A TransCrypt Ransomware zárolja a fertőzött meghajtókat
A TransCrypt rosszindulatú program vizsgálata során azt találtuk, hogy ez a ransomware egy formája, amely a Chaos ransomware-ből származik. A TransCrypt úgy működik, hogy titkosítja a fájlokat, véletlenszerű kiterjesztéseket ad a fájlnevekhez, megváltoztatja az asztal háttérképét, és egy „RECOVERFILES.txt” nevű váltságdíjat küld.
Annak szemléltetésére, hogy a TransCrypt hogyan változtatja meg a fájlneveket, nézze meg az „1.jpg” átnevezését „1.jpg.wwm1”-re, a „2.png”-t pedig „2.png.vile”-re, egyéb módosítások mellett.
A váltságdíj-jegyzet elmagyarázza az áldozat számítógépének katonai szintű algoritmussal történő titkosítását, hangsúlyozva, hogy a váltságkérők segítsége nélkül lehetetlen a helyreállítás. A feljegyzés lebeszéli az áldozatokat az alternatív megoldások kereséséről, és hangsúlyozza a visszafejtő szolgáltatásuk igénybevételének szükségességét.
A váltságdíj utalvány garantálja az összes fájl biztonságos és egyszerű helyreállítását fizetéskor. Konkrét utasításokat ad az áldozat számára, beleértve az 500 dollár értékű bitcoin vásárlását és annak egy meghatározott címre történő elküldését. Ezenkívül az áldozatokat a tramoryp@proton.me e-mail címre irányítják, hogy küldjék el a tranzakció igazolását a visszafejtési kulcsukkal együtt.
TransCrypt Ransom Note teljes egészében
A TransCrypt váltságdíj teljes szövege a következő:
you became a victim of the transcrypt ransomware!
the harddisk of your computer have been encrypted with an military grade encryption algorithm.
there is no way to restore your data without our help.
perhaps you are busy looking for a way to recover your files,but don’t waste your time.
nobody can recover your files without our decryption service.we garantee that you can recover all your files safely and easily……..
all you need to do is submit the payment and purchase the decryption key…please follow the instructions:
- buy 500 dollars worth of bitcoin
- send the bitcoin to the following btc-adress: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
- send an email to tramoryp@proton.me with proof of
the transaction and your decryption key -
Hogyan kerülhet be a rendszerébe a zsarolóvírus, mint a TransCrypt?
A zsarolóvírusok, beleértve az olyan változatokat, mint a TransCrypt, különféle módon behatolhatnak a számítógépes rendszerekbe. Íme a gyakori módszerek, amelyek révén a zsarolóvírus hozzáférhet a rendszerekhez:
Adathalász e-mailek: A kiberbűnözők gyakran használnak adathalász e-maileket zsarolóprogramok terjesztésére. Ezek az e-mailek rosszindulatú mellékleteket vagy linkeket tartalmazhatnak, amelyekre kattintva letölthető és végrehajtható a zsarolóprogram az áldozat rendszerén. Előfordulhat, hogy az e-mailek megbízható forrásból származó legitim üzenetnek álcázzák a címzettet, hogy nyissa meg a mellékletet vagy kattintson egy hivatkozásra.
Rosszindulatú webhelyek: Ha feltört vagy rosszindulatú webhelyeket keres fel, rendszere ki van téve a zsarolóprogramoknak. Egyes webhelyek kihasználhatják a böngésző vagy a beépülő modulok sebezhetőségét, hogy a felhasználó tudta nélkül ransomware-t szállítsanak és hajtsanak végre.
Rosszindulatú reklámozás: A rosszindulatú reklámozás során a kiberbűnözők fertőzött hirdetéseket helyeznek el legitim webhelyeken. Ha ezekre a hirdetésekre kattint, zsarolóprogramok letöltéséhez és végrehajtásához vezethet az áldozat rendszerén.
Drive-By Downloads: A zsarolóprogramok indítási letöltésekkel is szállíthatók, ahol a rosszindulatú programok automatikusan letöltésre kerülnek és a felhasználó beleegyezése nélkül települnek a felhasználó eszközére, gyakran feltört webhelyek meglátogatásakor.
Szoftver sebezhetőségeinek kihasználása: A Ransomware készítői gyakran használják ki a szoftverek, operációs rendszerek vagy alkalmazások sebezhetőségeit, hogy jogosulatlan hozzáférést kapjanak a rendszerhez. Kulcsfontosságú a szoftver frissítése az ismert sebezhetőségek javítása érdekében.
Remote Desktop Protocol (RDP) támadások: Ha a Remote Desktop Protocol nincs megfelelően védett, a támadók brute force támadásokat alkalmazhatnak, vagy gyenge jelszavakat használhatnak ki a rendszerhez való hozzáférés érdekében. Ha bejutottak, telepíthetik a zsarolóprogramokat.
