметками о выкупе, представленными как во всплывающем окне, так и в виде текстовых файлов с именем «README!.txt». Эти текстовые файлы хранятся в каждой зашифрованной папке и на рабочем столе системы. Анализ содержания записки о выкупе показывает, что программа-вымогатель Intel специально нацелена на компании и использует тактику двойного вымогательства. Кроме того, эта угрожающая программа связана с семейством Dharma Ransomware .

Программа-вымогатель Intel не позволяет жертвам получить доступ к собственным данным

Intel Ransomware демонстрирует комплексный подход, шифруя как локальные, так и сетевые файлы, при этом важные системные файлы остаются незатронутыми, чтобы избежать вывода системы из строя. Примечательно, что он использует стратегию, позволяющую избежать двойного шифрования, исключая файлы, заблокированные другими программами-вымогателями. Однако этот метод не является надежным, поскольку он основан на заранее определенном списке, который может не охватывать все известные варианты программ-вымогателей.

Кроме того, вредоносное ПО Intel демонстрирует изощренность в своей работе, закрывая процессы, связанные с файлами, которые могут быть открыты, например программы чтения текстовых файлов и программы баз данных. Эта превентивная мера направлена на предотвращение конфликтов файлов, считающихся «используемыми», гарантируя, что они не будут освобождены от шифрования.

Семейство программ-вымогателей Dharma, к которому принадлежит вредоносное ПО Intel, использует стратегическую тактику проникновения и устойчивости. Сюда входит отключение брандмауэра, чтобы облегчить проникновение и избежать обнаружения. Кроме того, методы обеспечения устойчивости включают в себя:

• • Копирование вредоносного ПО по пути %LOCALAPPDATA%.

• • Регистрация его с помощью определенных клавиш запуска.

• • Настройка автоматического запуска программы-вымогателя после каждой перезагрузки системы.

Примечательным аспектом атак Дхармы является их потенциал целенаправленных действий. Программы, относящиеся к этому семейству, могут собирать данные геолокации, что позволяет исключать исключения в их атаках. Такая адаптивность подразумевает, что инфекции могут иметь политические или геополитические мотивы или же они могут целенаправленно избегать жертв, которые вряд ли выполнят требования о выкупе, особенно в регионах со слабыми экономическими условиями.

Чтобы еще больше затруднить восстановление, программа-вымогатель Intel может удалить теневые копии томов, препятствуя восстановлению предыдущих версий файлов. Основываясь на обширных исследованиях заражения программами-вымогателями, становится очевидным, что расшифровка без вмешательства злоумышленников обычно является непреодолимой проблемой.

Программа-вымогатель Intel использует тактику двойного вымогательства

Содержимое текстового файла служит кратким уведомлением жертве о том, что ее данные зашифрованы и собраны. Он предлагает жертве установить связь, отправив злоумышленникам электронное письмо.

Напротив, всплывающее сообщение предоставляет более подробную информацию о заражении программой-вымогателем. Он повторяет аспекты шифрования и кражи данных, подчеркивая безотлагательность ситуации. В записке о выкупе содержится строгое предупреждение о том, что неспособность связаться с киберпреступниками в течение 24 часов или отказ выполнить требование о выкупе приведет к раскрытию украденного контента в даркнете или его продаже конкурентам компании жертвы.

Чтобы продемонстрировать возможность восстановления, в сообщении предлагается бесплатная проверка расшифровки одного файла. Жертве также прямо сообщают, что обращение за помощью к компаниям по восстановлению может привести к дополнительным финансовым потерям, поскольку эти посредники обычно взимают комиссию, которая добавляется к сумме выкупа.

Однако часто наблюдается, что жертвы, даже после выполнения требований о выкупе, не получают обещанных ключей дешифрования или программного обеспечения. Несмотря на выполнение требований о выкупе, нет никакой гарантии восстановления файлов. Следовательно, исследователи настоятельно не рекомендуют платить выкуп, поскольку он не только не гарантирует получение файлов, но также увековечивает и поддерживает преступную деятельность. Кроме того, важно понимать, что, хотя удаление программы-вымогателя может остановить дальнейшее шифрование данных, процесс удаления не приводит к автоматическому восстановлению ранее скомпрометированных файлов.

Intel Ransomware отображает следующую заметку о выкупе во всплывающем окне:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Если вы не напишете нам в течение 24 часов, мы начнем публиковать и продавать ваши данные в даркнете на хакерских сайтах и предлагать информацию вашим конкурентам.
напишите нам: intellent.ai@onionmail.org ВАШ ID -
Если вы не получили ответа в течение 24 часов, напишите на этот адрес электронной почты: intellent.ai@onionmail.org.

ВАЖНАЯ ИНФОРМАЦИЯ!
Имейте в виду, что как только ваши данные появятся на нашем сайте утечки, их в любую секунду могут купить ваши конкуренты, поэтому долго не раздумывайте. Чем раньше вы заплатите выкуп, тем скорее ваша компания окажется в безопасности.
мы рассмотрели все ваши отчеты и доходы вашей компании.
Гарантия: Если мы не предоставим вам расшифровщик или не удалим ваши данные после оплаты, никто не будет платить нам в будущем. Мы дорожим своей репутацией.
Гарантийный ключ: Чтобы доказать существование ключа дешифрования, мы можем бесплатно протестировать файл (не базу данных и резервную копию).
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Не обращайтесь к компаниям по восстановлению - они, по сути, всего лишь посредники. Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), мы единственные, у кого есть ключи для расшифровки.

Текстовые файлы, созданные Intel Ransomware, содержат следующее сообщение:

Ваши данные были украдены и зашифрованы!

Свяжитесь с нами по электронной почте

intellent.ai@onionmail.org'