SchrodingerCat Ransomware eist BTC-ransom

Tijdens een routine-inspectie van nieuwe bestanden stuitte ons onderzoeksteam op de SchrodingerCat-ransomware, een variant van de GlobeImposter-ransomwarefamilie. SchrodingerCat codeert gegevens en vraagt betaling voor decodering.

Tijdens het testen hebben we vastgesteld dat deze ransomware bestanden versleutelt en een extensie ".schrodingercat" aan hun namen toevoegt. Een bestand met de naam "1.jpg" zou bijvoorbeeld na codering "1.jpg.schrodingercat" worden, enzovoort.

Na de versleuteling genereert SchrodingerCat een losgeldbrief met de naam "how_to_back_files.html", wat aangeeft dat het zich richt op organisaties in plaats van op individuele gebruikers. In de notitie wordt beweerd dat het bedrijfsnetwerk van het slachtoffer is gecompromitteerd, wat heeft geleid tot de versleuteling van de opgeslagen bestanden.

Om weer toegang te krijgen tot de gecodeerde gegevens moet het slachtoffer een decryptor aanschaffen, die 0,15 BTC kost, wat op het moment van schrijven neerkomt op ongeveer tienduizend dollar. De nota raadt het inschakelen van tussenpersonen af en moedigt directe onderhandelingen met de aanvallers aan.

Weigering om het losgeld te betalen brengt de dreiging met zich mee dat cybercriminelen gevoelige gegevens die uit het netwerk zijn gestolen, veilen of lekken. Bovendien kunnen de criminelen contact opnemen met de klanten van het slachtoffer en aanbieden hun gecompromitteerde informatie te verkopen.

SchrodingerCat-auteurs beschouwen zichzelf als een bedrijf

De volledige tekst van het losgeldbriefje van SchrodingerCat bevat veel tekst en de hackers noemen zichzelf "Nacugunder Corporation". De volledige tekst gaat als volgt:

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

Hoe wordt ransomware zoals SchrodingerCat verspreid?

Ransomware zoals SchrodingerCat wordt doorgaans via verschillende methoden verspreid, waaronder:

Phishing-e-mails: Cybercriminelen verspreiden vaak ransomware via phishing-e-mails die kwaadaardige bijlagen of links bevatten. Deze e-mails kunnen er legitiem uitzien en gebruikers ertoe verleiden de bijlage te openen of op de link te klikken, waardoor de ransomware vervolgens op het systeem van het slachtoffer wordt geïnstalleerd.

Malvertising: Schadelijke advertenties (malvertising) op websites kunnen gebruikers omleiden naar sites die exploitkits hosten die ransomware verspreiden. Deze advertenties kunnen op legitieme websites verschijnen en kwetsbaarheden in de browser of plug-ins van de gebruiker misbruiken om de ransomware stil te installeren.

Exploitkits: Exploitkits zijn pakketten met kwaadaardige code die zijn ontworpen om misbruik te maken van kwetsbaarheden in software. Cybercriminelen gebruiken exploitkits om gebruikers te infecteren die besmette websites bezoeken, waarbij ze kwetsbaarheden in hun browsers of plug-ins misbruiken om ransomware op hun systemen af te leveren en uit te voeren.

Remote Desktop Protocol (RDP)-aanvallen: Aanvallers kunnen zwakke of standaardreferenties voor externe desktopservices, zoals RDP, misbruiken om ongeautoriseerde toegang tot een systeem te verkrijgen. Eenmaal binnen kunnen ze ransomware rechtstreeks op het netwerk van het slachtoffer inzetten.

Drive-by downloads: Drive-by downloads vinden plaats wanneer ransomware automatisch wordt gedownload en geïnstalleerd op het systeem van een gebruiker, zonder diens toestemming, terwijl hij een gecompromitteerde of kwaadaardige website bezoekt. Hierbij wordt vaak misbruik gemaakt van kwetsbaarheden in de browser of plug-ins van de gebruiker.

Geïnfecteerde software of bestanden: Cybercriminelen kunnen ransomware verspreiden door deze te vermommen als legitieme software of bestanden die kunnen worden gedownload van internet. Nietsvermoedende gebruikers downloaden en voeren deze bestanden uit, waardoor de ransomware onbedoeld op hun systemen wordt geïnstalleerd.

USB en verwisselbare media: Ransomware kan zich verspreiden via geïnfecteerde USB-drives of andere verwisselbare media. Wanneer gebruikers een geïnfecteerde USB-stick in hun computer steken, kan de ransomware automatisch worden uitgevoerd en het systeem infecteren.

Om zich te beschermen tegen ransomware-aanvallen moeten gebruikers een goede cyberbeveiligingshygiëne in acht nemen, waaronder het regelmatig updaten van software, het gebruik van gerenommeerde antivirussoftware, het voorzichtig zijn met e-mailbijlagen en links, en het regelmatig maken van back-ups van belangrijke gegevens.