A Pegasus Ransomware titkosítja az áldozatrendszer meghajtóit
Csapatunk a Pegasus-ra, egy zsarolóprogramra bukkant, miközben új fájlminta-beküldéseket vizsgált meg. Amikor a Pegasus mintát futtattuk a tesztgépünkön, az titkosította a fájlokat, és módosította a nevüket.
Az eredeti fájlneveket egy véletlenszerű karaktersorozattal bővítették, például az "1.jpg" "1.jpg.tBC8M" lett, a "2.png" pedig a "2.png.qGuj7". A titkosítási folyamat befejezése után a „Ghost_ReadMe.txt” elnevezésű váltságdíjat letétbe helyezték.
A váltságdíj értesíti az áldozatot, hogy a titkosítás miatt elérhetetlenek a fájljai. Biztosítja őket arról, hogy visszakereshetik adataikat, ha megvásárolják a visszafejtő eszközt a támadóktól. A váltságdíj összege 350 dollár Bitcoin kriptovalutában. Fizetéskor az áldozatot utasítják, hogy igazolja a tranzakciót, majd megígérik, hogy megkapják a visszafejtő kulcsot.
A Pegasus Ransom Note 350 dollárt követel
A Pegasus ransomware által generált "Ghost_ReadMe.txt" fájl teljes szövege a következő:
Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.How Can I Decrypt Files?
- You Can Buy Crypto Here: hxxps://www.coinmama.com/
- Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
- Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
- Contact Our email address: ransom.data@gmail.com
Note: Do Not Use Third Party Decryption Tools
Melyek a Ransomware által leggyakrabban használt támadási vektorok?
A zsarolóvírusok különféle támadási vektorokon keresztül behatolhatnak a rendszerekbe, de a leggyakoribbak közül néhány:
Adathalász e-mailek: A támadók gyakran rosszindulatú mellékleteket vagy linkeket tartalmazó adathalász e-maileken keresztül terjesztik a zsarolóprogramokat. Ezek az e-mailek jogos entitásoknak vagy szervezeteknek adják ki magukat, és arra késztethetik a címzetteket, hogy kattintsanak a linkekre vagy töltsenek le mellékleteket, amelyek zsarolóprogramokat tartalmaznak.
Rosszindulatú webhelyek: A Ransomware terjeszthető rosszindulatú webhelyeken vagy feltört legitim webhelyeken keresztül. Az ilyen oldalak látogatása vagy a rosszindulatú hirdetésekre való kattintás a zsarolóprogramok automatikus letöltéséhez és végrehajtásához vezethet az áldozat rendszerén.
Kizsákmányoló készletek: A kiberbűnözők kihasználják a szoftverek vagy operációs rendszerek sebezhetőségeit, kihasználó készletek segítségével zsarolóvírusokat juttathatnak el. Ezek a készletek olyan ismert sebezhetőségeket céloznak meg, amelyeket még nem javítottak ki, lehetővé téve a támadók számára, hogy jogosulatlanul hozzáférjenek a rendszerekhez, és zsarolóprogramokat telepítsenek.
Remote Desktop Protocol (RDP): A támadók brutális erővel kényszeríthetik az RDP hitelesítő adatait, vagy kihasználhatják a gyenge jelszavakat, hogy távolról jogosulatlan hozzáférést kapjanak a rendszerekhez. Miután bekerültek, közvetlenül telepíthetik a zsarolóprogramokat a feltört rendszerekre.
Drive-By Downloads: A zsarolóvírusok kézbesíthetők Drive-by letöltésekkel, ahol a rosszindulatú programok automatikusan letöltődnek és települnek az áldozat rendszerére az áldozat beleegyezése vagy tudta nélkül, amikor feltört vagy rosszindulatú webhelyeket látogatnak meg.
Rosszindulatú reklámozás: A kiberbűnözők zsarolóprogramokat terjeszthetnek a legális webhelyeken megjelenő rosszindulatú hirdetéseken keresztül (rosszindulatú hirdetések). Az ezekre a hirdetésekre kattintva átirányíthatja a felhasználókat a ransomware-t tároló webhelyekre, vagy elindíthatja a zsarolóprogramok rakományainak automatikus letöltését.
Távoli kódvégrehajtás (RCE): A webalkalmazások vagy kiszolgálószoftverek biztonsági rései kihasználhatók tetszőleges kód távoli végrehajtására. A támadók az RCE sebezhetőségeit kihasználva zsarolóprogramokat telepíthetnek szerverekre vagy hálózati eszközökre.
Fájlmegosztó hálózatok: A Ransomware egyenrangú (P2P) fájlmegosztó hálózatokon vagy feltört hálózati megosztásokon keresztül terjedhet. Az ezeken a hálózatokon megosztott fertőzött fájlok a zsarolóvírusok elterjedéséhez vezethetnek más felhasználókra vagy a hálózathoz csatlakoztatott eszközökre.