Ransomware SchrodingerCat żąda okupu BTC
Podczas rutynowej kontroli nowych plików nasz zespół badawczy natknął się na oprogramowanie ransomware SchrodingerCat, odmianę rodziny ransomware GlobeImposter. SchrodingerCat szyfruje dane i żąda zapłaty za odszyfrowanie.
Podczas testów zaobserwowaliśmy, że to ransomware szyfruje pliki i dodaje do ich nazw rozszerzenie „.schrodingercat”. Na przykład plik o nazwie „1.jpg” po zaszyfrowaniu zmieni nazwę na „1.jpg.schrodingercat” i tak dalej.
Po zaszyfrowaniu SchrodingerCat generuje notatkę z żądaniem okupu o nazwie „how_to_back_files.html”, wskazującą, że jej celem są organizacje, a nie indywidualni użytkownicy. W notatce stwierdzono, że sieć firmowa ofiary została naruszona, co spowodowało zaszyfrowanie przechowywanych w niej plików.
Aby odzyskać dostęp do zaszyfrowanych danych, ofiara musi zakupić narzędzie odszyfrowujące, którego cena wynosi 0,15 BTC, co w chwili pisania tego tekstu stanowi równowartość około dziesięciu tysięcy dolarów. Notatka odradza angażowanie pośredników i zachęca do bezpośrednich negocjacji z atakującymi.
Odmowa zapłaty okupu niesie ze sobą ryzyko, że cyberprzestępcy sprzedają na aukcji lub ujawnią poufne dane skradzione z sieci. Ponadto przestępcy mogą kontaktować się z klientami ofiary, oferując sprzedaż skompromitowanych informacji.
Autorzy SchrodingerCat myślą o sobie jak o firmie
Pełny tekst żądania okupu od SchrodingerCat zawiera dużo tekstu, a hakerzy nazywają siebie „Nacugunder Corporation”. Pełny tekst brzmi następująco:
YOUR PERSONAL ID
ENGLISH
YOUR CORPORATE NETWORK LOCKED!ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTCBuy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trustBitcoin Wallet: 3Pvn*MLA5
Our contacts:
email: yourdatahelp@seznam.czToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D
You can download TOXChat here : hxxps://tox.chat/download.html
The message must contain your Personal ID! it is at top of this document.
HOW IT WORKS.
If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.
What's problem with intermediaries?!
Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.
deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.
Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAYIn case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.© 2024 Nacugunder Corporation | All Rights Reserved.
W jaki sposób rozpowszechniane jest oprogramowanie ransomware typu SchrodingerCat?
Ransomware takie jak SchrodingerCat jest zazwyczaj dystrybuowane różnymi metodami, w tym:
Wiadomości e-mail phishingowe: Cyberprzestępcy często rozpowszechniają oprogramowanie ransomware za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub łącza. Te e-maile mogą wydawać się uzasadnione, nakłaniając użytkowników do otwarcia załącznika lub kliknięcia łącza, co następnie instaluje oprogramowanie ransomware w systemie ofiary.
Złośliwe reklamy: złośliwe reklamy (złośliwe reklamy) w witrynach internetowych mogą przekierowywać użytkowników do witryn zawierających zestawy exploitów rozpowszechniających oprogramowanie ransomware. Reklamy te mogą pojawiać się na legalnych stronach internetowych i wykorzystywać luki w przeglądarce użytkownika lub wtyczkach, aby po cichu zainstalować oprogramowanie ransomware.
Zestawy exploitów: Zestawy exploitów to pakiety złośliwego kodu zaprojektowane w celu wykorzystania luk w zabezpieczeniach oprogramowania. Cyberprzestępcy wykorzystują zestawy exploitów do infekowania użytkowników odwiedzających zainfekowane witryny internetowe, wykorzystując luki w swoich przeglądarkach lub wtyczkach w celu dostarczania i wykonywania oprogramowania ransomware w swoich systemach.
Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne poświadczenia usług pulpitu zdalnego, takich jak RDP, w celu uzyskania nieautoryzowanego dostępu do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware bezpośrednio w sieci ofiary.
Pobieranie dyskowe: Pobieranie dyskowe ma miejsce, gdy oprogramowanie ransomware jest automatycznie pobierane i instalowane w systemie użytkownika bez jego zgody podczas odwiedzania zainfekowanej lub złośliwej witryny internetowej. Często wykorzystuje to luki w przeglądarce użytkownika lub wtyczkach.
Zainfekowane oprogramowanie lub pliki: Cyberprzestępcy mogą rozpowszechniać oprogramowanie ransomware, udając, że jest to legalne oprogramowanie lub pliki dostępne do pobrania z Internetu. Niczego niepodejrzewający użytkownicy pobierają i uruchamiają te pliki, przypadkowo instalując oprogramowanie ransomware na swoich systemach.
USB i nośniki wymienne: oprogramowanie ransomware może rozprzestrzeniać się poprzez zainfekowane dyski USB lub inne nośniki wymienne. Kiedy użytkownik wkłada zainfekowany dysk USB do swojego komputera, oprogramowanie ransomware może automatycznie uruchomić się i zainfekować system.
Aby chronić się przed atakami oprogramowania ransomware, użytkownicy powinni przestrzegać zasad higieny cyberbezpieczeństwa, w tym regularnie aktualizować oprogramowanie, korzystać z renomowanego oprogramowania antywirusowego, uważać na załączniki i linki do wiadomości e-mail oraz regularnie tworzyć kopie zapasowe ważnych danych.
