Intel Ransomware
研究人员发现了一种新的勒索软件,称为英特尔勒索软件。这种威胁软件会渗透设备,对存储的数据进行加密,并要求赎金以换取所谓的解密受损信息。
值得注意的是,受英特尔勒索软件影响的文件会经历重命名过程。原始文件名通过分配给受害者的唯一标识符进行扩展,后跟“.[intellent@ai_download_file]”,并以“.intel”扩展名结束。例如,最初标记为“1.jpg”的文件在加密后将转换为“1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel”。
加密过程完成后,受害者会遇到弹出窗口和名为“README!.txt”的文本文件中显示的勒索字条。这些文本文件存储在每个加密文件夹内和系统桌面上。对勒索信息内容的分析表明,英特尔勒索软件专门针对公司,并采用双重勒索策略。此外,这个威胁程序与Dharma 勒索软件家族有关联。
英特尔勒索软件阻止受害者访问自己的数据
英特尔勒索软件展示了一种全面的方法,通过加密本地和网络共享文件,同时关键系统文件不受影响,以避免导致系统无法运行。值得注意的是,它采用了一种策略,通过排除其他勒索软件锁定的文件来避免双重加密。然而,这种方法并非万无一失,因为它依赖于预定义的列表,该列表可能不包含所有已知的勒索软件变体。
此外,英特尔恶意软件通过关闭与可能打开的文件相关的进程(例如文本文件读取器和数据库程序),表现出其操作的复杂性。这一主动措施旨在防止被视为“正在使用”的文件发生冲突,确保它们不会被免除加密。
英特尔恶意软件所属的 Dharma 勒索软件家族采用战略策略进行渗透和持久化。这包括关闭防火墙以促进渗透和逃避检测。此外,持久性确保技术包括:
-
- 将恶意软件复制到%LOCALAPPDATA% 路径。
-
- 使用特定的运行键注册它。
-
- 配置每次系统重新启动后自动启动勒索软件。
佛法攻击的一个值得注意的方面是它们有针对性的行动的潜力。与该家族相关的程序可以收集地理位置数据,从而允许其攻击出现异常。这种适应性意味着感染可能具有政治或地缘政治动机,或者它们可能有目的地避开不太可能满足赎金要求的受害者,特别是在经济条件薄弱的地区。
为了进一步阻碍恢复工作,英特尔勒索软件可能会删除卷影副本,从而阻碍恢复以前版本的文件。基于对勒索软件感染的广泛研究,很明显,在没有攻击者干预的情况下解密通常是一个难以克服的挑战。
英特尔勒索软件采用双重勒索策略
文本文件中的内容作为向受害者的简短通知,表明他们的数据已被加密和收集。它提示受害者通过向攻击者发送电子邮件来建立通信。
相反,弹出消息提供了有关勒索软件感染的更详细信息。它重申了加密和数据盗窃方面的问题,强调了情况的紧迫性。勒索信发出严格警告,如果未能在 24 小时内联系网络犯罪分子或拒绝遵守勒索要求,将导致被盗内容在暗网上曝光或出售给受害者公司的竞争对手。
为了证明恢复的可能性,该消息提供了对单个文件进行的免费解密测试。受害者还被明确告知,向恢复公司寻求帮助可能会导致额外的经济损失,因为这些中介机构通常会收取额外的赎金费用。
然而,我们经常观察到,即使受害者遵守了赎金要求,也没有收到承诺的解密密钥或软件。尽管满足了赎金要求,但无法保证文件恢复。因此,研究人员强烈反对支付赎金,因为这不仅无法保证文件的检索,而且还会延续和支持犯罪活动。此外,重要的是要了解,虽然删除勒索软件可以阻止数据的进一步加密,但删除过程不会自动恢复以前受损的文件。
英特尔勒索软件会以弹出窗口的形式显示以下勒索信息:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
如果您未在 24 小时内给我们写信,我们将开始在黑客网站的暗网上发布和出售您的数据,并将这些信息提供给您的竞争对手
给我们发电子邮件:intellent.ai@onionmail.org 您的 ID -
如果您在 24 小时内没有收到回复,请写信至此电子邮件:intellent.ai@onionmail.org重要信息!
请记住,一旦您的数据出现在我们的泄露网站上,它随时可能被您的竞争对手购买,因此请不要犹豫很长时间。您越早支付赎金,您的公司就越早安全。
我们查看了你们的所有报告和你们公司的收入。
保证:如果我们在您付款后不向您提供解密器或删除您的数据,将来就没有人向我们付款。我们重视我们的声誉。
保证密钥:为了证明解密密钥存在,我们可以免费测试文件(不是数据库和备份)。
请勿尝试使用第三方软件解密您的数据,这可能会导致永久数据丢失。
不要去找恢复公司 - 他们本质上只是中间人。在第三方的帮助下解密您的文件可能会导致价格上涨(他们将费用添加到我们的费用中),我们是唯一拥有解密密钥的人。英特尔勒索软件创建的文本文件包含以下消息:
您的数据已被盗并被加密!
给我们发电子邮件
intellent.ai@onionmail.org'
