DRCRM Ransomware
Ang banta ng malware ng DRCRM ay inuri bilang ransomware. Ang mga nagbabantang programang ito ay ginagamit ng mga cybercriminal upang i-lock ang data ng kanilang mga biktima. Kung matagumpay na naisakatuparan sa nalabag na device, maaapektuhan ng DRCRM ang mga dokumento, PDF, database, larawan, larawan at marami pang ibang uri ng file na nakaimbak doon. Lahat ng naka-target na uri ng file ay ie-encrypt at gagawing hindi magagamit. Susubukan ng mga umaatake na mangikil sa mga apektadong user o organisasyon para sa pera.
Bilang bahagi ng mga invasive na pagkilos nito, babaguhin ng malware ang mga pangalan ng mga naka-lock na file. Una, gagawa ang banta ng ID string para sa partikular na device na idaragdag sa lahat ng naka-encrypt na file. Pagkatapos, isang email address na kinokontrol ng mga hacker ('joaplcsg@gmail.com') ay idaragdag. Sa wakas, ang '.DRCRM' ay ilalagay bilang bagong extension. Kapag nakumpleto ng DRCRM ang pag-encrypt ng data ng biktima, mag-drop ito ng text file na pinangalanang 'Read.txt' sa desktop ng device.
Sa loob ng file, makakahanap ang mga biktima ng ransom note na may mga tagubilin. Sinasabi ng mga umaatake na ang mga biktima na gustong ibalik ang kanilang mga file ay dapat munang makipag-ugnayan sa kanila sa pamamagitan ng pagmemensahe sa 'joaplcsg@gmail.com' na email address. Bilang bahagi ng kanilang mensahe, ang mga biktima ay dapat magsama ng isang partikular na file na ginawa ng pagbabanta sa lokasyon ng 'C:/ProgramData' o sa iba pang mga drive. Ang pangalan ng file ay dapat na katulad ng RSAKEY, at kung wala ang file na ito, kahit na ang mga banta ng aktor ay hindi na maibabalik ang mga naka-lock na file.
Ang buong teksto ng tala ng DRCRM Ransomware ay:
'Na-encrypt na ang lahat ng iyong mga file. Kung gusto mong ibalik ang mga ito, sumulat sa amin sa e-mail:joaplcsg@gmail.com
kung sakaling walang sagot :joaplcsg@gmail.comIsulat ang ID na ito sa pamagat ng iyong message ID-
magpadala ng RSAKEY file na nakaimbak sa C:/ProgramData o iba pang mga drive sa email
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang third-party na software at mga site. Maaari itong maging sanhi ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng mga presyo (idinadagdag nila ang kanilang bayad sa amin), o maaari kang maging biktima ng isang scam.'
