Intel Ransomware
研究人員發現了一種新的勒索軟體,稱為英特爾勒索軟體。這種威脅軟體會滲透設備,對儲存的資料進行加密,並要求贖金以換取所謂的解密受損資訊。
值得注意的是,受英特爾勒索軟體影響的檔案會經歷重命名過程。原始檔案名稱透過分配給受害者的唯一識別碼進行擴展,後面跟著“.[intellent@ai_download_file]”,並以“.intel”擴展名結束。例如,最初標記為「1.jpg」的檔案在加密後將轉換為「1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel」。
加密過程完成後,受害者會遇到彈出視窗和名為「README!.txt」的文字檔案中顯示的勒索字條。這些文字檔案儲存在每個加密資料夾內和系統桌面上。對勒索訊息內容的分析表明,英特爾勒索軟體專門針對公司,並採用雙重勒索策略。此外,這個威脅程式與Dharma 勒索軟體家族有關聯。
英特爾勒索軟體阻止受害者存取自己的數據
英特爾勒索軟體展示了一種全面的方法,透過加密本地和網路共享文件,同時關鍵系統文件不受影響,以避免導致系統無法運作。值得注意的是,它採用了一種策略,透過排除其他勒索軟體鎖定的檔案來避免雙重加密。然而,這種方法並非萬無一失,因為它依賴預先定義的列表,該列表可能不包含所有已知的勒索軟體變體。
此外,英特爾惡意軟體透過關閉與可能開啟的檔案相關的進程(例如文字檔案讀取器和資料庫程式),表現出其操作的複雜性。這項主動措施旨在防止被視為「正在使用」的文件發生衝突,確保它們不會被免除加密。
英特爾惡意軟體所屬的 Dharma 勒索軟體家族採用策略策略進行滲透和持久化。這包括關閉防火牆以促進滲透和逃避偵測。此外,持久性確保技術包括:
-
- 將惡意軟體複製到%LOCALAPPDATA% 路徑。
-
- 使用特定的運行鍵註冊它。
-
- 設定每次系統重新啟動後自動啟動勒索軟體。
佛法攻擊的一個值得注意的方面是它們有針對性的行動的潛力。與該家族相關的程式可以收集地理位置數據,從而允許其攻擊出現異常。這種適應性意味著感染可能具有政治或地緣政治動機,或者它們可能有目的地避開不太可能滿足贖金要求的受害者,特別是在經濟條件薄弱的地區。
為了進一步阻礙復原工作,英特爾勒索軟體可能會刪除影集副本,從而阻礙復原先前版本的檔案。基於對勒索軟體感染的廣泛研究,很明顯,在沒有攻擊者乾預的情況下解密通常是一個難以克服的挑戰。
英特爾勒索軟體採用雙重勒索策略
文字檔案中的內容作為向受害者的簡短通知,表明他們的資料已被加密和收集。它提示受害者透過向攻擊者發送電子郵件來建立通訊。
相反,彈出訊息提供了有關勒索軟體感染的更詳細資訊。它重申了加密和資料竊取方面的問題,強調了情況的緊迫性。勒索信發出嚴格警告,如果未能在 24 小時內聯繫網路犯罪分子或拒絕遵守勒索要求,將導致被盜內容在暗網上曝光或出售給受害者公司的競爭對手。
為了證明恢復的可能性,該訊息提供了對單一檔案進行的免費解密測試。受害者也被明確告知,向恢復公司尋求幫助可能會導致額外的財務損失,因為這些中介機構通常會收取額外的贖金費用。
然而,我們經常觀察到,即使受害者遵守了贖金要求,也沒有收到承諾的解密金鑰或軟體。儘管滿足了贖金要求,但無法保證文件恢復。因此,研究人員強烈反對支付贖金,因為這不僅無法保證文件的檢索,而且還會延續和支持犯罪活動。此外,重要的是要了解,雖然刪除勒索軟體可以阻止資料的進一步加密,但刪除過程不會自動恢復先前受損的檔案。
英特爾勒索軟體會以彈出視窗的形式顯示以下勒索訊息:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
如果您未在 24 小時內給我們寫信,我們將開始在駭客網站的暗網上發布和出售您的數據,並將這些資訊提供給您的競爭對手
寄電子郵件給我們:intellent.ai@onionmail.org 您的 ID -
如果您在 24 小時內沒有收到回复,請寫信至此電子郵件:intellent.ai@onionmail.org重要資訊!
請記住,一旦您的資料出現在我們的洩漏網站上,它隨時可能被您的競爭對手購買,因此請不要猶豫很長時間。您越早支付贖金,您的公司就越早安全。
我們查看了你們的所有報告和你們公司的收入。
保證:如果我們在您付款後不向您提供解密器或刪除您的數據,將來就沒有人向我們付款。我們重視我們的聲譽。
保證金鑰:為了證明解密金鑰存在,我們可以免費測試檔案(不是資料庫和備份)。
請勿嘗試使用第三方軟體解密您的數據,這可能會導致永久資料遺失。
不要去找恢復公司 - 他們本質上只是中間人。在第三方的幫助下解密您的文件可能會導致價格上漲(他們將費用添加到我們的費用中),我們是唯一擁有解密金鑰的人。英特爾勒索軟體建立的文字檔案包含以下訊息:
您的資料已被盜並加密!
給我們發電子郵件
intellent.ai@onionmail.org'
