Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Theft Ransomware

Theft Ransomware

Do roku Mezo v roku Ransomware
Preložiť do:

Moderné prostredie hrozieb je neúprosné. Kyberzločinci neustále zdokonaľujú svoje nástroje, aby zneužívali nepripravených používateľov. Medzi najškodlivejšie z týchto hrozieb patrí ransomvér, škodlivý softvér, ktorý šifruje dáta a vydiera obete o peniaze. Jeden z takýchto nových variantov je známy ako Theft Ransomware, ktorý už bol pozorovaný pri nič netušiacich systémoch.

Čo robí ransomvéru s krádežou nebezpečným

Theft Ransomware je nový kmeň spojený s notoricky známou rodinou ransomvéru Dharma, skupiny známej tým, že útočí na jednotlivcov aj organizácie. Po infiltrácii zariadenia malvér zašifruje súbory a premenuje ich pridaním:

  • Jedinečné identifikačné číslo obete
  • E-mailová adresa útočníkov
  • Prípona „.theft“

Napríklad, „1.png“ sa zmení na „1.png.id-9ECFA84E.[datatheft@tuta.io].theft.“

Obetiam sa potom zobrazia správy s výzvou na vykúpenie vo forme textových súborov („info.txt“) a kontextového okna. Zatiaľ čo textová správa je stručná a poskytuje iba kontaktné údaje, kontextové okno ponúka ďalšie podrobnosti vrátane uistenia, že obnova dát je možná, ak je výkupné zaplatené. Útočníci dokonca ponúkajú „dôkaz o dešifrovaní“ tým, že umožňujú bezplatnú obnovu troch malých, nekritických súborov.

Zločinci ešte viac tlačia na klientov tvrdením, že ukradli citlivé obchodné údaje a vyhrážajú sa ich zverejnením, ak bude platba odmietnutá.

Technické charakteristiky hrozby

Podobne ako iné varianty založené na Dharme, ani Theft Ransomware nezablokuje celé systémy, ale namiesto toho šifruje lokálne a sieťovo zdieľané súbory. Malvér aktívne:

  • Ukončí procesy viazané na používané súbory (databázy, čítačky atď.)
  • Skopíruje sa do cesty %LOCALAPPDATA% a zaregistruje perzistenciu pomocou kľúčov Run
  • Nastaví sa na automatické spustenie po reštartovaní systému
  • Odstraňuje tieňové kópie zväzku, aby sa zabránilo ich jednoduchej obnove

Malvér tiež zhromažďuje údaje o geolokácii, aby určil, či má pokračovať v šifrovaní, prípadne s vylúčením určitých oblastí.

Ako sa infekcia šíri

Krádežný ransomvér používa viacero infiltračných taktík, pričom najbežnejšie sú slabo zabezpečené služby RDP (Remote Desktop Protocol). Častým vstupným bodom sú útoky hrubou silou a slovníkové útoky proti slabo chráneným účtom. Po preniknutí môže malvér dokonca deaktivovať firewally, aby si uľahčil fungovanie.

Medzi ďalšie známe distribučné kanály patria:

Phishing a sociálne inžinierstvo – škodlivé prílohy alebo odkazy v e-mailoch, priamych správach a príspevkoch.

Trójske kone a zadné vrátka – Používajú sa na tiché šírenie ransomvéru.

Škodlivá reklama a automatické sťahovanie – spúšťa sa jednoduchou návštevou napadnutej webovej stránky.

Podozrivé zdroje softvéru – pirátske nástroje, balíčky freewaru a falošné aktualizácie.

Vymeniteľné médiá a lokálne siete – Umožnenie interného šírenia škodlivého softvéru po jeho nainštalovaní v systéme.

Prečo je zaplatenie výkupného riskantná stávka

Dešifrovanie súborov zašifrovaných metódou Theft bez kľúča útočníka je takmer nemožné. Zatiaľ čo niektoré varianty ransomvéru sú chybné, hrozby založené na Dharme sú zvyčajne solídne postavené. Dôležité je, že zaplatenie výkupného neposkytuje žiadnu záruku zotavenia, mnohé obete zostanú s prázdnymi rukami aj po prevode finančných prostriedkov. Horšie je, že platba financuje iba ďalšie kriminálne operácie.

Posilnenie obrany proti ransomvéru

Najlepším spôsobom boja proti Theft Ransomware je prevencia. Keďže odstránenie malvéru automaticky neobnoví zašifrované súbory, používatelia sa musia zamerať na odolnosť a proaktívnu obranu. Kľúčové postupy, ktoré by si mal každý používateľ osvojiť, sú:

  • Pravidelné zálohy – Uchovávajte kópie dôležitých súborov na viacerých zabezpečených miestach, ako sú offline disky a cloudové služby, ktoré nie sú namapované na infikovaný systém.
  • Aktualizácia softvéru a systémov – inštalácia záplat na odstránenie zraniteľností, ktoré ransomvér zneužíva.
  • Používajte silné overovanie – Zabezpečte služby RDP jedinečnými a zložitými heslami a povoľte viacfaktorové overovanie.
  • Buďte opatrní s e-mailami a odkazmi – neotvárajte neočakávané prílohy ani neklikajte na neznáme odkazy, aj keď sa zdajú byť legitímne.
  • Obmedziť oprávnenia správcu – Obmedzte oprávnenia, aby ste znížili dopad potenciálneho spustenia škodlivého softvéru.
  • Nainštalujte si renomované bezpečnostné nástroje – Používajte antivírusové riešenia s funkciami ochrany pred ransomvérom.
  • Zakázať makrá a skriptovanie – Mnohé útoky ransomvéru sa spúšťajú prostredníctvom dokumentov alebo skriptov balíka Office.
  • Segmentové siete – Zabráňte šíreniu škodlivého softvéru v rámci obchodného prostredia.

Záverečné myšlienky

Krádežný ransomvér zdôrazňuje pokračujúci vývoj rodiny Dharma a jej trvalú úlohu v globálnych kampaniach ransomvéru. Jeho kombinácia šifrovania, krádeže údajov a vydierania ho robí obzvlášť škodlivým. Keďže obnova súborov je často nemožná bez čistých záloh, jedinou skutočnou obranou je viacvrstvová prevencia, silná kybernetická hygiena a spoľahlivé stratégie obnovy.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Súvisiace príspevky

Podvod „Grand Theft Auto (GTA) VI Giveaway“.

Phishing, Spam
Takzvaná „Grand Theft Auto (GTA) VI Giveaway“ je podvodná kryptomenná schéma strategicky vytvorená s cieľom využiť jednotlivcov, ktorí túžia preskúmať príležitosti v sektore kryptomien. Páchatelia tohto podvodu využívajú klamlivý prístup a vydávajú sa za veľkorysé subjekty ponúkajúce bezplatné digitálne aktíva. Okrem toho sa podvodníci snažia využiť aj zvýšený záujem a vzrušenie okolo vydania...

Trendy

Najviac videné

Načítava...