A SchrodingerCat Ransomware BTC váltságdíjat követel

Az új fájlok rutinszerű vizsgálata során kutatócsoportunk a SchrodingerCat ransomware-re, a GlobeImposter ransomware család egy változatára bukkant. A SchrodingerCat titkosítja az adatokat, és fizetést kér a visszafejtésért.

A tesztelés során megfigyeltük, hogy ez a zsarolóprogram titkosítja a fájlokat, és ".schrodingercat" kiterjesztést fűz a nevükhöz. Például egy "1.jpg" nevű fájl a titkosítás után "1.jpg.schrodingercat" lesz, és így tovább.

A titkosítást követően a SchrodingerCat létrehoz egy „how_to_back_files.html” elnevezésű váltságdíjat, jelezve, hogy szervezeteket céloz meg, nem pedig egyéni felhasználókat. A feljegyzés azt állítja, hogy az áldozat vállalati hálózatát feltörték, aminek eredményeként a tárolt fájlokat titkosították.

Ahhoz, hogy visszaszerezze a hozzáférést a titkosított adatokhoz, az áldozatnak egy dekódolót kell vásárolnia, amelynek ára 0,15 BTC, ami a cikk írásakor körülbelül tízezer USD-nak felel meg. A feljegyzés nem javasolja a közvetítők bevonását, és közvetlen tárgyalásra ösztönöz a támadókkal.

A váltságdíj kifizetésének megtagadása azzal a veszéllyel jár, hogy a kiberbűnözők elárvereznek vagy kiszivárogtatnak a hálózatról ellopott érzékeny adatokat. Ezenkívül a bűnözők megkereshetik az áldozat ügyfeleit, felajánlva, hogy eladják feltört információikat.

A SchrodingerCat szerzői vállalkozásként tekintenek magukra

A SchrodingerCat váltságdíjról szóló feljegyzés teljes szövege sok szöveget tartalmaz, és a hackerek "Nacugunder Corporation"-nek nevezik magukat. A teljes szöveg így hangzik:

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

Hogyan terjeszthető a Ransomware, mint a SchrodingerCat?

A zsarolóvírusokat, mint például a SchrodingerCat, általában különféle módszerekkel terjesztik, többek között:

Adathalász e-mailek: A kiberbűnözők gyakran rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-maileken keresztül terjesztik a zsarolóprogramokat. Ezek az e-mailek jogosnak tűnhetnek, ráveszik a felhasználókat, hogy nyissa meg a mellékletet, vagy kattintsanak a hivatkozásra, amely aztán telepíti a zsarolóprogramot az áldozat rendszerére.

Rosszindulatú hirdetések: A webhelyeken megjelenő rosszindulatú hirdetések (rosszindulatú hirdetések) átirányíthatják a felhasználókat a zsarolóprogramokat terjesztő kizsákmányoló készleteket tároló webhelyekre. Ezek a hirdetések legitim webhelyeken jelenhetnek meg, és kihasználják a felhasználó böngészőjének vagy bővítményeinek sebezhetőségét a zsarolóprogramok csendben történő telepítésére.

Exploit Kits: A kizsákmányoló készletek rosszindulatú kódcsomagok, amelyek célja a szoftverek sebezhetőségeinek kihasználása. A kiberbűnözők kizsákmányoló készletekkel fertőzik meg a feltört webhelyeket felkereső felhasználókat, kihasználva böngészőik vagy bővítményeik sebezhetőségét, hogy ransomware-t szállítsanak és hajtsanak végre rendszereiken.

Távoli asztali protokoll (RDP) támadások: A támadók kihasználhatják a távoli asztali szolgáltatások, például az RDP gyenge vagy alapértelmezett hitelesítő adatait, hogy illetéktelenül hozzáférjenek a rendszerhez. Miután bejutottak, közvetlenül az áldozat hálózatára telepíthetik a zsarolóprogramokat.

Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, amikor a zsarolóprogramok automatikusan letöltődnek és települnek a felhasználó rendszerére a felhasználó beleegyezése nélkül, amikor egy feltört vagy rosszindulatú webhelyet látogat meg. Ez gyakran kihasználja a felhasználó böngészőjének vagy bővítményeinek sebezhetőségét.

Fertőzött szoftverek vagy fájlok: A kiberbűnözők zsarolóprogramokat terjeszthetnek úgy, hogy legális szoftvernek vagy az internetről letölthető fájloknak álcázzák azt. A gyanútlan felhasználók letöltik és futtatják ezeket a fájlokat, és véletlenül telepítik a zsarolóvírust a rendszerükre.

USB és cserélhető adathordozók: A zsarolóvírusok fertőzött USB-meghajtókon vagy más cserélhető adathordozókon keresztül terjedhetnek. Amikor a felhasználók fertőzött USB-meghajtót helyeznek a számítógépükbe, a zsarolóprogram automatikusan végrehajthatja és megfertőzheti a rendszert.

A zsarolóprogramok elleni védelem érdekében a felhasználóknak be kell tartaniuk a megfelelő kiberbiztonsági higiéniát, ideértve a szoftverek rendszeres frissítését, jó hírű vírusirtó szoftverek használatát, óvatosnak kell lenniük az e-mailek mellékleteivel és hivatkozásaival kapcsolatban, valamint a fontos adatok rendszeres biztonsági mentését.