SchrödingerCat Ransomware exige une rançon BTC

Lors d'une inspection de routine de nouveaux fichiers, notre équipe de recherche est tombée sur le ransomware SchrodingerCat, une variante de la famille de ransomwares GlobeImposter. SchrodingerCat crypte les données et exige un paiement pour le décryptage.

Lors des tests, nous avons observé que ce ransomware crypte les fichiers et ajoute une extension « .schrodingercat » à leurs noms. Par exemple, un fichier nommé « 1.jpg » deviendrait « 1.jpg.schrodingercat » après cryptage, et ainsi de suite.

Après le cryptage, SchrodingerCat génère une demande de rançon nommée « how_to_back_files.html », indiquant qu'il cible les organisations plutôt que les utilisateurs individuels. La note affirme que le réseau d'entreprise de la victime a été compromis, entraînant le cryptage de ses fichiers stockés.

Pour retrouver l'accès aux données cryptées, la victime doit acheter un décrypteur, au prix de 0,15 BTC, ce qui équivaut à environ dix mille USD au moment de la rédaction. La note déconseille l'implication d'intermédiaires et encourage la négociation directe avec les attaquants.

Le refus de payer la rançon entraîne la menace de voir les cybercriminels vendre aux enchères ou divulguer des données sensibles volées sur le réseau. De plus, les criminels peuvent contacter les clients de la victime et leur proposer de vendre leurs informations compromises.

Les auteurs de SchrodingerCat se considèrent comme une entreprise

Le texte intégral de la demande de rançon de SchrodingerCat contient beaucoup de texte et les pirates se font appeler « Nacugunder Corporation ». Le texte complet est le suivant :

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

Comment les ransomwares comme SchrödingerCat sont-ils distribués ?

Les ransomwares comme SchrodingerCat sont généralement distribués via diverses méthodes, notamment :

E-mails de phishing : les cybercriminels distribuent souvent des ransomwares via des e-mails de phishing contenant des pièces jointes ou des liens malveillants. Ces e-mails peuvent sembler légitimes, incitant les utilisateurs à ouvrir la pièce jointe ou à cliquer sur le lien, ce qui installe ensuite le ransomware sur le système de la victime.

Publicité malveillante : les publicités malveillantes (malvertising) sur les sites Web peuvent rediriger les utilisateurs vers des sites hébergeant des kits d'exploitation qui distribuent des ransomwares. Ces publicités peuvent apparaître sur des sites Web légitimes et exploiter les vulnérabilités du navigateur ou des plugins de l'utilisateur pour installer le ransomware en silence.

Kits d'exploit : les kits d'exploit sont des packages de code malveillant conçus pour tirer parti des vulnérabilités des logiciels. Les cybercriminels utilisent des kits d'exploitation pour infecter les utilisateurs qui visitent des sites Web compromis, en exploitant les vulnérabilités de leurs navigateurs ou plugins pour diffuser et exécuter des ransomwares sur leurs systèmes.

Attaques du protocole de bureau à distance (RDP) : les attaquants peuvent exploiter les informations d'identification faibles ou par défaut des services de bureau à distance, tels que RDP, pour obtenir un accès non autorisé à un système. Une fois à l’intérieur, ils peuvent déployer un ransomware directement sur le réseau de la victime.

Téléchargements drive-by : les téléchargements drive-by se produisent lorsqu'un ransomware est automatiquement téléchargé et installé sur le système d'un utilisateur sans son consentement lors de la visite d'un site Web compromis ou malveillant. Cela exploite souvent les vulnérabilités du navigateur ou des plugins de l’utilisateur.

Logiciels ou fichiers infectés : les cybercriminels peuvent distribuer des ransomwares en les déguisant en logiciels ou fichiers légitimes disponibles en téléchargement sur Internet. Des utilisateurs peu méfiants téléchargent et exécutent ces fichiers, installant par inadvertance le ransomware sur leurs systèmes.

USB et supports amovibles : les ransomwares peuvent se propager via des clés USB infectées ou d'autres supports amovibles. Lorsque les utilisateurs insèrent une clé USB infectée dans leur ordinateur, le ransomware peut s'exécuter automatiquement et infecter le système.

Pour se protéger contre les attaques de ransomwares, les utilisateurs doivent adopter une bonne hygiène de cybersécurité, notamment en mettant régulièrement à jour leurs logiciels, en utilisant un logiciel antivirus réputé, en faisant attention aux pièces jointes et aux liens des e-mails et en sauvegardant régulièrement les données importantes.