Pegasus Ransomware užšifruoja aukų sistemos diskus
Mūsų komanda susidūrė su Pegasus, išpirkos reikalaujančia programa, nagrinėdama naujus pateiktų failų pavyzdžius. Kai paleidome Pegasus pavyzdį savo bandymo aparate, jis užšifravo failus ir pakeitė jų pavadinimus.
Pradiniai failų pavadinimai buvo išplėsti atsitiktine simbolių eilute, pavyzdžiui, „1.jpg“ tapo „1.jpg.tBC8M“, o „2.png“ – „2.png.qGuj7“. Užbaigus šifravimo procesą, buvo deponuotas išpirkos raštelis pavadinimu „Ghost_ReadMe.txt“.
Išpirkos raštelyje aukai pranešama, kad jų failai nepasiekiami dėl šifravimo. Tai užtikrina, kad jie gali nuskaityti savo duomenis iš užpuolikų įsigiję iššifravimo įrankį. Išpirkos suma nurodyta kaip 350 USD Bitcoin kriptovaliuta. Sumokėjus nukentėjusiajam nurodoma pateikti sandorio įrodymus, po kurių žadama gauti iššifravimo raktą.
„Pegasus Ransom Note“ reikalauja sumokėti 350 USD
Visas Pegasus ransomware sugeneruoto failo „Ghost_ReadMe.txt“ tekstas skamba taip:
Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.How Can I Decrypt Files?
- You Can Buy Crypto Here: hxxps://www.coinmama.com/
- Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
- Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
- Contact Our email address: ransom.data@gmail.com
Note: Do Not Use Third Party Decryption Tools
Kokie yra dažniausiai „Ransomware“ naudojami atakų vektoriai?
Ransomware gali įsiskverbti į sistemas per įvairius atakų vektorius, tačiau kai kurie iš dažniausiai pasitaikančių yra:
Sukčiavimo el. laiškai: užpuolikai dažnai platina išpirkos reikalaujančias programas per sukčiavimo el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų. Šiuose el. laiškuose gali būti apsimetinėjama teisėtais subjektais arba organizacijomis, viliojantys gavėjus spustelėti nuorodas arba atsisiųsti priedus, kuriuose yra išpirkos reikalaujančių programų.
Kenkėjiškos svetainės: Ransomware gali būti platinama per kenkėjiškas svetaines arba pažeistas teisėtas svetaines. Lankantis tokiose svetainėse arba spustelėjus kenkėjiškas reklamas, aukos sistemoje gali būti automatiškai atsisiunčiama ir vykdoma išpirkos reikalaujanti programinė įranga.
Išnaudojimų rinkiniai: kibernetiniai nusikaltėliai išnaudoja programinės įrangos ar operacinių sistemų pažeidžiamumą naudodami išnaudojimo rinkinius, kad pristatytų išpirkos reikalaujančias programas. Šie rinkiniai nukreipti į žinomas spragas, kurios nebuvo pataisytos, todėl užpuolikai gali gauti neteisėtą prieigą prie sistemų ir įdiegti išpirkos reikalaujančias programas.
Nuotolinio darbalaukio protokolas (RDP): užpuolikai gali žiauriai priverstinai panaudoti KPP kredencialus arba išnaudoti silpnus slaptažodžius, kad gautų neteisėtą prieigą prie sistemų nuotoliniu būdu. Patekę į vidų, jie gali įdiegti išpirkos reikalaujančias programas tiesiai į pažeistas sistemas.
Atsisiuntimai pagal vairuotoją: Išpirkos reikalaujančios programos gali būti pristatomos naudojant tiesioginius atsisiuntimus, kai kenkėjiška programa automatiškai atsisiunčiama ir įdiegiama į aukos sistemą be jos sutikimo ar žinios, kai lankotės pažeistose ar kenkėjiškose svetainėse.
Kenkėjiška reklama: kibernetiniai nusikaltėliai gali platinti išpirkos reikalaujančias programas per kenkėjiškus skelbimus (kenksmingą reklamą), rodomą teisėtose svetainėse. Spustelėjus šiuos skelbimus naudotojai gali būti nukreipti į svetaines, kuriose yra išpirkos reikalaujančios programos, arba pradėti automatinius išpirkos reikalaujančių programų siuntimus.
Nuotolinis kodo vykdymas (RCE): žiniatinklio programų arba serverio programinės įrangos pažeidžiamumas gali būti išnaudojamas norint nuotoliniu būdu vykdyti savavališką kodą. Užpuolikai gali panaudoti RCE pažeidžiamumą, norėdami įdiegti išpirkos reikalaujančią programinę įrangą serveriuose arba tinklo įrenginiuose.
Failų bendrinimo tinklai: Ransomware gali plisti per lygiaverčius (P2P) failų dalijimosi tinklus arba pažeistas tinklo dalis. Užkrėsti failai, bendrinami šiais tinklais, gali sukelti išpirkos reikalaujančių programų išplitimą kitiems vartotojams ar prie tinklo prijungtiems įrenginiams.
