Intel Ransomware

Výskumníci odhalili nový kmeň ransomvéru známy ako Intel Ransomware. Tento hrozivý softvér infiltruje zariadenia, zašifruje uložené dáta a výmenou za údajné dešifrovanie napadnutých informácií požaduje výkupné.

Najmä súbory ovplyvnené ransomvérom Intel prechádzajú procesom premenovania. Pôvodné názvy súborov sú rozšírené o jedinečný identifikátor pridelený obeti, za ktorým nasleduje „[intelent@ai_download_file]“ a končí sa príponou „.intel“. Na ilustráciu, súbor pôvodne označený ako „1.jpg“ by sa po zašifrovaní zmenil na „1.jpg.id-9ECFA93E.[intelent@ai_download_file].intel“.

Po dokončení procesu šifrovania sa obete stretnú s poznámkami o výkupnom zobrazenými v kontextovom okne a ako textové súbory s názvom „README!.txt“. Tieto textové súbory sú uložené v každom zašifrovanom priečinku a na pracovnej ploche systému. Analýza obsahu výkupného odhaľuje, že Intel Ransomware sa špecificky zameriava na spoločnosti a využíva taktiku dvojitého vydierania. Okrem toho je tento hrozivý program spojený s rodinou Dharma Ransomware .

Intel Ransomware bráni obetiam v prístupe k ich vlastným údajom

Intel Ransomware demonštruje komplexný prístup šifrovaním lokálnych aj sieťových súborov, pričom kľúčové systémové súbory zostanú nedotknuté, aby sa predišlo nefunkčnosti systému. Najmä využíva stratégiu na zabránenie dvojitému šifrovaniu vylúčením súborov uzamknutých iným ransomvérom. Táto metóda však nie je spoľahlivá, pretože sa spolieha na vopred definovaný zoznam, ktorý nemusí zahŕňať všetky známe varianty ransomvéru.

Okrem toho malvér Intel vykazuje sofistikovanosť vo svojej činnosti tým, že zatvára procesy spojené so súbormi, ktoré by mohli byť otvorené, ako sú čítačky textových súborov a databázové programy. Cieľom tohto proaktívneho opatrenia je zabrániť konfliktom pri súboroch, ktoré sa považujú za „používané“, a zabezpečiť, aby neboli vyňaté zo šifrovania.

Rodina ransomvéru Dharma, do ktorej malvér Intel patrí, využíva strategickú taktiku na infiltráciu a vytrvalosť. To zahŕňa vypnutie brány firewall na uľahčenie infiltrácie a obídenie detekcie. Okrem toho techniky na zabezpečenie perzistencie zahŕňajú:

• Kopírovanie škodlivého softvéru do cesty %LOCALAPPDATA%.
• Registrácia pomocou špecifických klávesov Run.
• Konfigurácia automatického spustenia ransomvéru po každom reštarte systému.

Pozoruhodným aspektom útokov Dharma je ich potenciál pre cielené akcie. Programy spojené s touto rodinou môžu zhromažďovať geolokačné údaje, čo umožňuje výnimky v ich útokoch. Táto prispôsobivosť znamená, že infekcie môžu mať politické alebo geopolitické motivácie, alebo sa môžu cielene vyhýbať obetiam, ktoré pravdepodobne nesplnia požiadavky na výkupné, najmä v regiónoch so slabými ekonomickými podmienkami.

Aby sa ešte viac bránilo snahám o obnovu, Intel Ransomware môže vymazať tieňové kópie zväzku, čo bráni obnoveniu predchádzajúcich verzií súborov. Na základe rozsiahleho výskumu ransomvérových infekcií je zrejmé, že dešifrovanie bez zásahu útočníkov je zvyčajne neprekonateľná výzva.

Intel Ransomware používa taktiku dvojitého vydierania

Obsah v textovom súbore slúži ako stručné oznámenie obeti, ktoré oznamuje, že jej údaje boli zašifrované a zhromaždené. Vyzve obeť, aby nadviazala komunikáciu odoslaním e-mailu útočníkom.

Na rozdiel od toho kontextová správa poskytuje podrobnejšie informácie o infekcii ransomware. Opakuje aspekty šifrovania a krádeže údajov, pričom zdôrazňuje naliehavosť situácie. Oznámenie o výkupnom obsahuje prísne varovanie, že nekontaktovanie kyberzločincov do 24 hodín alebo odmietnutie vyhovieť žiadosti o výkupné povedie k odhaleniu ukradnutého obsahu na temnom webe alebo jeho predaju konkurentom spoločnosti obete.

Na preukázanie možnosti obnovenia správa ponúka bezplatný test dešifrovania, ktorý sa má vykonať na jednom súbore. Obeť je tiež výslovne informovaná o tom, že hľadanie pomoci od vymáhacích spoločností by mohlo viesť k ďalším finančným stratám, keďže títo sprostredkovatelia zvyčajne účtujú poplatky, ktoré sa pripočítavajú k výkupnej sume.

Často sa však pozoruje, že obete, dokonca aj po splnení požiadaviek na výkupné, nedostanú sľúbené dešifrovacie kľúče alebo softvér. Napriek splneniu požiadaviek na výkupné neexistuje žiadna záruka obnovenia súboru. V dôsledku toho výskumníci dôrazne odrádzajú od platenia výkupného, pretože nielenže nezaručuje získanie súborov, ale tiež udržiava a podporuje trestnú činnosť. Okrem toho je nevyhnutné pochopiť, že hoci odstránenie ransomvéru môže zastaviť ďalšie šifrovanie údajov, proces odstránenia automaticky neobnoví predtým napadnuté súbory.

Intel Ransomware zobrazuje nasledujúce výkupné ako kontextové okno:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Ak nám do 24 hodín nenapíšete, začneme zverejňovať a predávať vaše údaje na darknete na hackerských stránkach a informácie ponúkneme vašim konkurentom
napíšte nám: intellent.ai@onionmail.org VAŠE ID -
Ak ste nedostali odpoveď do 24 hodín, napíšte na tento e-mail: intellent.ai@onionmail.org

DÔLEŽITÁ INFORMÁCIA!
Majte na pamäti, že akonáhle sa vaše údaje objavia na našej stránke úniku, môžu si ich kedykoľvek kúpiť vaši konkurenti, takže dlho neváhajte. Čím skôr zaplatíte výkupné, tým skôr bude vaša spoločnosť v bezpečí.
Pozreli sme sa na všetky vaše prehľady a príjmy vašej spoločnosti.
Záruka: Ak vám po zaplatení neposkytneme dešifrovač alebo nevymažeme vaše údaje, v budúcnosti nám nikto nezaplatí. Ceníme si našu povesť.
Záručný kľúč: Aby sme dokázali, že dešifrovací kľúč existuje, môžeme bezplatne otestovať súbor (nie databázu a zálohu).
Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to spôsobiť trvalú stratu údajov.
Nechoďte k obnovovacím spoločnostiam - sú to v podstate len sprostredkovatelia. Dešifrovanie vašich súborov pomocou tretích strán môže spôsobiť zvýšenie ceny (pripočítajú si svoj poplatok k nášmu) sme jediní, ktorí majú dešifrovacie kľúče.

Textové súbory vytvorené Intel Ransomware obsahujú nasledujúcu správu:

Vaše údaje boli ukradnuté a zašifrované!

napíšte nám

intellent.ai@onionmail.org'