Crocodile Smile Ransomware

Истраживачи сајбер безбедности открили су нову претњу злонамерног софтвера познату као Цроцодиле Смиле Рансомваре. Овај штетни софтвер функционише тако што шифрује податке на погођеним уређајима и после тога захтева плаћање у замену за дешифровање.

Након извршења на циљаном уређају, Цроцодиле Смиле одмах покреће процес шифровања, чинећи датотеке недоступним кориснику. Додаје посебну екстензију '.ЦроцодилеСмиле' именима свих шифрованих датотека. На пример, датотека првобитно названа '1.пнг' би се сада појављивала као '1.пнг.ЦроцодилеСмиле' и слично за друге погођене датотеке.

Поред шифровања датотека, Цроцодиле Смиле мења позадину радне површине зараженог система и генерише белешку о откупнини под називом „РЕАД_СОЛУТИОН.ткт“. Ова белешка обично садржи упутства за жртву како да настави са плаћањем откупнине да би добила кључ за дешифровање.

Жртве Цроцодиле Смиле Рансомваре-а губе приступ својим подацима

Чини се да Цроцодиле Смиле Рансомваре стратешки циља велике организације, а не појединачне кориснике, као што је назначено језиком који се користи у његовој белешци о откупнини. Белешка се посебно позива на европске прописе о заштити података, што сугерише да се жртве претежно налазе у Европи.

Према поруци о откупнини, нападачи тврде да су шифровали датотеке жртве и прикупили осетљиве податке. Они захтевају позамашну откупнину од 20,6 БТЦ (Битцоин криптовалута) за дешифровање и спречавање откривања процурелих података. У време писања белешке, ова откупнина износи приближно 1,4 милиона УСД, иако је важно напоменути да курсеви криптовалута могу да варирају.

Типично, инфекције рансомвером као што је Цроцодиле Смиле онемогућавају дешифровање датотека без интервенције сајбер криминалаца. Чак и ако жртве пристану да плате тражену откупнину, нема гаранције да ће добити обећане кључеве или софтвер за дешифровање. Сходно томе, истраживачи сајбер-безбедности снажно саветују да се не плаћа откуп.

Да бисте зауставили ширење Цроцодиле Смиле Рансомваре-а и спречили даље шифровање података, кључно је уклонити малвер из погођеног оперативног система. Међутим, битно је схватити да уклањање рансомваре-а неће аутоматски вратити приступ шифрованим датотекама.

Обавезно заштитите своје податке и уређаје од напада рансомвера

Заштита података и уређаја од напада рансомваре-а захтева вишеслојни приступ који комбинује превентивне мере, проактивне безбедносне праксе и радње које одговарају. Ево свеобухватног водича о томе како корисници могу да заштите своје податке и уређаје од напада рансомвера:

• Редовно прављење резервних копија : Одржавајте редовне резервне копије важних података на спољним уређајима за складиштење или услугама заснованим на облаку. Ово осигурава да чак и ако ваш уређај има рансомваре, можете да вратите своје датотеке без плаћања откупнине.

• Одржавајте софтвер ажурираним: Проверите да ли су ваш оперативни систем, безбедносни софтвер и друге апликације ажурирани најновијим безбедносним закрпама и ажурирањима. Рањивости у застарелим програмима могу да искористе нападачи рансомваре-а.

• Користите софтвер за заштиту од малвера : Инсталирајте реномирани анти-малвер софтвер на своје уређаје и одржавајте их ажурираним. Ови програми могу помоћи у откривању и уклањању рансомваре-а пре него што може да шифрује ваше датотеке.

• Будите опрезни када приступате прилозима и везама е-поште : Будите опрезни када приступате прилозима е-поште или кликнете на везе, посебно ако су из непознатих или сумњивих извора. Рансомваре се често шири путем е-маилова који садрже злонамерне прилоге или везе.

• Омогући заштиту заштитног зида : Активирајте и конфигуришите заштитни зид на вашим машинама да надгледате и контролишете долазни и одлазни мрежни саобраћај. Заштитни зидови могу блокирати покушаје неовлашћеног приступа и спречити рансомваре да комуницира са његовим серверима за команду и контролу.

• Користите јаке лозинке и вишефакторску аутентификацију : Ојачајте свој уређај и налоге на мрежи јаким, јединственим лозинкама. Пажљиво размислите о коришћењу менаџера лозинки за безбедно генерисање и складиштење сложених лозинки. Поред тога, вишефакторска аутентикација (МФА) се може омогућити кад год је то могуће да делује као додатни ниво безбедности.

• Ограничите привилегије корисника : Ограничите корисничке привилегије на уређајима и мрежама како бисте умањили потенцијални утицај инфекција рансомвером. Корисници би требало да имају приступ само ресурсима и подацима неопходним за њихове улоге.

• Надгледање мрежног саобраћаја и активности система : Редовно надгледајте мрежни саобраћај и системске евиденције за било какво сумњиво или абнормално понашање. Рано откривање активности рансомвера може помоћи да се ублажи његов утицај и спречи даље ширење.

Применом ових превентивних мера и најбољих безбедносних пракси, корисници могу драстично да смање ризик да постану жртве напада рансомвера и ефикасно заштите своје податке и уређаје.

Порука о откупнини коју генерише Цроцодиле Смиле Рансомваре је:

'If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.'