Pegasus Ransomware szyfruje dyski systemu ofiary

Nasz zespół natknął się na program ransomware Pegasus podczas przeglądania przesłanych nowych próbek plików. Kiedy uruchomiliśmy próbkę Pegasusa na naszej maszynie testowej, szyfrowała ona pliki i modyfikowała ich nazwy.

Oryginalne nazwy plików zostały rozszerzone o losowy ciąg znaków, na przykład „1.jpg” stało się „1.jpg.tBC8M”, a „2.png” stało się „2.png.qGuj7”. Po zakończeniu procesu szyfrowania zdeponowano żądanie okupu o nazwie „Ghost_ReadMe.txt”.

Notatka z żądaniem okupu informuje ofiarę, że jej pliki są niedostępne ze względu na szyfrowanie. Zapewnia ich, że mogą odzyskać swoje dane, kupując narzędzie deszyfrujące od atakujących. Kwota okupu jest określona na 350 dolarów w kryptowalucie Bitcoin. Po dokonaniu płatności ofiara jest proszona o przedstawienie dowodu transakcji, po czym obiecuje otrzymać klucz odszyfrowujący.

Pegasus żąda okupu w wysokości 350 dolarów

Pełny tekst pliku „Ghost_ReadMe.txt” wygenerowanego przez ransomware Pegasus brzmi następująco:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Jakie są najczęstsze wektory ataków wykorzystywane przez oprogramowanie ransomware?

Ransomware może infiltrować systemy za pomocą różnych wektorów ataku, ale niektóre z najczęstszych obejmują:

Wiadomości e-mail phishingowe: osoby atakujące często rozpowszechniają oprogramowanie ransomware za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub łącza. Te e-maile mogą podszywać się pod legalne podmioty lub organizacje, zachęcając odbiorców do klikania łączy lub pobierania załączników zawierających oprogramowanie ransomware.

Złośliwe witryny internetowe: oprogramowanie ransomware może być dystrybuowane za pośrednictwem złośliwych witryn internetowych lub zainfekowanych legalnych witryn internetowych. Odwiedzanie takich witryn lub klikanie złośliwych reklam może prowadzić do automatycznego pobrania i uruchomienia oprogramowania ransomware w systemie ofiary.

Zestawy exploitów: Cyberprzestępcy wykorzystują luki w oprogramowaniu lub systemach operacyjnych, używając zestawów exploitów do dostarczania oprogramowania ransomware. Zestawy te atakują znane luki, które nie zostały załatane, umożliwiając atakującym uzyskanie nieautoryzowanego dostępu do systemów i wdrożenie oprogramowania ransomware.

Protokół Remote Desktop Protocol (RDP): osoby atakujące mogą brutalnie wymusić poświadczenia RDP lub wykorzystać słabe hasła w celu zdalnego uzyskania nieautoryzowanego dostępu do systemów. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware bezpośrednio w zaatakowanych systemach.

Pobieranie metodą drive-by: oprogramowanie ransomware może być dostarczane poprzez pobieranie typu drive-by, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane w systemie ofiary bez jej zgody i wiedzy podczas odwiedzania zainfekowanych lub złośliwych witryn internetowych.

Złośliwe reklamy: Cyberprzestępcy mogą rozpowszechniać oprogramowanie ransomware za pośrednictwem złośliwych reklam (złośliwych reklam) wyświetlanych na legalnych stronach internetowych. Kliknięcie tych reklam może przekierować użytkowników do witryn hostujących oprogramowanie ransomware lub zainicjować automatyczne pobieranie ładunków ransomware.

Zdalne wykonanie kodu (RCE): Luki w aplikacjach internetowych lub oprogramowaniu serwera można wykorzystać do zdalnego wykonania dowolnego kodu. Atakujący mogą wykorzystać luki w zabezpieczeniach RCE w celu wdrożenia oprogramowania ransomware na serwerach lub urządzeniach sieciowych.

Sieci wymiany plików: oprogramowanie ransomware może rozprzestrzeniać się za pośrednictwem sieci wymiany plików typu peer-to-peer (P2P) lub zainfekowanych udziałów sieciowych. Zainfekowane pliki udostępniane za pośrednictwem tych sieci mogą prowadzić do rozprzestrzeniania się oprogramowania ransomware na innych użytkowników lub urządzenia podłączone do sieci.