Udaigen Ransomware vil kryptere offerfiler

Under vores undersøgelse af nye filindsendelser gjorde vores team en interessant opdagelse - en ransomware-variant kaldet Udaigen. Dette ondsindede program fungerer ved at kryptere filer og derefter kræve en løsesum i bytte for dekrypteringsnøglen.

Da vi testede Udaigen på vores udpegede maskine, observerede vi, at den krypterede filer og ændrede deres filnavne ved at tilføje en ".jcrypt"-udvidelse. For eksempel, en fil med navnet "1.jpg" transformeret til "1.jpg.jcrypt," og "2.png" blev til "2.png.jcrypt," og så videre. Da krypteringsprocessen var afsluttet, præsenterede ransomwaren et pop op-vindue sammen med en tekstfil med navnet "_RECOVER__FILES.jcrypt.txt."

Både pop op-beskeden og tekstfilen indeholdt løsesumsedler, der formidler lignende oplysninger. Meddelelserne informerede ofret om, at deres filer var blevet krypteret og gav instruktioner til at lette dekrypteringsprocessen. Offeret blev bedt om at overføre en betaling på 2 BTC (Bitcoin cryptocurrency) for at erhverve den nødvendige dekrypteringsnøgle. I skrivende stund svarer dette beløb til cirka 57 tusind USD. Det er værd at bemærke, at valutakurser er genstand for hyppige udsving, og derfor er konverteringen muligvis ikke helt nøjagtig på nuværende tidspunkt.

Udaigen Ransom Note viser krypterede filer

Den fulde tekst af Udaigen løsesumseddel lyder som følger:

Alle dine filer er blevet krypteret.

For at låse dem op, send venligst 2 bitcoin(s) til BTC-adressen: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Bagefter bedes du sende dit transaktions-id til: udai@membermail.net

At være en doven bit*h vil ikke få dine filer tilbage.

Krypteringslog:
(liste over filer)

Hvordan kan ransomware som Udaigen komme på din computer?

Der er flere måder, hvorpå ransomware som Udaigen kan inficere din computer. Her er nogle almindelige metoder:

• E-mail-vedhæftede filer: Ransomware kan distribueres gennem ondsindede vedhæftede filer. Cyberkriminelle sender ofte phishing-e-mails forklædt som legitime beskeder fra velrenommerede kilder. Disse e-mails kan indeholde inficerede vedhæftede filer, såsom dokumenter eller komprimerede filer, som, når de åbnes, udfører ransomwaren på din computer.
• Inficerede websteder og downloads: Besøg på kompromitterede eller ondsindede websteder kan udsætte din computer for ransomware. Cyberkriminelle kan injicere ondsindet kode på websteder, som kan udnytte sårbarheder i din webbrowser eller plugins til lydløst at downloade og installere ransomware på dit system. Ulovlige downloads fra upålidelige kilder kan også indeholde ransomware.
• Ondsindede links og annoncer: Klik på ondsindede links eller annoncer kan føre til ransomware-infektioner. Disse links kan findes i e-mails, sociale medieplatforme eller endda legitime websteder. Når du har klikket på det, kan de omdirigere dig til websteder, der hoster ransomware eller starte en drive-by-download, og automatisk installere ransomwaren på din computer uden din viden.
• Udnyttelse af softwaresårbarheder: Ransomware-udviklere udnytter ofte sikkerhedssårbarheder i operativsystemer, softwareapplikationer eller plugins. Ved at udnytte disse sårbarheder kan de få uautoriseret adgang til din computer og implementere ransomware.
• Remote Desktop Protocol (RDP)-angreb: Hvis du har aktiveret Remote Desktop på din computer uden passende sikkerhedsforanstaltninger, kan cyberkriminelle udnytte svage eller standardlegitimationsoplysninger til at få adgang til dit system. Når de først er inde, kan de installere ransomware eller anden malware.
• Ondsindede softwareopdateringer: Angribere kan kompromittere legitime softwareopdateringsmekanismer og distribuere falske opdateringer, der indeholder ransomware. Når brugere ubevidst installerer disse opdateringer, implementeres ransomwaren på deres systemer.