Το IRIS Ransomware κρυπτογραφεί δεδομένα

Κατά την εξέταση νέων δειγμάτων αρχείων, η ερευνητική μας ομάδα συνάντησε ένα επιβλαβές λογισμικό που ονομάζεται IRIS, το οποίο προέρχεται από το ransomware Chaos. Το IRIS λειτουργεί κρυπτογραφώντας αρχεία και στη συνέχεια απαιτώντας πληρωμή για την αποκρυπτογράφηση τους.

Στο περιβάλλον δοκιμών μας, αυτό το ransomware κλείδωσε αποτελεσματικά τα αρχεία και πρόσθεσε μια επέκταση τεσσάρων χαρακτήρων στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα εμφανιζόταν ως "1.jpg.582m" μετά την κρυπτογράφηση, ενώ το "2.png" θα γίνει "2.png.2n02" και ούτω καθεξής για όλα τα επηρεαζόμενα αρχεία. Μετά από αυτή τη διαδικασία κρυπτογράφησης, το IRIS άλλαξε την ταπετσαρία της επιφάνειας εργασίας και άφησε πίσω του ένα σημείωμα λύτρων με το όνομα "read_it.txt".

Το μήνυμα που έστειλε το IRIS εξηγεί ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και ότι η ανάκτησή τους απαιτεί την καταβολή λύτρων ύψους 350 $, που καταβάλλονται σε XMR (κρυπτονομίσματα Monero). Επιπλέον, το σημείωμα προειδοποιεί ότι ευαίσθητα δεδομένα που ανήκουν στο θύμα, όπως το ιστορικό περιήγησης και οι προσωπικές πληροφορίες, έχουν αποξεσθεί και κλαπεί. Κατά συνέπεια, η μορφοποίηση της συσκευής θεωρείται αναποτελεσματική ως λύση, καθώς οι εισβολείς απειλούν να αποκαλύψουν το κλεμμένο περιεχόμενο εάν δεν ληφθεί η πληρωμή.

Το IRIS Ransom Note απαιτεί $350

Το πλήρες κείμενο του σημειώματος για τα λύτρα που εκπόνησε το IRIS έχει ως εξής:

HACKED BY IRIS!!!!!!!!!!!

Hello!

First off, this is not personal, its just businuss

All of your files have been encrypted!

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.

What happens if i don't pay?

You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.

How do I buy Monero/XMR?

Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.

Payment Type: Monero/Xmr Coin

Amount: $350 USD In Monero/XMR

Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

If you have any questions or issues contact: iriswaresupport@proton.me

HACKED BY IRIS (THE ONE AND ONLY)

Πώς μπορεί το Ransomware να εισέλθει στο σύστημά σας;

Το Ransomware μπορεί να διεισδύσει στο σύστημά σας με διάφορους τρόπους, όπως:

Email ηλεκτρονικού ψαρέματος: Μια κοινή μέθοδος είναι μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ, εκτελούν το ωφέλιμο φορτίο ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά μεταμφιέζονται ως νόμιμες επικοινωνίες από αξιόπιστες πηγές, παρακινώντας τους χρήστες να τα ανοίξουν.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει το σύστημά σας σε ransomware. Αυτοί οι ιστότοποι ενδέχεται να εκμεταλλευτούν ευπάθειες στο πρόγραμμα περιήγησής σας ή στις προσθήκες σας για λήψη και εκτέλεση ransomware εν αγνοία σας.

Κακόβουλη διαφήμιση: Οι κακόβουλες διαφημίσεις, γνωστές ως κακόβουλες διαφημίσεις, μπορούν να παραδίδουν ωφέλιμα φορτία ransomware όταν γίνονται κλικ. Αυτές οι διαφημίσεις ενδέχεται να εμφανίζονται σε νόμιμους ιστότοπους και να εκμεταλλεύονται ευπάθειες σε διαφημιστικά δίκτυα για τη διανομή κακόβουλου λογισμικού.

Εκμετάλλευση ευπαθειών: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί στο λειτουργικό σας σύστημα ή στις εγκατεστημένες εφαρμογές σας. Οι εισβολείς μπορούν να χρησιμοποιήσουν κιτ εκμετάλλευσης, τα οποία είναι πακέτα κώδικα που έχουν σχεδιαστεί για την αυτοματοποίηση της εκμετάλλευσης γνωστών τρωτών σημείων, για την παράδοση ωφέλιμων φορτίων ransomware.

Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς ενδέχεται να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια στις υπηρεσίες Remote Desktop Protocol (RDP) για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημά σας. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware και να κρυπτογραφήσουν αρχεία.

Λήψεις Drive-by: Το Ransomware μπορεί επίσης να παραδοθεί μέσω λήψεων Drive-by, όπου γίνεται αυτόματη λήψη και εκτέλεση κακόβουλου λογισμικού κατά την επίσκεψη σε έναν παραβιασμένο ή κακόβουλο ιστότοπο.