Το FBIRAS Ransomware επιχειρεί παλιά κόλπα κοινωνικής μηχανικής

Η ερευνητική μας ομάδα αποκάλυψε ransomware FBIRAS κατά την ανάλυσή μας για νέα δείγματα κακόβουλου λογισμικού. Αυτό το κακόβουλο λογισμικό κρυπτογραφεί δεδομένα και απαιτεί πληρωμή λύτρων για αποκρυπτογράφηση.

Κατά τη διάρκεια της δοκιμής μας, παρατηρήσαμε ότι το ransomware κρυπτογραφούσε αρχεία και προσάρτησε μια επέκταση ".FBIRAS" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα εμφανιζόταν ως "1.jpg.FBIRAS" και μερικές φορές η επέκταση αντιγραφόταν, με αποτέλεσμα ονόματα αρχείων όπως "1.jpg.FBIRAS.FBIRAS".

Μόλις ολοκληρωθεί η κρυπτογράφηση, δημιουργήθηκε μια σημείωση λύτρων με το όνομα "Readme.txt". Σε αυτό το σημείωμα, οι δράστες αυτοπροσδιορίζονται ψευδώς ως «επιβολή του νόμου» και προσπαθούν να εξαπατήσουν τα θύματα ώστε να πιστέψουν ότι η μόλυνση είναι συνέπεια παραβιάσεων της νομοθεσίας στον κυβερνοχώρο.

Το σημείωμα λύτρων απευθυνόταν στο θύμα ως «φορολογούμενο» και εξηγούσε ότι τα αρχεία του ήταν κρυπτογραφημένα λόγω εικαζόμενων παραβιάσεων της νομοθεσίας στον κυβερνοχώρο. Τα θύματα λαμβάνουν οδηγίες να επικοινωνήσουν με τους εγκληματίες του κυβερνοχώρου, που παριστάνονται ως «ασφαλείς επιβολής του νόμου», για να πληρώσουν ένα «πρόστιμο» με αντάλλαγμα την αποκατάσταση της πρόσβασης στα αρχεία τους. Η άρνηση συμμόρφωσης με τις απαιτήσεις έχει ως αποτέλεσμα αυξημένα πρόστιμα και μόνιμη απώλεια δεδομένων. Η σημείωση προειδοποιεί επίσης για την παραβίαση των αρχείων ή την προσπάθεια κατάργησης του ransomware, καθώς θα καθιστούσε τα δεδομένα μη ανακτήσιμα.

Θα πρέπει να τονιστεί ότι αυτή η επίθεση ransomware προφανώς δεν έχει καμία σχέση με νόμιμες υπηρεσίες επιβολής του νόμου.

Το σημείωμα Ransom FBIRAS κάνει αδύναμη προσπάθεια να φανεί νόμιμη

Το πλήρες κείμενο του σημειώματος λύτρων του FBIRAS έχει ως εξής:

Attention Tax payer:

All Your files have been locked with ransomware by law enforcement for violating cyber laws. All of your important documents, photos, and videos have been encrypted and cannot be accessed without a decryption key. This is a serious offense and you must pay a fine to unlock your files.

To unlock your files, follow these instructions:

1. Contact us on telegram = @Lawinfo19
2. We will tell about you problem
3. You need us to pay a amount for your criminal activity
4. Use the decryption key to unlock your files.

If you fail to comply with these instructions, the fine will increase and your files will be permanently deleted.

Do not attempt to remove the ransomware or tamper with your files. Any attempts to do so will result in the permanent loss of your data.

We understand the inconvenience this may cause, but it is necessary to ensure that cyber laws are not violated. We apologize for any inconvenience and hope to resolve this matter as soon as possible.

Sincerely,

Law Enforcement

Πώς μπορεί το Ransomware να εισέλθει στο σύστημά σας;

Το Ransomware μπορεί να διεισδύσει σε ένα σύστημα με διάφορους τρόπους, όπως:

Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά διανέμουν ransomware μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται νόμιμα, παρακινώντας τους παραλήπτες να ανοίξουν συνημμένα ή να κάνουν κλικ σε συνδέσμους, οι οποίοι στη συνέχεια κάνουν λήψη και εκτέλεση του ransomware στο σύστημα.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει τους χρήστες σε ransomware. Αυτοί οι ιστότοποι ενδέχεται να περιέχουν κιτ εκμετάλλευσης που πραγματοποιούν αυτόματη λήψη και εγκατάσταση ransomware στα συστήματα των επισκεπτών μέσω τρωτών σημείων στα προγράμματα περιήγησης ιστού ή στις προσθήκες τους.

Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου μπορούν να εισάγουν κακόβουλο κώδικα σε διαδικτυακές διαφημίσεις (malvertising), στις οποίες, όταν κάνουν κλικ, ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν ransomware ή ξεκινούν αυτόματες λήψεις στα συστήματα των χρηστών.

Λήψεις Drive-by: Το Ransomware μπορεί επίσης να παραδοθεί μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό γίνεται αυτόματα λήψη και εγκατάσταση στο σύστημα ενός χρήστη χωρίς τη συγκατάθεση ή τη γνώση του όταν επισκέπτεται παραβιασμένους ιστότοπους.

Μη επιδιορθωμένο λογισμικό: Η εκμετάλλευση ευπαθειών σε απαρχαιωμένο ή μη επιδιορθωμένο λογισμικό είναι μια κοινή μέθοδος για τους εισβολείς για την παράδοση ransomware. Εκμεταλλεύονται γνωστές αδυναμίες σε λειτουργικά συστήματα, εφαρμογές ή πρόσθετα για να αποκτήσουν πρόσβαση στα συστήματα και να εκτελέσουν ransomware.

Δίκτυα κοινής χρήσης αρχείων: Το Ransomware μπορεί να εξαπλωθεί μέσω δικτύων κοινής χρήσης αρχείων peer-to-peer (P2P), όπου οι χρήστες κατεβάζουν εν αγνοία τους μολυσμένα αρχεία ή πακέτα λογισμικού που περιέχουν ransomware.