Το TransCrypt Ransomware κλειδώνει μολυσμένες μονάδες δίσκου
Κατά την εξέταση του κακόβουλου λογισμικού TransCrypt, διαπιστώσαμε ότι πρόκειται για μια μορφή ransomware που προέρχεται από το Chaos ransomware. Το TransCrypt λειτουργεί κρυπτογραφώντας αρχεία, προσαρτώντας τυχαίες επεκτάσεις σε ονόματα αρχείων, αλλάζοντας την ταπετσαρία της επιφάνειας εργασίας και παραδίδοντας μια σημείωση λύτρων με το όνομα "RECOVERFILES.txt".
Για να δείξετε πώς το TransCrypt αλλάζει τα ονόματα αρχείων, εξετάστε το παράδειγμα της μετονομασίας του "1.jpg" σε "1.jpg.wwm1" και του "2.png" σε "2.png.vile", μεταξύ άλλων τροποποιήσεων.
Το σημείωμα για τα λύτρα εξηγεί την κρυπτογράφηση του υπολογιστή του θύματος χρησιμοποιώντας έναν αλγόριθμο στρατιωτικού βαθμού, τονίζοντας την αδυναμία ανάκτησης χωρίς τη βοήθεια των λυτρωτών. Το σημείωμα αποθαρρύνει τα θύματα από την αναζήτηση εναλλακτικών λύσεων και τονίζει την αναγκαιότητα χρήσης της υπηρεσίας αποκρυπτογράφησης τους.
Το σημείωμα λύτρων διασφαλίζει την ασφαλή και απλή ανάκτηση όλων των αρχείων κατά την πληρωμή. Παρέχει συγκεκριμένες οδηγίες για το θύμα, συμπεριλαμβανομένης της αγοράς bitcoin αξίας 500 $ και την αποστολή του σε μια καθορισμένη διεύθυνση. Επιπλέον, τα θύματα κατευθύνονται να στείλουν μέσω email αποδεικτικό της συναλλαγής μαζί με το κλειδί αποκρυπτογράφησης στο tramoryp@proton.me.
Ολόκληρο το TransCrypt Ransom Note
Το πλήρες κείμενο του σημειώματος λύτρων TransCrypt έχει ως εξής:
you became a victim of the transcrypt ransomware!
the harddisk of your computer have been encrypted with an military grade encryption algorithm.
there is no way to restore your data without our help.
perhaps you are busy looking for a way to recover your files,but don’t waste your time.
nobody can recover your files without our decryption service.we garantee that you can recover all your files safely and easily……..
all you need to do is submit the payment and purchase the decryption key…please follow the instructions:
- buy 500 dollars worth of bitcoin
- send the bitcoin to the following btc-adress: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
- send an email to tramoryp@proton.me with proof of
the transaction and your decryption key -
Πώς μπορεί να εισέλθει στο σύστημά σας το Ransomware όπως το TransCrypt;
Το Ransomware, συμπεριλαμβανομένων παραλλαγών όπως το TransCrypt, μπορεί να διεισδύσει σε συστήματα υπολογιστών με διάφορα μέσα. Ακολουθούν κοινές μέθοδοι μέσω των οποίων το ransomware αποκτά πρόσβαση στα συστήματα:
Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για να διανέμουν ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν κακόβουλα συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ, πραγματοποιούν λήψη και εκτέλεση του ransomware στο σύστημα του θύματος. Τα email μπορεί να είναι μεταμφιεσμένα ως νόμιμα μηνύματα από αξιόπιστες πηγές, που προτρέπουν τον παραλήπτη να ανοίξει ένα συνημμένο ή να κάνει κλικ σε έναν σύνδεσμο.
Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει το σύστημά σας σε ransomware. Ορισμένοι ιστότοποι ενδέχεται να εκμεταλλεύονται ευπάθειες στο πρόγραμμα περιήγησης ή στις προσθήκες για την παράδοση και εκτέλεση ransomware χωρίς τη γνώση του χρήστη.
Κακόβουλη διαφήμιση: Η κακόβουλη διαφήμιση ή κακόβουλη διαφήμιση περιλαμβάνει εγκληματίες του κυβερνοχώρου που τοποθετούν μολυσμένες διαφημίσεις σε νόμιμους ιστότοπους. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορεί να οδηγήσει στη λήψη και την εκτέλεση ransomware στο σύστημα του θύματος.
Λήψεις Drive-By: Το Ransomware μπορεί να παραδοθεί μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό γίνεται αυτόματα λήψη και εγκατάσταση στη συσκευή ενός χρήστη χωρίς τη συγκατάθεσή του, συχνά κατά την επίσκεψη σε παραβιασμένους ιστότοπους.
Εκμετάλλευση ευπαθειών λογισμικού: Οι δημιουργοί ransomware συχνά εκμεταλλεύονται ευπάθειες σε λογισμικό, λειτουργικά συστήματα ή εφαρμογές για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα. Είναι σημαντικό να διατηρείται το λογισμικό ενημερωμένο για να επιδιορθώνει γνωστά τρωτά σημεία.
Επιθέσεις Remote Desktop Protocol (RDP): Εάν το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας δεν είναι επαρκώς ασφαλισμένο, οι εισβολείς ενδέχεται να χρησιμοποιήσουν επιθέσεις ωμής βίας ή να εκμεταλλευτούν αδύναμους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση σε ένα σύστημα. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware.
