Rabattoffert för flera licenser
Hotdatabas Ransomware Theft Ransomware

Theft Ransomware

Med Mezo år Ransomware
Översätt till:

Den moderna hotmiljön är oförlåtande. Cyberbrottslingar förfinar ständigt sina verktyg för att utnyttja oförberedda användare. Bland de mest skadliga av dessa hot är ransomware, skadlig programvara som krypterar data och utpressar offer på pengar. En sådan framväxande variant är känd som Theft Ransomware, som redan har observerats orsaka kaos i intet ont anande system.

Vad gör stöldutpressningsprogram farligt

Theft Ransomware är en ny variant kopplad till den ökända Dharma ransomware-familjen, en grupp som är välkänd för att rikta in sig på både individer och organisationer. Vid infiltration av en enhet krypterar skadlig kod filer och byter namn på dem genom att lägga till:

  • Ett unikt offer-ID
  • Angriparnas e-postadress
  • Tillägget '.theft'

Till exempel blir '1.png' '1.png.id-9ECFA84E.[datatheft@tuta.io].theft'.

Offren konfronteras sedan med lösensummor i form av textfiler ("info.txt") och ett popup-fönster. Medan textmeddelandet är koncist och endast innehåller kontaktuppgifter, erbjuder popup-fönstret mer information, inklusive en försäkran om att dataåterställning är möjlig om lösensumman betalas. Angripare erbjuder till och med "bevis på dekryptering" genom att tillåta att tre små, icke-kritiska filer återställs gratis.

För att öka pressen påstår brottslingarna att de har stulit känslig affärsinformation och hotar att läcka den om betalning vägras.

Tekniska egenskaper hos hotet

Liksom andra Dharma-baserade varianter låser inte Theft Ransomware hela system utan krypterar istället lokala och nätverksdelade filer. Skadlig programvara gör aktivt följande:

  • Avslutar processer kopplade till filer som används (databaser, läsare etc.)
  • Kopierar sig själv till %LOCALAPPDATA%-sökvägen och registrerar persistens via körtangenter
  • Ställer in sig själv att starta automatiskt vid omstart av systemet
  • Tar bort volymskuggkopior för att förhindra enkel återställning

Skadlig programvara samlar också in geolokaliseringsdata för att avgöra om krypteringen ska fortsätta, eventuellt exkludera vissa regioner.

Hur infektionen sprids

Stöldransomware använder flera infiltrationstaktiker, där den vanligaste är svagt säkrade RDP-tjänster (Remote Desktop Protocol). Bruteforce- och dictionary-attacker mot dåligt skyddade konton är en vanlig ingångspunkt. Väl inne i systemet kan skadlig kod till och med inaktivera brandväggar för att underlätta dess funktion.

Andra välkända distributionskanaler inkluderar:

Nätfiske och social manipulation – Skadliga bilagor eller länkar i e-postmeddelanden, direktmeddelanden och inlägg.

Trojaner och bakdörrar – Används för att släppa ransomware i tysthet.

Skadlig reklam och Drive-by-nedladdningar – Utlöses helt enkelt genom att besöka en komprometterad webbplats.

Misstänkta programkällor – Piratkopierade verktyg, gratisprogrampaket och falska uppdateringar.

Flyttbara medier och lokala nätverk – Tillåter att skadlig kod sprids internt när den väl landat på ett system.

Varför det är riskabelt att betala lösensumman

Att dekryptera filer som krypterats med Theft utan angriparnas nyckel är nästan omöjligt. Medan vissa ransomware-varianter är bristfälliga, är Dharma-baserade hot vanligtvis solidt byggda. Viktigt är att betalning av lösensumman inte ger någon garanti för återhämtning, många offer lämnas tomhänta även efter att pengar överförts. Värre är att betalningen bara finansierar ytterligare kriminell verksamhet.

Stärka ditt försvar mot ransomware

Det bästa sättet att bekämpa Theft Ransomware är förebyggande. Eftersom borttagning av skadlig kod inte automatiskt återställer krypterade filer måste användare fokusera på motståndskraft och proaktivt försvar. Viktiga metoder som varje användare bör använda är:

  • Regelbundna säkerhetskopior – Spara kopior av viktiga filer på flera säkra platser, till exempel offline-enheter och molntjänster som inte är mappade till det infekterade systemet.
  • Uppdatera programvara och system – Tillämpa patchar för att åtgärda sårbarheter som ransomware utnyttjar.
  • Använd stark autentisering – Säkra RDP-tjänster med unika, komplexa lösenord och aktivera multifaktorautentisering.
  • Var försiktig med e-postmeddelanden och länkar – Öppna inte oväntade bilagor eller klicka på okända länkar, även om de verkar legitima.
  • Begränsa administratörsrättigheter – Begränsa behörigheter för att minska effekten av potentiell körning av skadlig kod.
  • Installera pålitliga säkerhetsverktyg – Använd lösningar mot skadlig kod med skydd mot ransomware.
  • Inaktivera makron och skript – Många ransomware-attacker utlöses via Office-dokument eller skript.
  • Segmentnätverk – Förhindra att skadlig kod sprids i sidled över affärsmiljöer.

Slutliga tankar

Theft Ransomware belyser den fortsatta utvecklingen av Dharma-familjen och dess bestående roll i globala ransomware-kampanjer. Dess kombination av kryptering, datastöld och utpressning gör den särskilt skadlig. Eftersom filåterställning ofta är omöjlig utan rena säkerhetskopior är det enda sanna försvaret ett flerskiktat förebyggande arbete, stark cyberhygien och tillförlitliga återställningsstrategier.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

relaterade inlägg

Trendigt

Mest sedda

Läser in...