Oprogramowanie ransomware Crocodile Smile będzie hostem Twoich danych jako zakładników

Podczas badania nowych próbek plików nasi badacze odkryli oprogramowanie ransomware Crocodile Smile. To złośliwe oprogramowanie działa poprzez szyfrowanie danych, a następnie żądanie zapłaty w zamian za odszyfrowanie.

Po uruchomieniu próbki Crocodile Smile na naszej maszynie testowej natychmiast zainicjował on proces szyfrowania. Nazwy plików, których dotyczy problem, zostały zmodyfikowane za pomocą rozszerzenia „.CrocodileSmile”. na przykład „1.jpg” zmieniono na „1.jpg.CrocodileSmile”, „2.png” zmieniono na „2.png.CrocodileSmile” i tak dalej dla wszystkich zaszyfrowanych plików.

Po zakończeniu procesu szyfrowania Crocodile Smile zmienił tapetę pulpitu i wygenerował żądanie okupu oznaczone jako „READ_SOLUTION.txt”.

Z treści żądania okupu wynika, że Crocodile Smile atakuje przede wszystkim duże organizacje, a nie indywidualnych użytkowników. Ofiary prawdopodobnie znajdują się w Europie, jak wywnioskowano z wersu w żądaniu okupu, który wspomina o zgodności z europejskimi przepisami o ochronie danych, wskazując, że należy skupić się na informowaniu ofiar o naruszeniu i zapewnianiu pomocy.

Wiadomość zawarta w żądaniu okupu informuje ofiarę, że jej pliki zostały zaszyfrowane, a jej wrażliwe dane zostały naruszone. Polecono im zapłacić 20,6 BTC (kryptowaluta Bitcoin), aby uzyskać klucz odszyfrowujący i zapobiec wyciekowi skradzionych danych przez atakujących. W chwili pisania tego tekstu kwota ta wynosi około 1,4 miliona dolarów, więc wydaje się oczywiste, że oprogramowanie ransomware atakuje firmy i organizacje, a nie użytkowników domowych.

List z żądaniem okupu „Uśmiech krokodyla” próbuje zabrzmieć śmiesznie

Pełny tekst żądania okupu Crocodile Smile brzmi następująco:

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

Jak zapobiegawczo chronić swoje dane przed atakami ransomware?

Zapobiegawcza ochrona danych przed atakami oprogramowania ransomware obejmuje wdrożenie kilku proaktywnych środków mających na celu zminimalizowanie ryzyka infekcji i złagodzenie potencjalnych szkód. Oto kilka strategii, które możesz zastosować:

Regularnie twórz kopie zapasowe: twórz regularne kopie zapasowe ważnych danych na zewnętrznych dyskach twardych, w chmurze lub na serwerach kopii zapasowych. Upewnij się, że kopie zapasowe są przechowywane w trybie offline lub w oddzielnym segmencie sieci, aby zapobiec ich szyfrowaniu przez oprogramowanie ransomware.

Aktualizuj oprogramowanie: aktualizuj wszystkie systemy operacyjne, aplikacje i oprogramowanie zabezpieczające, korzystając z najnowszych poprawek i aktualizacji zabezpieczeń. Luki w nieaktualnym oprogramowaniu mogą zostać wykorzystane przez oprogramowanie ransomware.

Używaj oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem: Zainstaluj renomowane programy antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich urządzeniach i upewnij się, że są one regularnie aktualizowane. Narzędzia te mogą wykrywać i blokować infekcje ransomware.

Stosuj środki bezpieczeństwa poczty e-mail: wdrażaj rozwiązania do filtrowania i skanowania wiadomości e-mail, aby wykrywać i blokować podejrzane załączniki i łącza, które mogą zawierać oprogramowanie ransomware. Edukuj pracowników o ryzyku związanym z wiadomościami phishingowymi i zachęcaj do ostrożnego zachowania podczas otwierania załączników lub klikania łączy.

Włącz ochronę zapory sieciowej: używaj zapór sieciowych do monitorowania i kontrolowania przychodzącego i wychodzącego ruchu sieciowego, blokując nieautoryzowany dostęp i potencjalnie złośliwe połączenia.

Ogranicz uprawnienia użytkowników: Ogranicz uprawnienia użytkowników tylko do niezbędnego poziomu wymaganego do wykonywania ich zadań. Ograniczanie uprawnień administracyjnych może pomóc w zapobieganiu rozprzestrzenianiu się oprogramowania ransomware w sieciach.