Arai Ransomware
Izsiljevalska programska oprema Arai je škodljiva grožnja, zasnovana za šifriranje podatkov, shranjenih v napravah, ki jih je okužila. Izsiljevalska programska oprema Arai je sposobna ciljati na številne vrste datotek, ki bodo po šifriranju podatkov ostale v neuporabnem stanju. Uporabljeni kriptografski algoritem zagotavlja, da bo prizadetih datotek skoraj nemogoče obnoviti brez ustreznih ključev za dešifriranje. Opozoriti je treba, da se zdi, da je izsiljevalska programska oprema Arai posebej namenjena okužbi podjetij.
Izsiljevalska programska oprema Arai spremeni izvirna imena datotek, ki jih zaklene, tako da jim kot novo datotečno pripono doda ».araicrypt«. Med spremembami na napravah, ki so bile poškodovane zaradi izsiljevalske programske opreme Arai, bo tudi ustvarjanje nove besedilne datoteke z imenom 'READ_TO_RESTORE_YOUR_FILES.txt.' Datoteka bo padla na namizje naprave, njena vloga pa je, da nosi obvestilo o odkupnini z navodili kibernetskih kriminalcev.
Podrobnosti obvestila o odkupnini
V sporočilu z zahtevo po odkupnini kriminalni operaterji izsiljevalske programske opreme Arai razkrivajo, da izvajajo operacijo dvojnega izsiljevanja. Poleg tega, da napadalci žrtvam preprečijo dostop do lastnih datotek, zbirajo tudi občutljive ali zaupne podatke iz okuženih sistemov. Opomba navaja, da je zlonamerna programska oprema izbrisala vse varnostne kopije in kopije senčnih nosilcev šifriranih datotek.
Eksfiltrirani podatki se uporabljajo kot dodaten vzvod za potiskanje žrtev k plačilu zahtevane odkupnine. V nasprotnem primeru hekerji grozijo, da bodo zasebne podatke dali v javnost ali jih prodali vsem zainteresiranim. Poleg tega imajo žrtve očitno le 48 ur, da izpolnijo zahteve kibernetskih kriminalcev. Po koncu tega obdobja bodo hekerji zavrnili pomoč pri obnovitvi šifriranih datotek in objavo zbranih informacij.
Obvestilo o odkupnini pusti žrtvam dva e-poštna naslova, ki lahko služita kot komunikacijska kanala. Glavni naslov je 'AraiHelp@secmail.pro', medtem ko 'AraiHelp2@secmail.pro' služi kot rezervni naslov.
Celotno besedilo sporočila Arai Ransomware je:
'===========================================
All Your Files Have Been Encrypted !!
===========================================
All of your backups and shadow copies have also been deleted so forget restoring
them.
===========================================
We also have been able to steal your confidential files (databases, customers data's,
HR etc...) all over your network workstations and servers.
===========================================
If you want to hear your mind instead of our instructions, you will loose stupidly your
files but you will also see your files being published online or sell to tiers (and we'll do it)
In this case, beleive us that you're going to suffer a big financial loss and a big loss
of reputation.
===========================================
We are aware that you don't want this case too happens.
If you want to restore files and want us to delete your confidentials files, contact us right
with a message to the contact address below. Include the KeyID in your message pls.
===========================================
AraiHelp@secmail.pro
If there's no answers from us in the next 15 hours, contact us to :
AraiHelp2@secmail.pro
Note that you have only 48 hours to contact us. After this delay, there will be no data
recovered and your files will be published.
Key Identifier:'
