Il ransomware SchrodingerCat richiede un riscatto in BTC
Durante un'ispezione di routine di nuovi file, il nostro team di ricerca si è imbattuto nel ransomware SchrodingerCat, una variante della famiglia di ransomware GlobeImposter. SchrodingerCat crittografa i dati e richiede il pagamento per la decrittazione.
Durante i test, abbiamo osservato che questo ransomware crittografa i file e aggiunge l'estensione ".schrodingercat" ai loro nomi. Ad esempio, un file denominato "1.jpg" diventerebbe "1.jpg.schrodingercat" dopo la crittografia e così via.
Dopo la crittografia, SchrodingerCat genera una richiesta di riscatto denominata "how_to_back_files.html", indicando che si rivolge alle organizzazioni piuttosto che ai singoli utenti. La nota afferma che la rete aziendale della vittima è stata compromessa, con conseguente crittografia dei file archiviati.
Per riottenere l'accesso ai dati crittografati, la vittima deve acquistare un decryptor, al prezzo di 0,15 BTC, che equivale a circa diecimila dollari al momento in cui scrivo. La nota sconsiglia il coinvolgimento di intermediari e incoraggia la trattativa diretta con gli aggressori.
Il rifiuto di pagare il riscatto comporta il pericolo che i criminali informatici mettano all'asta o diffondano dati sensibili rubati dalla rete. Inoltre, i criminali potrebbero contattare i clienti della vittima, offrendosi di vendere le loro informazioni compromesse.
Gli autori di SchrodingerCat pensano a se stessi come a un business
Il testo completo della richiesta di riscatto di SchrodingerCat contiene molto testo e gli hacker si riferiscono a se stessi come "Nacugunder Corporation". Il testo completo è il seguente:
YOUR PERSONAL ID
ENGLISH
YOUR CORPORATE NETWORK LOCKED!ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTCBuy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trustBitcoin Wallet: 3Pvn*MLA5
Our contacts:
email: yourdatahelp@seznam.czToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D
You can download TOXChat here : hxxps://tox.chat/download.html
The message must contain your Personal ID! it is at top of this document.
HOW IT WORKS.
If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.
What's problem with intermediaries?!
Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.
deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.
Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAYIn case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.© 2024 Nacugunder Corporation | All Rights Reserved.
Come viene distribuito il ransomware come SchrodingerCat?
I ransomware come SchrodingerCat vengono generalmente distribuiti attraverso vari metodi, tra cui:
E-mail di phishing: i criminali informatici spesso distribuiscono ransomware tramite e-mail di phishing contenenti allegati o collegamenti dannosi. Queste e-mail possono apparire legittime e indurre gli utenti ad aprire l'allegato o a fare clic sul collegamento, installando quindi il ransomware nel sistema della vittima.
Malvertising: gli annunci pubblicitari dannosi (malvertising) sui siti Web possono reindirizzare gli utenti a siti che ospitano kit di exploit che distribuiscono ransomware. Questi annunci possono apparire su siti Web legittimi e sfruttare le vulnerabilità del browser o dei plug-in dell'utente per installare silenziosamente il ransomware.
Kit di exploit: i kit di exploit sono pacchetti di codice dannoso progettati per sfruttare le vulnerabilità del software. I criminali informatici utilizzano kit di exploit per infettare gli utenti che visitano siti Web compromessi, sfruttando le vulnerabilità nei loro browser o plug-in per distribuire ed eseguire ransomware sui loro sistemi.
Attacchi RDP (Remote Desktop Protocol): gli aggressori possono sfruttare credenziali deboli o predefinite per servizi desktop remoti, come RDP, per ottenere l'accesso non autorizzato a un sistema. Una volta entrati, possono distribuire il ransomware direttamente nella rete della vittima.
Download drive-by: i download drive-by si verificano quando il ransomware viene automaticamente scaricato e installato nel sistema di un utente senza il suo consenso mentre visita un sito Web compromesso o dannoso. Questo spesso sfrutta le vulnerabilità nel browser o nei plugin dell'utente.
Software o file infetti: i criminali informatici possono distribuire ransomware mascherandolo da software o file legittimi disponibili per il download da Internet. Gli utenti ignari scaricano ed eseguono questi file, installando inavvertitamente il ransomware sui propri sistemi.
USB e supporti rimovibili: il ransomware può diffondersi attraverso unità USB infette o altri supporti rimovibili. Quando gli utenti inseriscono un'unità USB infetta nel proprio computer, il ransomware può essere eseguito e infettare automaticamente il sistema.
Per proteggersi dagli attacchi ransomware, gli utenti dovrebbero praticare una buona igiene della sicurezza informatica, incluso l’aggiornamento regolare del software, l’utilizzo di software antivirus affidabile, la cautela nei confronti degli allegati e dei collegamenti e-mail e il backup regolare dei dati importanti.
