Το SchrodingerCat Ransomware απαιτεί BTC Ransom

Κατά τη διάρκεια μιας τακτικής επιθεώρησης νέων αρχείων, η ερευνητική μας ομάδα έπεσε πάνω στο ransomware SchrodingerCat, μια παραλλαγή της οικογένειας ransomware GlobeImposter. Το SchrodingerCat κρυπτογραφεί δεδομένα και απαιτεί πληρωμή για αποκρυπτογράφηση.

Κατά τη δοκιμή, παρατηρήσαμε ότι αυτό το ransomware κρυπτογραφεί αρχεία και προσθέτει μια επέκταση ".schrodingercat" στα ονόματά τους. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" θα γίνει "1.jpg.schrodingercat" μετά την κρυπτογράφηση και ούτω καθεξής.

Μετά την κρυπτογράφηση, το SchrodingerCat δημιουργεί μια σημείωση λύτρων με το όνομα "how_to_back_files.html", υποδεικνύοντας ότι στοχεύει οργανισμούς και όχι μεμονωμένους χρήστες. Το σημείωμα βεβαιώνει ότι το εταιρικό δίκτυο του θύματος έχει παραβιαστεί, με αποτέλεσμα την κρυπτογράφηση των αποθηκευμένων αρχείων του.

Για να αποκτήσει ξανά πρόσβαση στα κρυπτογραφημένα δεδομένα, το θύμα πρέπει να αγοράσει έναν αποκρυπτογραφητή, με τιμή 0,15 BTC, που ισοδυναμεί με περίπου δέκα χιλιάδες δολάρια τη στιγμή της γραφής. Το σημείωμα συμβουλεύει να μην εμπλέκονται μεσάζοντες και ενθαρρύνει την άμεση διαπραγμάτευση με τους επιτιθέμενους.

Η άρνηση πληρωμής των λύτρων ενέχει την απειλή ότι οι εγκληματίες του κυβερνοχώρου θα δημοπρατήσουν ή θα διαρρεύσουν ευαίσθητα δεδομένα που έχουν κλαπεί από το δίκτυο. Επιπλέον, οι εγκληματίες μπορεί να απευθυνθούν στους πελάτες του θύματος, προσφέροντας να πουλήσουν τις παραβιασμένες πληροφορίες τους.

Οι συγγραφείς SchrodingerCat θεωρούν τον εαυτό τους ως επιχείρηση

Το πλήρες κείμενο του σημειώματος λύτρων SchrodingerCat περιέχει πολύ κείμενο και οι χάκερ αναφέρονται ως "Nacugunder Corporation". Το πλήρες κείμενο έχει ως εξής:

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

Πώς διανέμεται το Ransomware όπως το SchrodingerCat;

Το ransomware όπως το SchrodingerCat διανέμεται συνήθως με διάφορες μεθόδους, όπως:

Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά διανέμουν ransomware μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται νόμιμα, εξαπατώντας τους χρήστες να ανοίξουν το συνημμένο ή να κάνουν κλικ στον σύνδεσμο, ο οποίος στη συνέχεια εγκαθιστά το ransomware στο σύστημα του θύματος.

Κακόβουλη διαφήμιση: Οι κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε ιστότοπους μπορούν να ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης που διανέμουν ransomware. Αυτές οι διαφημίσεις ενδέχεται να εμφανίζονται σε νόμιμους ιστότοπους και να εκμεταλλεύονται ευπάθειες στο πρόγραμμα περιήγησης ή στις προσθήκες του χρήστη για να εγκαταστήσουν το ransomware αθόρυβα.

Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης είναι πακέτα κακόβουλου κώδικα που έχουν σχεδιαστεί για να εκμεταλλεύονται τα τρωτά σημεία του λογισμικού. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κιτ εκμετάλλευσης για να μολύνουν χρήστες που επισκέπτονται παραβιασμένους ιστότοπους, εκμεταλλευόμενοι ευπάθειες στα προγράμματα περιήγησης ή τις προσθήκες τους για την παράδοση και εκτέλεση ransomware στα συστήματά τους.

Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ενδέχεται να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια για υπηρεσίες απομακρυσμένης επιφάνειας εργασίας, όπως το RDP, για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware απευθείας στο δίκτυο του θύματος.

Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν γίνεται αυτόματη λήψη και εγκατάσταση ransomware στο σύστημα ενός χρήστη χωρίς τη συγκατάθεσή του κατά την επίσκεψη σε έναν παραβιασμένο ή κακόβουλο ιστότοπο. Αυτό συχνά εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης ή στις προσθήκες του χρήστη.

Μολυσμένο λογισμικό ή αρχεία: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να διανέμουν ransomware αποκρύπτοντάς το ως νόμιμο λογισμικό ή αρχεία διαθέσιμα για λήψη από το Διαδίκτυο. Οι ανυποψίαστοι χρήστες κατεβάζουν και εκτελούν αυτά τα αρχεία, εγκαθιστώντας κατά λάθος το ransomware στα συστήματά τους.

USB και αφαιρούμενα μέσα: Το Ransomware μπορεί να εξαπλωθεί μέσω μολυσμένων μονάδων USB ή άλλων αφαιρούμενων μέσων. Όταν οι χρήστες εισάγουν μια μολυσμένη μονάδα USB στον υπολογιστή τους, το ransomware μπορεί να εκτελεστεί αυτόματα και να μολύνει το σύστημα.

Για την προστασία από επιθέσεις ransomware, οι χρήστες θα πρέπει να εφαρμόζουν καλή υγιεινή στον κυβερνοχώρο, συμπεριλαμβανομένης της τακτικής ενημέρωσης λογισμικού, της χρήσης αξιόπιστου λογισμικού προστασίας από ιούς, της προσοχής στα συνημμένα email και των συνδέσμων και της τακτικής δημιουργίας αντιγράφων ασφαλείας σημαντικών δεδομένων.