Udaigen Ransomware vil kryptere offerfiler

Under vår undersøkelse av nye filinnsendinger, gjorde teamet vårt en interessant oppdagelse - en løsepengevarevariant kalt Udaigen. Dette ondsinnede programmet fungerer ved å kryptere filer og deretter kreve løsepenger i bytte mot dekrypteringsnøkkelen.

Da vi testet Udaigen på vår utpekte maskin, observerte vi at den krypterte filer og endret filnavnene deres ved å legge til en ".jcrypt"-utvidelse. For eksempel, en fil kalt "1.jpg" transformert til "1.jpg.jcrypt," og "2.png" ble "2.png.jcrypt," og så videre. Når krypteringsprosessen var avsluttet, presenterte løsepengevaren et popup-vindu ved siden av en tekstfil kalt "_RECOVER__FILES.jcrypt.txt."

Både popup-meldingen og tekstfilen inneholdt løsepenger som formidlet lignende informasjon. Meldingene informerte offeret om at filene deres var kryptert og ga instruksjoner for å lette dekrypteringsprosessen. Offeret ble bedt om å overføre en betaling på 2 BTC (Bitcoin cryptocurrency) for å skaffe den nødvendige dekrypteringsnøkkelen. I skrivende stund tilsvarer dette beløpet omtrent 57 tusen USD. Det er verdt å merke seg at valutakurser er gjenstand for hyppige svingninger, og derfor kan det hende at konverteringen ikke er helt nøyaktig for øyeblikket.

Udaigen løsepengenotat viser krypterte filer

Den fullstendige teksten til Udaigen løsepengenotat lyder som følger:

Alle filene dine er kryptert.

For å låse dem opp, vennligst send 2 bitcoin(s) til BTC-adressen: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Etterpå, vennligst send din transaksjons-ID til: udai@membermail.net

Å være en lat bit*h kommer ikke til å få filene dine tilbake.

Krypteringslogg:
(liste over filer)

Hvordan kan løsepengevare som Udaigen komme på datamaskinen din?

Det er flere måter løsepengevare som Udaigen kan infisere datamaskinen din på. Her er noen vanlige metoder:

• E-postvedlegg: Ransomware kan distribueres gjennom ondsinnede e-postvedlegg. Nettkriminelle sender ofte phishing-e-poster forkledd som legitime meldinger fra anerkjente kilder. Disse e-postene kan inneholde infiserte vedlegg, for eksempel dokumenter eller komprimerte filer, som, når de åpnes, kjører løsepengevaren på datamaskinen din.
• Infiserte nettsteder og nedlastinger: Å besøke kompromitterte eller ondsinnede nettsteder kan utsette datamaskinen din for løsepengeprogramvare. Nettkriminelle kan injisere ondsinnet kode på nettsteder, som kan utnytte sårbarheter i nettleseren din eller plugins for å stille ned og installere løsepengeprogramvare på systemet ditt. Ulovlige nedlastinger fra ikke-klarerte kilder kan også inneholde løsepengeprogramvare.
• Ondsinnede lenker og annonser: Å klikke på ondsinnede lenker eller annonser kan føre til infeksjoner med løsepenger. Disse koblingene kan finnes i e-poster, sosiale medieplattformer eller til og med legitime nettsteder. Når du har klikket på det, kan de omdirigere deg til nettsteder som er vert for løsepengevare eller starte en kjøre-for-nedlasting, og automatisk installere løsepengevaren på datamaskinen din uten at du vet det.
• Utnyttelse av programvaresårbarheter: Ransomware-utviklere utnytter ofte sikkerhetssårbarheter i operativsystemer, programvareapplikasjoner eller plugins. Ved å utnytte disse sårbarhetene kan de få uautorisert tilgang til datamaskinen din og distribuere løsepengeprogramvare.
• Remote Desktop Protocol (RDP)-angrep: Hvis du har aktivert Remote Desktop på datamaskinen din uten riktige sikkerhetstiltak, kan nettkriminelle utnytte svak eller standardlegitimasjon for å få tilgang til systemet ditt. Når de er inne, kan de installere løsepengevare eller annen skadelig programvare.
• Ondsinnede programvareoppdateringer: Angripere kan kompromittere legitime programvareoppdateringsmekanismer og distribuere falske oppdateringer som inneholder løsepengeprogramvare. Når brukere uvitende installerer disse oppdateringene, blir løsepengevaren distribuert på systemene deres.