Intel Ransomware

Forskare har upptäckt en ny stam av ransomware känd som Intel Ransomware. Denna hotfulla programvara infiltrerar enheter, krypterar lagrad data och kräver en lösensumma i utbyte mot den påstådda dekrypteringen av den komprometterade informationen.

Noterbart är att filer som påverkas av Intel ransomware genomgår en byte av namn. De ursprungliga filnamnen utökas med en unik identifierare som tilldelas offret, följt av '.[intellent@ai_download_file],' och avslutas med tillägget '.intel'. Som en illustration skulle en fil märkt från början '1.jpg' omvandlas till '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' efterkryptering.

När krypteringsprocessen är klar, stöter offren på lösensedlar som presenteras i både ett popup-fönster och som textfiler med namnet 'README!.txt'. Dessa textfiler deponeras i varje krypterad mapp och på systemets skrivbord. Analys av innehållet i lösennotan avslöjar att Intel Ransomware riktar sig specifikt till företag och använder sig av dubbel utpressningstaktik. Dessutom är detta hotfulla program anslutet till Dharma Ransomware- familjen.

Intel Ransomware hindrar offer från att komma åt sina egna data

Intel Ransomware visar ett omfattande tillvägagångssätt genom att kryptera både lokala och nätverksdelade filer medan viktiga systemfiler förblir opåverkade för att undvika att systemet inte fungerar. Noterbart använder den en strategi för att undvika dubbelkryptering genom att utesluta filer som är låsta av andra ransomware. Den här metoden är dock inte idiotsäker, eftersom den bygger på en fördefinierad lista som kanske inte omfattar alla kända ransomware-varianter.

Dessutom uppvisar Intels skadliga program sofistikerad funktion genom att stänga processer associerade med filer som kan vara öppna, såsom textfilläsare och databasprogram. Denna proaktiva åtgärd syftar till att förhindra konflikter för filer som anses "använda", för att säkerställa att de inte undantas från kryptering.

Dharma-familjen av ransomware, som Intel skadlig programvara tillhör, använder strategisk taktik för infiltration och uthållighet. Detta inkluderar att stänga av brandväggen för att underlätta infiltration och undvika upptäckt. Dessutom innefattar uthållighetssäkra tekniker:

• Kopierar skadlig programvara till %LOCALAPPDATA%-sökvägen.
• Registrerar den med specifika Run-nycklar.
• Konfigurera automatisk initiering av ransomware efter varje omstart av systemet.

En anmärkningsvärd aspekt av Dharma-attackerna är deras potential för riktade handlingar. Programmen som är associerade med den här familjen kan samla geolokaliseringsdata, vilket möjliggör undantag i deras attacker. Denna anpassningsförmåga innebär att infektioner kan ha politiska eller geopolitiska motiv, eller så kan de målmedvetet undvika offer som sannolikt inte kommer att möta krav på lösen, särskilt i regioner med svaga ekonomiska förhållanden.

För att ytterligare hindra återställningsarbetet kan Intel Ransomware ta bort Shadow Volume Copies, vilket hindrar återställningen av tidigare versioner av filer. Baserat på omfattande forskning om ransomware-infektioner är det uppenbart att dekryptering utan ingripande av angriparna vanligtvis är en oöverstiglig utmaning.

Intel Ransomware använder dubbelutpressningstaktik

Innehållet i textfilen fungerar som ett kort meddelande till offret, som förmedlar att deras data har krypterats och samlats in. Det uppmanar offret att upprätta kommunikation genom att skicka ett e-postmeddelande till angriparna.

Däremot ger popup-meddelandet mer detaljerad information om ransomware-infektionen. Den upprepar krypterings- och datastöldsaspekterna, och betonar hur brådskande situationen är. Lösenedeln utfärdar en strikt varning om att underlåtenhet att kontakta cyberbrottslingar inom 24 timmar eller vägran att följa kravet på lösen kommer att leda till att det stulna innehållet avslöjas på den mörka webben eller att det säljs till konkurrenter till offrets företag.

För att demonstrera möjligheten till återställning erbjuder meddelandet ett gratis dekrypteringstest som ska utföras på en enda fil. Offret informeras också uttryckligen om att att söka hjälp från återvinningsföretag kan resultera i ytterligare ekonomiska förluster, eftersom dessa mellanhänder vanligtvis tar ut avgifter som läggs till lösensumman.

Det observeras dock ofta att offer, även efter att ha följt krav på lösen, inte får de utlovade dekrypteringsnycklarna eller programvaran. Trots att lösenkraven uppfylls, finns det ingen garanti för filåterställning. Följaktligen avråder forskare starkt att betala lösensumman, eftersom den inte bara misslyckas med att garantera hämtning av filer utan också vidmakthåller och stöder kriminell verksamhet. Dessutom är det viktigt att förstå att även om borttagning av ransomware kan stoppa ytterligare kryptering av data, återställer inte borttagningsprocessen automatiskt tidigare komprometterade filer.

Intel Ransomware visar följande lösensumma som ett popup-fönster:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Om du inte skriver till oss inom 24 timmar kommer vi att börja publicera och sälja din data på darknet på hackersajter och erbjuda informationen till dina konkurrenter
mejla oss: intellent.ai@onionmail.org DITT ID -
Om du inte har hört av dig inom 24 timmar, skriv till detta e-postmeddelande:intellent.ai@onionmail.org

VIKTIG INFORMATION!
Tänk på att när din data väl dyker upp på vår läckasida kan den köpas av dina konkurrenter när som helst, så tveka inte länge. Ju tidigare du betalar lösen, desto snabbare kommer ditt företag att vara säkert.
vi har tittat på alla dina rapporter och ditt företags intäkter.
Garanti: Om vi inte förser dig med en dekryptering eller raderar dina data efter att du har betalat, kommer ingen att betala oss i framtiden. Vi värdesätter vårt rykte.
Garantinyckel: För att bevisa att dekrypteringsnyckeln finns kan vi testa filen (inte databasen och säkerhetskopian) gratis.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Gå inte till återvinningsföretag - de är i grunden bara mellanhänder. Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) vi är de enda som har dekrypteringsnycklarna.

Textfilerna som skapats av Intel Ransomware innehåller följande meddelande:

Din data har blivit stulen och krypterad!

Mejla oss

intelligent.ai@onionmail.org'