Το Udaigen Ransomware θα κρυπτογραφεί τα αρχεία θυμάτων

Κατά τη διάρκεια της έρευνάς μας σχετικά με τις νέες υποβολές αρχείων, η ομάδα μας έκανε μια ενδιαφέρουσα ανακάλυψη - μια παραλλαγή ransomware που ονομάζεται Udaigen. Αυτό το κακόβουλο πρόγραμμα λειτουργεί κρυπτογραφώντας αρχεία και στη συνέχεια απαιτώντας λύτρα με αντάλλαγμα το κλειδί αποκρυπτογράφησης.

Κατά τη δοκιμή του Udaigen στον καθορισμένο υπολογιστή μας, παρατηρήσαμε ότι κρυπτογραφούσε αρχεία και τροποποιούσε τα ονόματα των αρχείων τους προσθέτοντας μια επέκταση ".jcrypt". Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" μετατράπηκε σε "1.jpg.jcrypt" και το "2.png" έγινε "2.png.jcrypt" και ούτω καθεξής. Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, το ransomware παρουσίασε ένα αναδυόμενο παράθυρο δίπλα σε ένα αρχείο κειμένου με το όνομα "_RECOVER__FILES.jcrypt.txt."

Τόσο το αναδυόμενο μήνυμα όσο και το αρχείο κειμένου περιείχαν σημειώσεις λύτρων που μεταφέρουν παρόμοιες πληροφορίες. Τα μηνύματα ενημέρωναν το θύμα ότι τα αρχεία του είχαν κρυπτογραφηθεί και παρείχαν οδηγίες για τη διευκόλυνση της διαδικασίας αποκρυπτογράφησης. Το θύμα έλαβε οδηγίες να μεταφέρει μια πληρωμή 2 BTC (cryptocurrency Bitcoin) για να αποκτήσει το απαραίτητο κλειδί αποκρυπτογράφησης. Μέχρι τη στιγμή της σύνταξης, το ποσό αυτό αντιστοιχεί σε περίπου 57 χιλιάδες USD. Αξίζει να σημειωθεί ότι οι συναλλαγματικές ισοτιμίες υπόκεινται σε συχνές διακυμάνσεις και ως εκ τούτου, η μετατροπή ενδέχεται να μην είναι απολύτως ακριβής προς το παρόν.

Το Udaigen Ransom Note παραθέτει κρυπτογραφημένα αρχεία

Το πλήρες κείμενο του σημειώματος για τα λύτρα Udaigen έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί.

Για να τα ξεκλειδώσετε, στείλτε 2 bitcoin(α) στη διεύθυνση BTC: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Στη συνέχεια, στείλτε email με το αναγνωριστικό συναλλαγής σας στη διεύθυνση: udai@membermail.net

Το να είσαι λίγο τεμπέλης δεν θα επαναφέρει τα αρχεία σου.

Αρχείο καταγραφής κρυπτογράφησης:
(λίστα αρχείων)

Πώς μπορεί το Ransomware όπως το Udaigen να μπει στον υπολογιστή σας;

Υπάρχουν διάφοροι τρόποι μέσω των οποίων το ransomware όπως το Udaigen μπορεί να μολύνει τον υπολογιστή σας. Ακολουθούν μερικές κοινές μέθοδοι:

• Συνημμένα email: Το Ransomware μπορεί να διανεμηθεί μέσω κακόβουλων συνημμένων email. Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) μεταμφιεσμένα ως νόμιμα μηνύματα από αξιόπιστες πηγές. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν μολυσμένα συνημμένα, όπως έγγραφα ή συμπιεσμένα αρχεία, τα οποία, όταν ανοίξουν, εκτελούν το ransomware στον υπολογιστή σας.
• Μολυσμένοι ιστότοποι και λήψεις: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει τον υπολογιστή σας σε ransomware. Οι εγκληματίες του κυβερνοχώρου ενδέχεται να εισάγουν κακόβουλο κώδικα σε ιστότοπους, οι οποίοι μπορούν να εκμεταλλευτούν ευπάθειες στο πρόγραμμα περιήγησής σας στον ιστό ή στις προσθήκες για να κατεβάσουν και να εγκαταστήσουν αθόρυβα ransomware στο σύστημά σας. Οι παράνομες λήψεις από μη αξιόπιστες πηγές μπορεί επίσης να περιέχουν ransomware.
• Κακόβουλοι σύνδεσμοι και διαφημίσεις: Κάνοντας κλικ σε κακόβουλους συνδέσμους ή διαφημίσεις μπορεί να οδηγήσει σε μολύνσεις ransomware. Αυτοί οι σύνδεσμοι μπορούν να βρεθούν σε μηνύματα ηλεκτρονικού ταχυδρομείου, πλατφόρμες μέσων κοινωνικής δικτύωσης ή ακόμα και ιστότοπους με νόμιμη εμφάνιση. Αφού κάνετε κλικ, μπορούν να σας ανακατευθύνουν σε ιστότοπους που φιλοξενούν ransomware ή να ξεκινήσουν μια λήψη μέσω Drive, εγκαθιστώντας αυτόματα το ransomware στον υπολογιστή σας χωρίς να το γνωρίζετε.
• Εκμετάλλευση τρωτών σημείων λογισμικού: Οι προγραμματιστές ransomware συχνά εκμεταλλεύονται τις ευπάθειες ασφαλείας σε λειτουργικά συστήματα, εφαρμογές λογισμικού ή προσθήκες. Εκμεταλλευόμενοι αυτά τα τρωτά σημεία, μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή σας και να αναπτύξουν ransomware.
• Επιθέσεις Remote Desktop Protocol (RDP): Εάν έχετε ενεργοποιήσει την Απομακρυσμένη επιφάνεια εργασίας στον υπολογιστή σας χωρίς τα κατάλληλα μέτρα ασφαλείας, οι εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια για να αποκτήσουν πρόσβαση στο σύστημά σας. Μόλις μπουν μέσα, μπορούν να εγκαταστήσουν ransomware ή άλλο κακόβουλο λογισμικό.
• Κακόβουλες ενημερώσεις λογισμικού: Οι επιτιθέμενοι ενδέχεται να θέτουν σε κίνδυνο τους νόμιμους μηχανισμούς ενημέρωσης λογισμικού και να διανέμουν ψεύτικες ενημερώσεις που περιέχουν ransomware. Όταν οι χρήστες εγκαθιστούν εν αγνοία τους αυτές τις ενημερώσεις, το ransomware αναπτύσσεται στα συστήματά τους.