Az Udaigen Ransomware titkosítja az áldozatfájlokat
Az új beküldött fájlok vizsgálata során csapatunk egy érdekes felfedezést tett: egy Udaigen nevű ransomware-változatot. Ez a rosszindulatú program úgy működik, hogy titkosítja a fájlokat, majd váltságdíjat követel a visszafejtő kulcsért cserébe.
Az Udaigen tesztelésekor a kijelölt gépünkön megfigyeltük, hogy az titkosította a fájlokat, és módosította a fájlneveiket egy „.jcrypt” kiterjesztéssel. Például egy "1.jpg" nevű fájl "1.jpg.jcrypt"-re alakult át, a "2.png" pedig "2.png.jcrypt" lett, és így tovább. A titkosítási folyamat befejeztével a zsarolóprogram egy felugró ablakot jelenített meg a "_RECOVER__FILES.jcrypt.txt" nevű szövegfájl mellett.
Mind az előugró üzenet, mind a szöveges fájl hasonló információkat közvetítő váltságdíj-jegyzeteket tartalmazott. Az üzenetek tájékoztatták az áldozatot, hogy fájljaikat titkosították, és utasításokat adtak a visszafejtési folyamat megkönnyítésére. Az áldozatot arra utasították, hogy utaljon át 2 BTC-t (Bitcoin kriptovaluta), hogy megszerezze a szükséges dekódoló kulcsot. A cikk írásakor ez az összeg körülbelül 57 ezer USD-nak felel meg. Érdemes megjegyezni, hogy az árfolyamok gyakori ingadozásoknak vannak kitéve, ezért előfordulhat, hogy az átváltás jelenleg nem teljesen pontos.
Az Udaigen Ransom Note a titkosított fájlokat listázza
Az Udaigen váltságdíjról szóló feljegyzés teljes szövege a következő:
Minden fájlja titkosítva van.
Feloldásukhoz küldjön 2 bitcoint a következő BTC-címre: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Ezt követően kérjük, küldje el a tranzakció azonosítóját az udai@membermail.net címreHa lusta vagy, az nem fogja visszakapni a fájlokat.
Titkosítási napló:
(fájlok listája)
Hogyan kerülhet az Udaigenhez hasonló Ransomware a számítógépére?
Számos módja van annak, hogy a zsarolóprogramok, például az Udaigen megfertőzzék számítógépét. Íme néhány általános módszer:
- E-mail mellékletek: A Ransomware rosszindulatú e-mail mellékleteken keresztül terjeszthető. A kiberbűnözők gyakran küldenek adathalász e-maileket megbízható forrásokból származó, jogos üzeneteknek álcázva. Ezek az e-mailek fertőzött mellékleteket, például dokumentumokat vagy tömörített fájlokat tartalmazhatnak, amelyek megnyitásakor végrehajtják a zsarolóprogramot a számítógépen.
- Fertőzött webhelyek és letöltések: Feltört vagy rosszindulatú webhelyek látogatása zsarolóprogramoknak teheti ki számítógépét. A kiberbűnözők rosszindulatú kódot juttathatnak a webhelyekre, amelyek kihasználhatják a webböngésző vagy a beépülő modulok sebezhetőségét, hogy csendben töltsenek le és telepítsenek zsarolóprogramokat a rendszerére. A nem megbízható forrásokból származó illegitim letöltések zsarolóprogramokat is tartalmazhatnak.
- Rosszindulatú linkek és hirdetések: A rosszindulatú linkekre vagy hirdetésekre való kattintás ransomware fertőzéshez vezethet. Ezek a hivatkozások megtalálhatók e-mailekben, közösségi média platformokon vagy akár legitim megjelenésű webhelyeken. Miután rákattintottak, átirányíthatják Önt ransomware-t tároló webhelyekre, vagy elindíthatják a letöltést, ami automatikusan telepíti a zsarolóprogramot a számítógépére az Ön tudta nélkül.
- Szoftver sebezhetőségeinek kihasználása: A Ransomware fejlesztői gyakran kihasználják az operációs rendszerek, szoftveralkalmazások vagy bővítmények biztonsági réseit. A biztonsági rések kihasználásával jogosulatlanul hozzáférhetnek a számítógépéhez, és zsarolóprogramokat telepíthetnek.
- Távoli asztali protokoll (RDP) támadások: Ha megfelelő biztonsági intézkedések nélkül engedélyezte a távoli asztalt a számítógépen, a kiberbűnözők gyenge vagy alapértelmezett hitelesítő adatokat kihasználva hozzáférhetnek a rendszerhez. A bejutást követően zsarolóprogramokat vagy más rosszindulatú programokat telepíthetnek.
- Rosszindulatú szoftverfrissítések: A támadók feltörhetik a törvényes szoftverfrissítési mechanizmusokat, és zsarolóprogramokat tartalmazó hamis frissítéseket terjeszthetnek. Amikor a felhasználók tudtukon kívül telepítik ezeket a frissítéseket, a rendszerükön a zsarolóprogram kerül telepítésre.