Udaigen Ransomware zal slachtofferbestanden versleutelen
Tijdens ons onderzoek naar nieuwe ingediende bestanden heeft ons team een interessante ontdekking gedaan: een ransomware-variant genaamd Udaigen. Dit kwaadaardige programma werkt door bestanden te versleutelen en vervolgens losgeld te eisen in ruil voor de decoderingssleutel.
Bij het testen van Udaigen op onze aangewezen machine, zagen we dat het bestanden versleutelde en hun bestandsnamen wijzigde door een ".jcrypt" extensie toe te voegen. Een bestand met de naam "1.jpg" veranderde bijvoorbeeld in "1.jpg.jcrypt" en "2.png" werd "2.png.jcrypt", enzovoort. Nadat het coderingsproces was voltooid, presenteerde de ransomware een pop-upvenster naast een tekstbestand met de naam "_RECOVER__FILES.jcrypt.txt."
Zowel het pop-upbericht als het tekstbestand bevatten losgeldnota's met vergelijkbare informatie. De berichten informeerden het slachtoffer dat hun bestanden waren versleuteld en bevatten instructies om het ontsleutelingsproces te vergemakkelijken. Het slachtoffer kreeg de opdracht om een betaling van 2 BTC (Bitcoin cryptocurrency) over te maken om de benodigde decoderingssleutel te verkrijgen. Op het moment van schrijven komt dit bedrag overeen met ongeveer 57 duizend USD. Het is vermeldenswaard dat wisselkoersen onderhevig zijn aan frequente schommelingen, en daarom is de conversie op dit moment mogelijk niet helemaal nauwkeurig.
Udaigen Ransom Note geeft versleutelde bestanden weer
De volledige tekst van de losgeldbrief van Udaigen luidt als volgt:
Al uw bestanden zijn versleuteld.
Om ze te ontgrendelen, stuurt u 2 bitcoin(s) naar het BTC-adres: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
E-mail daarna uw transactie-ID naar: udai@membermail.netAls je een beetje lui bent, krijg je je bestanden niet terug.
Versleutelingslogboek:
(lijst met bestanden)
Hoe kan ransomware zoals Udaigen op uw computer terechtkomen?
Er zijn verschillende manieren waarop ransomware zoals Udaigen uw computer kan infecteren. Hier zijn enkele veelgebruikte methoden:
- E-mailbijlagen: Ransomware kan worden verspreid via kwaadaardige e-mailbijlagen. Cybercriminelen sturen vaak phishing-e-mails vermomd als legitieme berichten van betrouwbare bronnen. Deze e-mails kunnen geïnfecteerde bijlagen bevatten, zoals documenten of gecomprimeerde bestanden, die bij het openen de ransomware op uw computer uitvoeren.
- Geïnfecteerde websites en downloads: het bezoeken van gecompromitteerde of kwaadaardige websites kan uw computer blootstellen aan ransomware. Cybercriminelen kunnen schadelijke code in websites injecteren, die kwetsbaarheden in uw webbrowser of plug-ins kunnen misbruiken om geruisloos ransomware te downloaden en op uw systeem te installeren. Illegale downloads van niet-vertrouwde bronnen kunnen ook ransomware bevatten.
- Schadelijke links en advertenties: klikken op kwaadaardige links of advertenties kan leiden tot ransomware-infecties. Deze links zijn te vinden in e-mails, sociale mediaplatforms of zelfs legitiem ogende websites. Eenmaal aangeklikt, kunnen ze u omleiden naar websites die ransomware hosten of een drive-by-download starten, waarbij de ransomware automatisch zonder uw medeweten op uw computer wordt geïnstalleerd.
- Exploitatie van softwarekwetsbaarheden: Ransomware-ontwikkelaars maken vaak misbruik van beveiligingskwetsbaarheden in besturingssystemen, softwaretoepassingen of plug-ins. Door misbruik te maken van deze kwetsbaarheden, kunnen ze ongeoorloofde toegang tot uw computer krijgen en ransomware inzetten.
- Remote Desktop Protocol (RDP)-aanvallen: als u Remote Desktop op uw computer hebt ingeschakeld zonder de juiste beveiligingsmaatregelen, kunnen cybercriminelen zwakke of standaardreferenties misbruiken om toegang tot uw systeem te krijgen. Eenmaal binnen kunnen ze ransomware of andere malware installeren.
- Schadelijke software-updates: aanvallers kunnen legitieme software-updatemechanismen in gevaar brengen en valse updates met ransomware verspreiden. Wanneer gebruikers deze updates onbewust installeren, wordt de ransomware op hun systemen ingezet.
